04/09/2023
SECURE BY DESIGN, SECURE BY DEFAULT
Технологийн хөгжлөө дагаад бидний өдөр тутмын хэрэгцээнд ашиглагддаг social, эрүүл мэнд, оффис хэрэглээний гэх мэт системд үүссэн эмзэг байдал нь түүн дээрх хэдэн мянгаар тоологдох хувь хүний нууц, эрүүл мэнд, санхүүгийн мэдээллийг задруулж улмаар эдийн засаг, хүний амь нас эрүүл мэндэд хүртэл нөлөөлөх болсон учраас Cybersecurity and Infrastructure Security Agency /CISA/, National Security Agency /NSA/, Federal Bureau of Investigation /FBI/ болон дараах олон улсын зохицуулагч агентлагуудтай хамтран “Secure by design, secure by default” агуулгын хүрээнд томоохон програм хангамж үйлдвэрлэгч компаниудад зориулан зөвлөмж гаргажээ.
• Australian Cyber Security Centre (ACSC)
• Canadian Centre for Cyber Security (CCCS)
• United Kingdom’s National Cyber Security Centre (NCSC-UK)
• Germany’s Federal Office for Information Security (BSI)
• Netherlands’ National Cyber Security Centre (NCSC-NL)
• Computer Emergency Response Team New Zealand (CERT NZ)
• New Zealand’s National Cyber Security Centre (NCSC-NZ).
Харилцагчийн эмзэг мэдээллийг боловсруулж, хадгалдаг тэдгээр байгууллагууд бүтээгдэхүүнийхээ дизайн, хөгжүүлэлтийн явцад мэдээллийн аюулгүй байдлын процессуудаа сайжруулснаар data breach-д өртөх, санхүү болон нэр хүндийн эрдэл эрс буурах юм. Монголын компаниуд үүнээс санаа авах боломжтой учраас гол санааг тоймлон хүргэж байна.
Secure by design гэж юу вэ?
Бүтээгдэхүүний архитектур, хөгжүүлж буй програмчлалын хэл, stack, бизнес процесс, хадгалж буй өгөгдөл болон түүнийг хэрхэн боловсруулж буй байдлаас хамааран учирч болох халдлага, мэдээллийн аюулгүй байдлын эрсдэлийг тооцоолон гаргаж тэдгээрийг хэрхэн таних, мөн хэрхэн урьдчилан сэргийлэх, хамгаалах зэрэг шийдлийг гаргахыг threat modelling гэнэ. Secure by design гэдэг нь цаашид хөгжүүлэлт, бүтээгдэхүүнийг хэрэглэгчдэд хүргэх, maintenance зэрэг алхмуудад ч хэрэгжүүлснээр эрсдэлийг хамгийн бага түвшинд байлгах аргачлал юм.
Secure by default гэж юу вэ?
Хэрэглэгчийг халдлага өртөхгүй байлгах орчин, аюулгүй байдлын тохиргоонууд нь анхаанаасаа л default-аар байлгах. Энгийнээр хэлбэл аюулгүй байдал нь luxury үйлчилгээ биш бөгөөд хэрэглэгч өөрийн аюулгүй байдлаа хангахын тулд нэмэлт төлбөр төлөхгүйгээр яг л машин бүрд суудлын бүс байдаг шиг default-аар байх ёстой зүйл бөгөөд хэрвээ хэрэглэгч тэдгээр аюулгүй байлгах default тохируулгыг өөрөө болиулж байгаа тохиолдолд үр дүнд нь үүсэж болох эрсдэлийн талаарх мэдээллийг заавал сануулдаг байх гэсэн аргачлал юм.
Мэдээж мэдээллийн аюулгүй байдалтай холбоотой олон процессууд нэмэгдэхийг дагаад зардал ч мөн нэмэгдэх боловч эмзэг байдал үүсэж халдлагад өртөн хохирол учирсны дараа системийн архитектурыг дахин загварчлах, хамгаалалтын нэмэлт feature шинээр хөгжүүлэх эсвэл худалдан авах зэрэг зардалтай харьцуулахад хамаагүй бага байдаг.
Эдгээр аргачлалуудыг компаниуд хэрхэн хэрэгжүүлэх талаар CISA-ын зүгээс доорх зөвлөмжүүдийг өгсөн байна.
1. Мэдээллийн аюулгүй байдлын сайжруулалт, эрсдэлийн талаар executive түвшинд авч хэлэлцдэг, шийдвэр гаргалтуудыг хийдэг байх ба ингэснээр secure by design, secure by default нь утгаараа хэрэгжих суурь болох юм.
2. Програм хангамж хөгжүүлэгч компаниуд нь аюулгүй байдлын сайн туршлагуудыг хэрхэн хэрэгжүүлсэн, давуу болон сул талын талаарх мэдээллийг бусдадаа нээлттэйгээр хуваалцдаг байх
3. Дотоод ажилчид болон гадны аюулгүй байдлын researcher-үүдтэй хамтран бүтээгдэхүүний аюулгүй байдлыг хэрхэн сайжруулах талаар нээлттэй хэлэлцүүлэг хийдэг хийх. Хэрвээ ажилтан энэ тал дээр шинэлэг санаа гаргах, сайн бас хялбар шийдэл хэрэгжүүлсэн тохиолдолд урамшуулал олгодог байх
4. Систем дээр илэрсэн эмзэг байдлын тоо их байх нь тухайн систем insecure гэж хүлээж авах бус эмзэг байдлуудыг засварласнаар улам secure болж байгаа гэдэг өнцгөөс нь эергээр хүлээн авдаг байх. /Монголчууд үүн дээр нэлээн дутагдалтай байгаа нь харагддаг. Ёс зүйтэйгээр рефортлосон эмзэг байдлыг удирдлагаасаа нуух, мэдсэн ч мэдээгүй юм шиг өнгөрөөх, эмзэг байдал рефортлосон researcher-ыг хуулийн заалтаар сүрдүүлэх гэх мэт/
