Санхүүгийн мэдээллийг аюулгүй байлгахад шифрлэлт нь хамгийн чухал хэрэгсэл болох нь харагдаж байна. Санхүүгийн байгууллагууд нь дамжуулалтын үед мэдээллийг нууц байлгахын тулд AES-256 гэх мэт стандарт шифрлэлтийн протоколуудад ихээр тулгуурладаг. Тоон мэдээлэл нь ч гэсэн түүнээс багагүй гүнзгий түүх ярьж байна. Verizon компанийн сүүлийн мэдээллийн нууцлал алдагдсан тохиолдолтой холбоотой тайлангийн дагуу бүх нууцлал алдагдсан тохиолдлын 60% нь зохистой шифрлэлт хийгдсэн тохиолдолд бүр ч үгүй болох байсан гэнэ. Санхүүгийн системтэй ажилладаг хэн бүхэн шифрлэлтийн өөр өөр аргууд хэрхэн ажилладаг талаар ойлголттой болох нь зүйтэй. Тэгш шифрлэлт нь их хэмжээний мэдээллийг хурдан боловсруулдаг тул ийж байгаа нь банкууд өдөр тутмын үйл ажиллагаанд ихэвчлэн ашигладаг. Эсрэгээрээ, тэгш бус шифрлэлт нь илүү сайн хамгаалалт санал болгодог ч тодорхой нэгэн хямралтай талтай. Энэ аргыг ашиглах үед гүйлгээнүүд удаан хугацаа шаарддаг тул хамгийн өндөр аюулгүй байдал болон үйлчлүүлэгчид сэтгэл таагүй болохгүйгээр хурдан ажиллах хэрэгцээний хооронд тогтдог энэ төрөл бүрийн тулга төрүүлдэг.
Олон давхар нэвтрэх эрхийн хяналтыг байгуулж байгаа нь зөвшөөрөлгүйгээр хүмүүс нэвтэрч, санхүүгийн мэдээллийг аюулгүй байлгахад маш чухал юм. Үндсэн санаа нь хүн хэн болохыг нь мэдэхийн тулд янз бүрийн шалгалт, зөвшөөрөл хослуулах явдал юм. Жишээ нь ажилтны албан тушаалд нь харгалзан нэвтрэх эрх олгох нь юм. RBAC-аар ажилтнууд зөвхөн өөрт хэрэгтэй зүйлд нь хандах боломжтой болдог. Энэ нь хүмүүс шаардлагагүй зүйлд нэвтэрч болохгүй тул нэвтрэх эрхийн хэмнэлттэй байдаг. Тухайн үед компанийн нэвтрэх эрхийн эрх зүйн талаарх баталгаажуулалтыг хийх ёстой. Эдгээр шалгалт нь хэн нэгэнд байх ёсгүйгээр илүү их нэвтрэх эрх олгогдсоныг илрүүлдэг. Бид энэ төрлийн тохиолдлыг олон удаа харж байсан. Жишээ нь ажилтны эрх зүйг сайтар шалгахгүйгээр зөвхөн ахлах ажилтан биш, энгийн ажилчид ч админий эрх авч болох юм. Үе үе шалгалт хийх нь зөвхөн цаасны ажил биш, системийг аюулгүй байлгах, мөн хүн бүр зөвхөн өөрт шаардлагатай мэдээлэлд л хандах боломжийг олгохын тулд маш чухал үйл явдал юм.
Одоо ихэнх хүмүүс онлайн-оор худалдаж авдаг болсон учраас бодит цагт мошенничествоныг илрүүлэх нь гүйлгээнүүдийн үед мөнгөн хөрөнгийг аюулгүй байлгахын тулд маш чухал болжээ. Мошенгийг цаг тухайд нь илрүүлснээр банкууд болон худалдаачид их хэмжээний алдагдлыг учруулахаас өмнө муу зорилготой хүмүүстэй тулгарч чадна. Судалгаагаар машин сургалт нь мошенгийг илрүүлэх боломжтой байгаа эсэхийг тодорхойлохын тулд эсэргүүцэх байдал үзүүлдэг бөгөөд энэ нь буруу байдлаар баталгаатай гүйлгээнүүдийг бага тохиолдолд илрүүлэх боломжийг олгодог ч гэсэн ихэнх жинхэнэ мошенгийн тохиолдлыг барих боломжийг олгодог. Гэсэн хэдий ч шинэ мошенгийн эсрэг төхөөрөмжүүдийг хуучин төлбөрийн системтэй холбоход асуудал үүсдэг бөгөөд эдгээр системүүдийг хэдэн арван жилийн өмнө байгуулсан байдаг. Маш олон компани энэ төрлийн нийцсэн байдалтай холбоотой асуудалтай тулгардаг. Хэрэглээний програмчлалын интерфейсүүдийг (API) ашиглан өөр өөр системүүдийг холбох, мөн жижиг, солих боломжтой хэсгүүдээс бүрдсэн программ хангамж бий болгох зэрэг шинэчилсэн аргууд энэ асуудлыг шийдэхэд тусалж байна. Эдгээр аргууд нь бизнесийн байгууламжууд өөрсдийн бүх байгууламжийг бүрэн солих шаардлагагүйгээр аюулгүй байдлыг сайжруулах боломжийг олгодог бөгөөд энэ нь цаг хугацаа болон мөнгө хоёрыг нь хэмнэнэ.
Санхүүгийн мэдээллийг зөвшөөрөлгүй нэвтэрлээс хамгаалахын тулд ажлын станцууд болон серверүүдийг зөв тохируулж байх нь чухал үүрэгтэй байдаг. Санхүүгийн байгууллагууд нь ашиглагдахгүй буй үйлчилгээнүүдийг салгаж, программ хангамжийг шинэчлэн засварын аргаар шинэчилж, мөн банкны орчинд онц specifically designed security стандартуудыг нэвтрүүлэх ёстой. Бодит амьдрал дахь инцидентүүд нь сул тохируулга нь том хэмжээний аюулгүй байдлын цонхнуудыг хэрхэн үүсгэж болохыг харуулж байна. Тухайн нэгэн тохиолдолд серверийн тохиргоог нээлттэй байлгаснаас хакерууд мөнгөн үнэ цэнэтэй мэдээллийг хулгайлж авчээ. Ийм төрлийн алдаанууд нь байгууллагуудын аюулгүй байдлын арга хэмжээнүүдийг заавал авах шаардлагатай байдлыг онцлон харуулж байна. Байгууллагууд өдөр бүр зөв тохируулга хийснээр тусгай төхөөрөмжүүдийг хамгаалахад туслахгүйгээр тогтолцооны нийтлэг кибер аюулгүй байдлыг бэхжүүлдэг.
NIST-ийн Криптографийн аюулгүй байдлын хүрээ нь компанийн цахилгаан хөрөнгө оруулалтын аюулгүй байдлыг илрүүлэх, удирдах, бууруулахад чиглэгдсэн чухал замын карт болон үйл ажиллагааны хүрээнд нь байршуулах нь дайрлагын эсрэг тэсвэртэй байдалд нөлөөлөх бөгөөд энэ нь эрсдлийг удирдах ажлыг өдөр тутмын ажил болгон хийдэг санхүүгийн удирдлагын хувьд маш чухал юм. Бүтэцтэй аюулгүй байдлын хандлага нь мөн төрөл бүрийн шинэ төрлийн аюулд хувьд мэдээллийг хамгаалахад тусдаг. Тэгэхдээ энэ хүрээг хэрэгжүүлэх нь хэцүү юм. Олон байгууллагууд нь хүрэлцээж байгаа нөөцийг түгээх, техникийн дэлгэрэнгүй мэдлэгтэй болохдоо хүндрэлд ордог. Эдгээр саад бэрхшээлийг ажилтны сургалтын хөтөлбөр, бизнесийн онцлог шаардлагад тохируулсан урт хугацаат планийн стратегиудаар даван туулж болно.
GDPR болон CCPA дүрмүүдийг зохицуулах, мэдээллийг зөв удирдах, аюулгүй байдлыг хангах нь маш чухал юм. Эдгээр хуулиуд хувийн мэдээлэл дээрх стратегийн хамгаалалтыг компанийн түвшинд хэрэгжүүлэхийг шаарддаг бөгөөд эдгээр дүрмийг зөрчвөөс томоохон санхүүгийн торгуулийг хүлээх болно. Эдгээр дүрмийн нөлөө нь зөвхөн орон дотоодын компанийн хүрээнд биш харин олон улсын хэмжээнд өгөгдлийг улс орнуудын хооронд дамжуулах, бизнесийн үйл ажиллагааг зохицуулах арга замыг ч бас нөлөөлдөг тул дагаж мөнөх нь маш хүнд байдаг. Санхүүгийн удирдагчдын хувьд эдгээр дүрмийг биелүүлэх нь ээлтэй шийдэгдэх ёстой асуудал юм. Учир нь торгуулийн хэмжээ нь компанийн ашгийн хэмжээнд хүнд нөлөө үзүүлнэ. Түүнчлэн олон улсын зах зээл дээрх байр сууриа бэхжүүлэхийн тулд хэрэглэгчид, хамтрагчидтай харилцахдаа өгөгдлийн нууцлалыг чухалчилж байгаа тухай итгэлийг тусгах нь чухал.
Кибер аюулгүй байдлын зөрчил гарсан тохиолдолд компаниуд инвесторт хэзээ мэдэгдэх ёстой талаар СЭК-ийн хатуу дүрэм байдаг бөгөөд энэ нь бизнесүүдийн санхүүгийн байдалтай холбоотойгоор нээлттэй, ил тод байхын чухлыг харуулж байна. Санхүүгийн зохицуулагч нарын хувьд эдгээр дүрэм журамтай танилдах нь зөвхөн цаасны ажил биш, харин компанийн тогтвортой байдлын талаар хувьцаа эзэмшигчид итгэл найдвар байлгах үүрэгт орно. Сүүлийн жилүүдэд аюулгүй байдлын асуудлыг зөв мэдэгдээгүй фирмүүдэд СЭК-ийн хэжигнэл шийтгэл өгсөн нь тодорхой зүй тогтол үүсгэж байна. Зөвхөн өнгөрсөн улиралд гурван том корпорацид өгөгдлийн нууцлалын зөрчлийг татгалзаж мэдэгдсэн тул торгууль ногдуулсан. Ухаантай компаниуд урьдчилан бэлтгэл хийж, баталгаатай хариу арга хэмжээний стратеги боловсруулдаг. Энэ нь гамшгаа хурдан тогтоох, холбогдох талуудад өдөр биш харин цагийн дотор мэдэгдэх, түүнчлэн бүх явцын турш ил тод харилцаа холбоо тогтоох тодорхой журмыг боловсруулахыг шаарддаг. Ийм нөхцөл байдлыг зөв удирдвал компанийн нэр хүнд болон ашгийг заавал задлан разрушить болгох шаардлагагүй.
Нийлүүлэгчийн эрсдлийг удирдах нь нарийн төвөгтэй нийлүүлэлтийн болон мэдээллийн аюулгүй байдлыг хангахын тулд чухал юм. Гуравдагч талын нэвтрэлтийн улмаас компанийн ихээхэн асуудалд орсон олон жишээнүүдээс компанийн яагаад чанарын шалгуур шалгалт чухал болохыг харуулж байна. Компаниуд ихэвчлэн аюулгүй байдлын мэдлэгийн цуглуулгын хүрээнд гуравдагч талын байнгын шалгалт хийж хамтран ажилладаг талуудын аюулгүй байдлыг үнэлдэг. Энэ төрлийн үнэлгээнүүд нь гадны хамтрагчид мэдээллийн нууцлалыг задруулахад хүргэхгүй байхад тусалдаг. Санхүүгийн удирдагчид үүрэг хариуцлагаа биелүүлэхийн тулд нийлүүлэгчийн шалгалтанд цаг зарцуулах нь сайн дадал биш зүгээр л аюултай аж ахуйн нөхөрлүүдээс өөрийгөө хамгаалахын тулд шаардлагатай юм. Яг тэгээд л аль ч компани өөрийн нэр хүндээ алдагдуулахыг хүсэхгүй байгаа нь тодорхой юм.
ХИ технологийн дэвшлийн баянд сүлжээний доторх аюул заналхийг илрүүлэх арга бүрэн өөрчлөгдсөн бөгөөд кибер аюулгүй байдлын боломжийг бүрэн шинэ түвшинд гаргаж ирлээ. Одоо компанийнууд машин сургалт болон олон төрлийн ХИ систем ашиглан асуудлыг томоохон болохын өмнө нь илрүүлж эхэлсэн. Эдгээр ХИ технологийг ашигласнаар аюул илрүүлэх чадвар нь өмнөх арга барилтай харьцуулахад 80% сайжирдаг гэсэн судалгаа байдаг бөгөөд энэ нь системийг хамгаалахдаа аюулгүй байдлын багийн давуу тал болдог. ХИ-г цогц системд нэвтрүүлэхдээ сайн үр дүн гаргах нь бүх зүйл зохицож ажиллахад хамааралтай. Энэ нь бизнесийн онцлог шаардлагуудад тохируулахын зэрэгцээ ямар ХИ багаж хэрэгслийн цогц бүтэц нь одоо байгаа системтэй хэр зэрэг нийцдэгийг үнэлэх явдал юм. Олон аж ахуйн нэгжүүд өөртөө зориулан шаардлагыг сайн ойлгож, тогтоовол урт хугацаанд илүү сайн үр дүн гарна гэдгийг олж мэдэж байна.
Хэлхээний технологи нь гүйлгээнүүдийг бодит байдлыг хадгалж, нээлттэй байлгахад бусад технологиос ялгаатай онцлогтой. Мэдээлэл бичигдсэн нэгэнтээ хэн ч өөрчлөх боломжгүй бөгөөд автоматаар аудитын замыг бий болгодог. Мэдээллийн шилжүүлэг хийхэд мэдээж илүү аюулгүй байдал нэмэгддэг. Жишээлбэл, IBM компанийн аудитын үйл явцад хэлхээний технологийг амжилттай ашиглаж, мэдээллийн баталгаажилтыг сайжруулж, алдааг багасгасан. Хэдийгээр одоо ч гэсэн хэлхээний технологийн хэмжээ томрох боломжгүй эсвэл ойлгоход хүрэлцээтэй биш гэсэн санаа бодол үлдээд байна. Эдгээр санаа бодлоо давж гарах нь аудитын салбарт хэлхээний технологи юу хийж чадахыг харуулах боломжийг олгоно. Хүмүүсийг технологийн ажиллах зарчмыг ойлгохыг сургах, технологийн сайжруулалтыг үргэлжлүүлэх нь бүх хамрагдах этгээдэд тогтвортой орчинг бий болгоход тусална.
Хагас ажиллах газруудыг аюулгүй байлгахын тулд тэг нэвтрэх эрхийн архитектур маш чухал байжээ. Энэ нь компанийн дотоод сүлжээ нь аюулгүй бүс гэж үзэхийн оронд нэвтрэх цэг бүр дээр бүхнийг шалгах гэдэг энгийн боловч чадалтай үндсэн санааг дэвшүүлдэг. Судалгааны дүгнэлтээр тэг нэвтрэх эрхийг хэрэглэсэн компанийн хувьд аюулгүй байдал алдагдах нь өмнөх арга барилыг хэрэглэж байгаа компанийнхаас ойролцоогоор хагас бага байжээ. Тэг нэвтрэх эрхийг амьдралд нэвтрүүлэх нь зөв техникийн хэрэгслийг сонгохыг шаарддаг. Идентификацийн удирдлагын систем болон олон үеийн нэвтрэх эрхийн шалгалт нь ихэнх хэрэгжилтэнд үндэс болох ёстой. Хамгийн сайн ажилладаг нь ямар төрлийн бизнесийн талаар ярилцаж байгаагаас хамаарна. Үйлдвэрлэлийн уурхай болон онлайн үйлчилгээний хангагчид өөр өөр хамгаалалтын шаардлагатай байна. Энэ асуудлыг зөв шийдэхэд цаг хугацаа шаардлагатай бөгөөд кибер халдлагын эсрэг хамгаалахын тулд мэдээлэл яаж дамжин явдаг вэ гэдгийг нарийн тодорхойлох шаардлагатай.
Квантын компьютерийн технологи урьд харагдаагүй хурдаар хөгжиж байгаа бөгөөд одоогийн бидний ашиглаж буй нууцлалын аргууд эрсдэлд орж байна. Квантын дайрлагын эсрэг тэсвэх боломжтой шийдлүүдийг одооноос эхлэн хөгжүүлэх шаардлагатай болжээ. Криптографич хамгаалалтын мэргэжилтнүүд одоо хүрээлэн байгаа квантын компьютерийн аюул нь жилийн дотор бодит аюул болон хувирч болзошгүй гэдгийг урьд хэдэн жилээс хэлж байсан. Ирээдүйд бэлтгэх нь дэлхийн хэмжээнд явагдаж буй судалгааны төслүүдийг сайн судлан шинжлэх шаардлагатай. Жишээлбэл, Эрхлэгчийн стандартын үндэсний институт (NIST) квантын компьютер ашиглаж эхэлсэн ч мэдээллийг хамгаалж чадах шинэ нууцлалын стандартыг хөгжүүлэхэд ахлагч байр суурь эзэлж байна. Компаниуд ирээдүйд нууцлалын системийг хэрхэн удирдах талаар одооноос бодож эхлэх ёстой. Яагаад гэвэл хэн ч өглөө болоход мэдээлэл нь аюулгүй бус болсон гэдгийг мэдэж хүрэхийг хүсэхгүй биз дээ.
Орчин үеийн бизнес үйл ажиллагааны нарийн төвөгтэй байдлыг удирдахдаа санхүүгийн удирдагчид кибер даатгалыг зөвхөн нэг мөр зардал гэж үзэхгүйгээр эрсдэлийг удирдахын тул шаардлагатай хэсэг болгон авч үзэх ёстой. Өнөөгийн өгөгдлийн нууцлалын зөрчил нь компаниудад хэдэн сая ам.долларын зардал өгдөг. IBM-ийн 2021 оны судалгааг авч үзвэл дундаж нууцлалын зөрчлийн үед дунджаар $4.24 сая ам.долларын зардал гарч байжээ. Кибер даатгал нь халдлагын дараа гарч болох хууль зүйн шинжилгээ, гэмтсэн системийг засварлах, зохицуулах шинжилгээний үед гарах зарим таамаглаж болохгүй зардлуудыг хариуцдаг. Энэ хамгаалалтанд хэдий хэмжээний хөрөнгө оруулах вэ гэдгийг санхүүгийн удирдагчид бусад аюулгүй байдлын зардалтай харьцуулан шийдэх ёстой. Даатгал нь хамгийн муу тохиолдолд хамгаалдаг ч ухаантай бизнесүүд нь нөөцийг урьдчилан сэргийлэх арга хэмжээнд чиглүүлдэг тул даатгалын дэмжлэг авах шаардлагагүй байдалд хүрэхийг оролдоно. Эцэст нь, асуудлыг урьдчилан сэргийлэх нь дараа нь цэвэрлэхээс илүү сайн байдаг.
Аюулгүй байдлын тухай сургалт нь ажилчидын хандлагыг өөрчлөхөд ба аюулгүй байдлын асуудлыг бууруулахад бодит нөлөө үзүүлдэг. Эдгээр сургалтын хөтөлбөрийг нэвтрүүлсэн компаниуд ихэвчлэн инцидентийн тоо цөөрснөөр зардал нь үр дүнтэй байсныг харуулдаг. Жишээ нь KnowBe4-ийн судалгааг авч үзье, тэд сургалтын дараа фишингийн оролдлого 90% буурсан гэж тогтоосон. Санхүүгийн мэргэжилтнүүд эдгээр арга хэмжээ үр дүнтэй ажиллаж байгаа эсэхийг үнэлэхдээ цаг хугацааны туршид хэдэн инцидент болсон, зүйл муудаж байхад хариу ажиллагаа хэр хурдан явагдаж байгаа, сургалтын үеэр ажилчид хэр зэрэг оролцож байгааг шалгах нь зүйтэй. Амжилтыг хэмжих нэг арга бол компани даяар бодит аюулгүй байдлын нэвтрэлт багасч байгаа тул хэдэн мөнгө хэмнэснийг шууд үзэх явдал юм.
Хулгайн эрсдлийн талаар захирлуудад тайлагнах ажилд нээлттэй байх нь компанийн урт хугацааны шийдвэрүүдийг зөв гаргахад чухал ач холбогдолтой. Эдгээр тайлангууд нь технологийн хүрээн дэх нарийн асуудлуудыг удирдлагын хүмүүс шууд ашиглаж болох мэдээллээр хөрвүүлдэг. Үндсэн зөвлөгөө гэвэл: хэлээ энгийн байлгах, гол эрсдлүүдэд анхаарлаа хандуулах, дараагийн алхмыг нь санал болгохыг мартаж болохгүй. Жишээлбэл Microsoft компанийн тайлангууд энэ хувьд тэргүүлж байгаа бөгөөд сүүлийн үеийн аюулгүй байдалын эрсдлүүд болон тэдгээрийн эсрэг авч буй арга хэмжээний талаар хянах самбарыг бий болгосон. Ийм нээлттэй байдал нь захирлуудад асуудал хүндэрснээс өмнө л нөлөөлөх боломж олгодог бөгөөд инвесторууд болон хэрэглэгчдэд компани өөрийн мэдээллээ хамгаалах ажлыг чинь хийдэг болохыг харуулдаг. Эцэст нь, хэн ч сул талуудыг нь нууж байгаа компанийн хувьд хөрөнгө оруулалт хийхийг хүсэхгүй биз.
Компаниуд кибер аюулгүй байдалд мониторын шинжилгээг нэвтрүүлэхэд эрсдлийг цаг тухайд нь илрүүлэх чадвар нь сайжирдаг. Хэрэглэгчдийн системтэй харилцан үйлчлэл явуулах байдлыг судлах, дэлгэцэн дээрх эвгүй зүй тогтолыг илрүүлэх нь асуудлыг бүрэн хөгжсөн цохилт болохын өмнө олох боломжийг олгодог. Аюулгүй байдал хариуцсан багууд нь SIEM систем шиг хэрэгсэлд дүн шинжилгээг цуглуулж, эсэргүүцэх зүйлсийг тэмдэглэхэд тулгуурладаг. Жишээлбэл, мониторын шинжилгээг нэвтрүүлснээр зарим компаниуд боломжит нэвтрэлтид хариу үзүүлэх хурд нь 40%-иар сайжирсан гэж ажиглагдсан. Ямар ч систем бүрэн бат бөгөөд байж чадахгүй ч олон IT менежерүүд шинжилгээний тусламжтайгаар өөрсдийн сүлжээнд юу болсныг бодит цагт нь харж чаддаг болсоноороо аюулгүй байдал нь сайжирсан гэж итгэдэг.
Дараагийн хэсэг рүү шилжих өгүүлбэр: Аюулгүй байдлыг санхүүгийн удирдлагын арга замаар хэрэгжүүлэх олон талт хандлагыг судалсны дараа компьютерийн аюулгүй байдлын онцлог шинэ технологийг танилцуулж байна. Тодорхойлбол хэрхэн Искусственный интеллект, блокчейн болон бусад инноваци нь энэ салбарыг хувьсгалчлах арга замыг нарийвчлан тайлбарлах.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
