Мэдээллийн аюулгүй байдал цахим орчны эрх зүйн асуудлаар мэргэшсэн хуульч, судлаач Л.Галбаатартай ярилцлаа.
----------------
-Монгол Улсын иргэдийн мэдээллийг нэр бүхий зочид буудал, аялалын чиглэлээр үйл ажиллагаа явуулдаг веб хуудсууд гадагш алдсан талаар Цахим хөгжил, харилцаа холбооны сайд Н.Учрал Даваа гарагт /2024.03.11/ ам нээлээ. Гэхдээ энэ бол шуугиад өнгөрөх асуудал биш. Үүний ард Монгол Улсын цахим аюулгүй байдал яригдах байх. Эндээс ярилцлагаа эхэлье?
-Товчхондоо кибер аюулгүй байдал хангагдахгүй, муу байгаа бол Н.Учрал сайд өөрөө муу ажиллаж байна гэсэн үг. Даваа гарагт Монгол Улсын Кибер аюулгүй байдлын зөвлөл хуралдаж, дараа нь Н.Учрал сайд олон нийтэд мэдээлэл хийсэн. Тэр үеэр "Хүчтэй нууц үг" гээд яриад байна лээ. Тэр яриаг хүн ойлгохгүй. Уг нь хүн таахад хэцүү нууц үг буюу тоо, тэмдэгт хольж оруулахыг л хэлээд байх шиг байна лээ. Аливаа мэргэжлийн хэллэгийг иргэдэд ойлгомжтой тайлбарлах нь яамны ажил. Энэ бол наад захын шаардлага. Үүнээс харахад сайдаасаа авахуулаад кибер аюулгүй байдлын талаар зөв ойлголт, мэдээлэлтэй болох шаардлагатай байна. Кибер аюулгүй байдлын зөвлөл нь ажлаа мэдэхгүй хүнээр удирдуулж байгаа цагт кибер аюулгүй байдлын асуудал эмзэг хэвээр байна. Үндсэн хуульд өөрчлөлт оруулан байж Цахим хөгжил, харилцаа холбооны яам байгуултал сайд нь "Хүчтэй нууц" үг гэж яриад сууж байгаа нь инээдтэй л юм.
Мэдээллийн аюулгүй байдал гэдэг үндэсний аюулгүй байдал. Монголд иргэдийн нууц мэдээллүүдийг дуртай байгууллага нь авдаг. Тэр болгон нь иргэдийн мэдээллийг хамгаалж чадаж байна уу гэдэг нь бас эргэлзээтэй.
-Тэгвэл иргэдийн мэдээллийг зардаг олон улсын "хар зах" гэдэг нь яадаг юм. 2021 онд 2.3 сая Монгол иргэний овог нэр, утас, гэрийн хаяг, харилцах данс зэрэг мэдээллийг "хар зах" дээр 700 ам.доллароор зарж байсан талаар нийгэмд "бүүм" болж байсан удаатай.
-Dark web-д эрүүгийн хуулиар хориглосон бараа бүтээгдэхүүнийг нэгэндээ зардаг. Хууль бус веб сайт гэсэн үг. Төлбөрөө төлөхдөө энгийн банкны картаар шилжүүлэг хийхгүй, данснаас нь гүйлгээг нь зарсан, авсан хүнийг нь хөөгөөд олчих учраас. Ихэвчлэн биткойн, төлбөрийн хэрэгслийг нь таньж илрүүлэх боломжгүй хэлбэрээр өгч авалцдаг. Тэрийгээ л хар зах гээд байгаа юм. Иргэдийн хувийн мэдээлэл олон улсад задарснаар цахим луйвар, залилан ихсэх магадлалтай. Том зургаар нь харвал олон улсад Монгол Улс мэдээллийн аюулгүй байдлын ямар ч ойлголтгүй гэх мессэж өгсөн.
-Засгийн газар 2021 онд "Цахим үндэстэн” болох хөгжлийн бодлогоо зарласан. Гэтэл уг зорилго биелэх эсэх эргэлзээ дагуулж, цахим үндэстэн болох Засгийн газрын мөрөөдөл замхарч байх шиг байна. Өнгөрсөн хугацаанд төрийн байгууллагууд болох Монголбанк, “E-Mongolia” систем халдлагад өртсөн. Төрийн байгууллагуудын цахим аюулгүй байдал "тэг" зааж, иргэдийн мэдээлэл алдагдаад байгаа шалтгааныг та юу гэж дүгнэж байна вэ ?
-Е-Mongolia системийн хувьд төрийн үйлчилгээ заавал фейсбүүк хуудсаар дамжих албагүй. Бусад улс орнууд фейсбүүкээр төрийн үйлчилгээг явуулдаггүй буюу фейсбүүкт итгэхээ больсон. Гэтэл Монголд бүх зүйл нь эсэргээрээ төрийн бүх байгууллагын мэдээлэл нь фейсбүүк хуудсаар дамжиж байна. Сонгууль дөхөхөөр төрийн байгууллагууд фейсбүүк компанийн төлөөлөлтэй уулзалт хийх нь ихэсдэг.
Ер нь Монголын төр фейсбүүкээс хэт хамааралтай болчихсон.
Харин иргэдийн мэдээлэл гадагш алдаад байгаа нь хэд, хэдэн шалтгаантай. Нэгдүгээрт: Программ хангамжийн асуудал байна. Монгол Улсад windows word, excel файлын цоорхойг ашиглаж хийсэн халдлагууд хамгийн их байдаг. Манай төрийн байгууллагууд нийтээрээ цоорхойтой буюу лицензгүй программ ашигладаг. Энэ нь хамгийн их эрсдэл дагуулдаг. Программыг тогтмол сайжруулах ёстой. Сайжруулалт нь зогссон үед тэр сувгаар халдлага орж ирдэг. Тиймээс бидэнд албан ёсны зохиогчийн эрхийн зөвшөөрөлтэй лицензтэй программ ашиглах шаардлага тулгарч байна. Программын лицензиийг сайжруулчихвал олон асуудал шийдэгдэнэ. Кибер аюулгүй байдлыг хамгаалахад эцсийн зогсох цэг гэж байхгүй. Байнга тасралтгүй явдаг процесс. Хоёрдугаарт. Программ хангамж нь хамгийн сүүлийнх, хүн бүр мэдээллийн аюулгүй байдлаа хамгийн сайнаар хангалаа гэхэд төр тэрхүү мэдээллийг бат хамгаалах ёстой. Энэ ажлыг Кибер аюулгүй байдлын зөвлөл хариуцна.
Гуравдугаарт. Ёс зүйт хакер буюу "цагаан малгайт" хакер гэж нэрлэгддэг хэсэг бүлэг хүмүүс бий. Тэдгээр хүмүүс улсынхаа төлөө гэх сэтгэлээр "Төрийн энэ байгууллагад ийм цоорхой байна. Энийгээ хурдхан нөхөөрэй" гэж тэдэнд хэлдэг.
Гэхдээ төрийн байгууллагууд үгэнд нь ордоггүй. Эсрэгээрээ хэлсэн хүмүүсийг нь манай систем рүү халдсан гэж буруутгаад торны цаана суулгах гээд байдаг талтай.
Ёс зүйт хакеруудынхаа дунд нэр хүндтэй хүнийг барьж хорино гээд байхаар бусад хакерууд төрийн байгууллагад хэлэхээсээ цааргалж эхэлдэг. Тэгэхээр ёс зүйтэй, мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн үгийг сонсдог байх хэрэгтэй. Хамгийн чухал нь ажлаа сайн мэддэг чадвартай хүмүүсээр ажлыг нь хийлгэмээр байна. Кибер аюулгүй байдлыг хамгаална гэдэг чинь зүгээр нэг "цүнх баригч"-ийн хийчих ажил биш.
-Тэгвэл бид цахим үндэстэн болж чадахгүй нь ээ
-Чадахгүй. Бидэнд мэдлэг, чадвар, хүний нөөц нь алга. Цахим үндэстэн гэдэг ойлголт өөрөө буруу, утгагүй ойлголт шүү. Цахим хөгжлийн харилцаа холбооны яамнаас 2023 оны аравдугаар сард "Кибер тусгаар тогтнол" гэсэн форумыг зохион байгуулсан. Кибер тусгаар тогтнол гэх үгийг Хятад, Оросууд л ашигладаг. Интернэт нээлттэй, хүртээмжтэй байх ёстой. Анхнаасаа олон улсад тэгж тогтсон. Кибер тусгаар тогтнол гэхээр интернэтээс тусгаарлагдах, тодорхой хүрээнд мэдээллийг хатуу хянаж, зохицуулна гэсэн үг. Манайхан утга учрыг нь үнэхээр ойлгоогүй эсвэл зориудаар тийм нэртэй форум зохион байгуулсан бол яам, кибер аюулгүй байдлын зөвлөл ажлаа ойлгохгүй байна гэсэн үг.
-Таны хэлснээс харахад Монгол Улс, интернэтийн хэрэглээг хянадаг хоёр хөршийн араас явж байна гэж ойлгогдохоор байна.
-Интернэт дэлхийн бүх улс оронд хүртээмжтэй байх ёстой. Улс орны хөгжлөөс үл хамааран интернэттэй байх гэдэг нь хүний эрх гэдгийг НҮБ-ын ерөнхий ассемблейгээс тогтоосон байдаг. Интернэтийг хоёр хөрш хэсэгчлэн хааж, хэрэглээг нь хянах, ямар мэдээллийг устгахыг шийдэх технологиор явдаг.
Энгийнээр хэлэхэд хоёр хөрш өөр интернет системтэй. Бусад улс орноос тусдаа бие даасан мэт сонсогдох боловч иргэдийн интернэт хэрэглээнд цензурь тавьдаг. Юу үзэж, харах нь эрх баригчдын шийдвэрээр зохицуулагдана.
Интернэтийн хэрэглээ, хурдасгал, агуулгыг эрх мэдэлтнүүд зохицуулна гэдэг чинь буруу. Интернэтийн мөн чанараас салсан улс орнууд кибер тусгаар тогтнол гэх үгийг ихэвчлэн ашигладаг. Мэдээж улсын агаар, газар, далайн хил хязгаартай байдаг бол интернет хязгааргүй. Хэрэв мэдсээр байж манайхан форумыг тэгж нэрлэсэн бол Орос, Хятад шиг интернэтийг цензурдах, эрх баригчдад таалагдсан зүйлсийг л иргэдэд үзүүлж, харуулах зорилготой гэж хардаж байна.
-Яагаад ?
-Ерөнхийлөгч Олон нийтийн сүлжээнд хүний эрхийг хамгаалах тухай хуульд хориг тавьж, УИХ өнгөрсөн 2023 оны гуравдугаар сарын 30-нд хүчингүй болгосон. Уг хуулийг дагалдуулан Харилцаа холбооны тухай хуульд орсон нэмэлтээр онц чухал дэд бүтэцтэй байгууллагын мэдээллийн систем, мэдээллийн сүлжээнд,халдсан кибер халдлага гарч болзошгүй гэх нөхцөлд кибер халдлага, зөрчилтэй тэмцэх үндэсний төв, эсвэл нийтийн төвийн саналыг үндэслэн эмх замбараагүй онцгой байдал үүсэж болзошгүй нөхцөлд Засгийн газрын гишүүнийг үндэслэн гүйцэтгэх эрх мэдлийн байгууллагын тэргүүний ахалсан Кибер аюулгүй байдлын зөвлөлийн шийдвэрээр зөрчилтэй контентын тархцыг бууруулах харилцаа холбооны сүлжээг хязгаарлах арга хэмжээг авч хэрэгжүүлнэ гэж заасан.
Тиймээс "болзошгүй" гэх нэрийн дор интернэттэй байх хүний эрхийг зөрчих үр дагавартай.
Ерөнхийдөө Кибер аюулгүй байдлын зөвлөлийг хариуцдаг Н.Учрал сайдад таалагдахгүй байна гэвэл хязгаарлах, хурдыг нь сааруулна гэсэн үг. 2024 оны УИХ-ын сонгуулийг урьтаж уг хуулийг бэлдсэн байх магадлалтай. Нэр дэвшигчээ намнах байдлаар ашиглахаар байсан гэж хардаж байгаа.
МАН-ын нэг хэлтэс нь кибер гэмт хэргийн захиалагч байсан гэх хэрэг шүүхээр орж байсан. Иргэдийн фейсбүүк нэвтрэх нууц үгийг хулгайлуулж, фейсбүүк нэрийг нь солих зэрэг эдгээр хэргийг МАН-ын төв байр болох тусгаар тогтнолын ордонд хүмүүсийг байршуулж хийлгүүлдэг байсан. Тиймээс би кибер тусгаар тогтнол гэх үгийг санаатайгаар хэрэглэсэн гэж бодсон. Кибер аюулгүй байдлын зөвлөл айхтар том "мангас" болох байсныг азаар иргэд, олон нийт урьдчилан мэдэж эсэргүүцсээр байгаад хүчингүй болгуулсан.
Дахиад тэр хуулийг өргөн барих санаархал бол байгаа. УИХ-ын сонгууль ч дөхөж байна. Хуулийн үзэл санаа бол мартагдаагүй. Харилцаа холбооны тухай хуулийн нэмэлт өөрчлөлтийн төсөл одоо явж байгаа. Яамны сайтад байршсан. Гэнэт томъёоллоо гаргаж ирээд батлуулахыг үгүйсгэхгүй. Б.Энхбаяр сайдын ярьдаг хуулийн хулгай ерөөсөө дагалдаж орж ирсэн, нэмэлт өөрчлөлт оруулах гэж байгаа хуулиудад зүйл заалтыг чихдэг болчихсон гэдэг нь үнэн. Тиймээс бидний хувьд хуулийн нэмэлт өөрчлөлтийн төслүүд дээр соргог, сэрэмжтэй байх л арга зам үлдсэн.
- Салбарын сайн, мууг Н.Учралтай л ярина -
-Та ярианы эхэнд кибер аюулгүй байдал хангагдахгүй байгаа бол Н.Учрал сайд муу ажиллаж байгаа талаар онцолсон. Уг нь Монгол Улс Кибер аюулгүй байдлын тухай хуулийг 2021 онд баталсан. Албаныхан хуулиа л баталчихвал кибер халдлагыг зогсоож чадах мэтээр ярьж байсан нь саяхан. Гэтэл үл үзэгдэгч дээрэмчид буюу хакеруудтай тэмцэхэд дан ганц хууль батлаад өнгөрөх нь хангалтгүй байсан бололтой.
-Кибер аюулгүй байдлын тухай хууль нь Монгол Улсад анх удаа батлагдаж байгаа анхдагч хууль бөгөөд сүүлийн 15 жилийн хугацаанд яригдаж, 7 удаа төсөл боловсруулагдаж байсан. НҮБ-ын төрөлжсөн агентлаг болох Олон улсын цахилгаан холбооны байгууллагаас хийсэн судалгаанд Монгол Улсын кибер аюулгүй байдлын индексийн гол үзүүлэлт болох хууль эрх зүйн орчин бүрдээгүй, үндэсний кибер халдлага, зөрчлөөс сэргийлэх, хариу үйлдэл үзүүлэх байгууллага байхгүй зэргээр шүүмжилж байсан. Кибер аюулгүй байдлын тухай хуулиар ямар байгууллага юу хариуцах нь маш тодорхой болсон. Өмнө нь онц чухал мэдээллийн дэд бүтэцтэй байгууллагын жагсаалт гэж байгаагүй.
Харин Засгийн газрын тогтоолоор 17 төрлийн 216 байгууллагыг онц чухал мэдээллийн дэд бүтэцтэй байгууллага гэж үзээд жагсаалтыг нь баталсан.
Төрийн болон хувийн хэвшлийн байгууллагын аль аль нь бий. Эдгээр байгууллагуудыг онцгойлон хамгаална гэсэн үг. Хэрэв уг жагсаалтад байгаа байгууллага мэдээлэл алдвал Тагнуулын байгууллагын дэргэдэх үндэсний төв, Кибер аюулгүй байдлын зөвлөл ажлаа хийгээгүй гэсэн үг. Байгууллагууд мэдээллээ алдлаа гэхэд энэ нь зөвхөн тэр байгууллагын асуудал ерөөсөө биш болсон. Мэдээж хувь хүн бүр өөрийнхөө мэдээллийн аюулгүй байдлыг хангах ёстой. Гэхдээ бүх бурууг иргэдэд тохох ёсгүй. Кибер аюулгүй байдлын тухай хуулийн гол үзэл баримтлал нь аюулгүй байдлыг хангахад хамтын үйл ажиллагаа чухал гэдэгт оршино.
-Уг хуулиар кибер аюулгүй байдлын үндэсний зөвлөл байгуулагдсан. Гэхдээ энэ чиглэлийн эрдэмтэн, судлаачдыг оруулаагүй зэрэг шүүмжлэл гарч байсан санагдана.
-Кибер аюулгүй байдлын үндэсний зөвлөлийг Ерөнхий сайд тэргүүлж, дэд даргаар Цахим хөгжил, харилцаа холбооны сайд, Тагнуулын ерөнхий газрын дарга нар ажиллаж, үндэсний хэмжээний кибер аюулгүй байдлыг хангах үйл ажиллагааг нэгдсэн удирдлага, зохион байгуулалтаар хангах, үйл ажиллагааг уялдуулан зохицуулах ажлыг хэрэгжүүлнэ. Үндсэндээ кибер аюулгүй байдлыг хангах гэдэг нь эзэнтэй болсон.
Кибер аюулгүй байдлын зөвлөлийн дүрмийг Засгийн газар тогтоодог. Уг дүрэм дээр зөвхөн төрийн байгууллагаар хязгаарласан байх жишээний. Төрийн халдлагатай тэмцэх үндэсний төв, нийтийн төв, зэвсэгт хүчний төв, тусгайлсан чиг үүрэгтэй төрийн байгууллагуудыг оруулаад хаасан. Шаардлагатай тохиолдолд кибер аюулгүй байдлын мэргэжилтэн, судлаачдыг татан оролцуулж болно гэж заасан. Уг нь кибер аюулгүй байдлын зөвлөл улсын хэмжээнд бүх асуудлыг цогцоор нь хараад бүх талуудаас мэдээлэл авч уялдуулах ёстой байтал төрийн хэдхэн байгууллагаар хязгаарлаж тэдний тайланг сонсдог зөвлөл болоод хумьчихсан. Өөрөөр хэлбэл, уг салбарын сайн, мууг салбарын сайд Н.Учралтай л ярина.
Мөн уг зөвлөл нь цахим залиланд өртсөн иргэдийн хохирлыг барагдуулахаар болжээ. Хуулиар бол кибер аюулгүй байдлын зөвлөлд иргэдийн хохирол барагдуулах чиг үүрэг ерөөсөө байхгүй.
Ингээд хуульд байхгүй чиг үүргийг хэрэгжүүлж эхлэх гэж байна. Уг нь хохирол нөхөн, төлүүлэх асуудлыг цагдаагийн байгууллага шийдвэрлэдэг. Зөвлөл өөрөө төсвөөс санхүүждэг. Тэгсэн мөртлөө хохирсон иргэдийн хохирлыг барагдуулна гэдэг нь төсвийн мөнгө буюу татвар төлөгчдийн мөнгө нэмж үрэгдэнэ гэсэн үг. Кибер аюулгүй байдлын үндэсний зөвлөл нь дүрмээрээ улирал бүр хуралдах ёстой. Жилд дөрвөн удаа хуралдана. Гурван сарын дараа дахиад ийм жижиг асуудал буюу нууц үг гэх мэт зүйлс яриад байвал утгагүй.
-Тэгвэл таны хүлээлт юу байсан юм.
-Кибер аюулгүй байдлын тухай хууль хэрэгжиж эхэлснээс хойш ингэж өөрчлөгдсөн зэрэг бодлогыг олон нийтэд танилцуулна гэж бодсон. Гэтэл "2021 онд 2.3 сая иргэний овог нэр, утас, гэрийн хаяг, зэрэг мэдээллийг 700 ам.доллароор зарсан. 2020 онд арилжааны банкууд мэдээллээ алдсанаас болж хувь хүний мэдээллүүдийг зарж, арилжаалж байсан тохиолдол гарсан" талаар ярьсаар байгаад л дууссан. Үүнээс харахад Кибер аюулгүй байдлын үндэсний зөвлөл хангалттай ажиллаж чадахгүй байна. Хууль хэрэгжээд хоёр жил өнгөрсөн байхад батлагдах ёстой дүрэм, журмууд нь саяхан албажих жишээний.
-Ямар журмууд.
-Хуулийн төслийг 2021 оны 12 дугаар сарын 17-нд баталж, 2022 оны 5 дугаар сарын 1-нээс дагаж мөрдсөн. Дүрэм, журам боловсруулах хангалттай хугацаа өгсөн. Шууд батлагдаад хэрэгжээгүй, хагас жилийн дараа буюу 2022 оноос эхэлж хэрэгжиж эхэлсэн. Энэ хугацаанд кибер аюулгүй байдлыг хангах үйл ажиллагааг Цахим хөгжлийн харилцаа холбооны яам саатуулсан байна. Хууль нь хэрэгжээд жилийн дараа дүрэм батлуулна гэдэг нь өөрөөс хамаарах ажлаа хийгээгүй хэрнээ иргэдийн мэдээлэл гадагш алдагдсанд иргэд, байгууллагыг буруутгаж харагдаад байгаа юм.
Кибер аюулгүй байдлын зөвлөлийг 2023 оны хоёрдугаар сард байгуулсан. Нэг жил орчим дүрмээ батлуулаагүй. Кибер аюулгүй байдлыг хангах нийтлэг журам нь 2023 оны зургадугаар сард баталсан.Үндэсний стратеги нь 2022 оны арванхоёр сарын 28-нд буюу үндсэндээ долоон сараа дараа батлагдсан. Кибер халдлага зөрчилтэй тэмцэх нийтийн төв 2023 оны наймдугаар сарын 30-нд дүрэм нь батлагдаж байгуулагдсан. Кибер халдлага зөрчилтэй тэмцэх үндэсний төвийн дүрэм ажиллах журам нь 2023 оны наймдугаар сарын 30-нд батлагдсан.
Ингэж удаашруулаад нэг юм дүрэм, журмаа баталлаа гэхэд нэг жилийн өмнө байгуулагдсан Кибер аюулгүй байдлын үндэсний зөвлөл ямар ажил хийсэн юм бэ.
2024 оны төлөвлөгөөг өнгөрсөн Даваа гарагт баталлаа гэж байна. Хоёр сарын дараа нэгдүгээр улирал дуусах гэж байхад дөнгөж эхний төлөвлөгөөг батална гэдэг чинь цаана нь төлөвлөгөөг хэрэгжүүлэх гурван улирал л үлдэж байна.