GDPR буюу Ерөнхий мэдээлэл хамгаалах журам гэж юу вэ?
2018 оны 5 сараас хойш улс орнууд болон байгууллагууд Европын холбооноос гаргасан GPDR (General Data Protection Regulation) буюу “Ерөнхий Мэдээлэл Хамгаалах Журам” бодлогыг хэрэгжүүлж эхэлсэн.
Энэ журам өнгөрсөн жилүүдэд цахим орчинд интернет хэрэглэгчдийн хувь хүний мэдээллийн нууцлал алдагдсантай холбогдуулан хувь хүний мэдээллийн нууцлалыг хамгаалж аюулгүй байлгах гол зорилготой. GDPR журамыг хэрэгжүүлэхийн тулд байгууллага, бизнес эрхлэгчид өөрсдийн харилцагч үйлчлүүлэгчдийн имэйл, утасны дугаар болон хувь хүний мэдээллийг авч юунд ашиглах, мэдээллийг нь хэрхэн хамгаалж нууцлахыг зөвлөж, ойлгуулах хэрэгтэй. Үүнд зөвхөн үйлчлүүлэгчдээс гадна тухайн байгууллагын ажиллагсад хамрагддах шаардлагатай.
GDPR журам хэрэгжиж эхлээд нэг жилийн хугацаанд мэдээлэлийн аюулгүй байдалтай холбоотой 144,376 гомдол гарч ирсэн. Үүнд телемаркетинг болон имэйл сурталчилгаанууд багтаж байгаа юм. Үүнээс гадна мэдээллийн аюулгүй байдал алдагдсан 90000, хил дамнасан өгөгдөл болосвруулах үйл ажиллагааны доголдол 446 гомдолууд гарсан.
Байгууллагуудын хувьд GDPR нэвтрүүлснээр мэдээллийн аюулгүй байдлаас гадна дараах давуу талуудыг бий болгодог.
- Өрсөлдөөнд давуу байдлыг авах - 41%
- Мэдээллийн хяналт - 42%
- Мэдээллүүдийг ангилан удирдах - 41%
- Үйлчлүүлэгчид болон үйлчлүүлэгчдийн хувийн нууцлалын асуудлаас болж борлуулалтын саатлыг бууруулдаг - 37%
- Хөрөнгө оруулагчдад хандахад нь тусалдаг - 36%
Эх сурвалж: Cisco
Мөн GDPR нэвтрүүлснээр байгууллагуудыг IoT технологийн аюулгүй байдалд нухацтай хандах болон ослын хариу арга хэмжээ авах стратегийг сайжруулахад хүргэсэн. Өнөөдрийн байдлаар GDPR бодлогыг зөвхөн Европын холбооны улсуудаас гадна АНУ, Канад, Япон, Бразил болон Австрали зэрэг улсууд нэвтрүүлж эхэлсэн.
Харин GDPR байгууллагуудад өөрсдийн үйлчлүүлэгчдийнхээ цуглуулсан мэдээллүүдэд дахин хяналт хийж, үйлчлүүлэгчдээсээ сурталчилгааны мессеж, дуудлага болон имэйл зэрэг мэдээллүүдийг хүргэх зөвшөөрлийг авах ёстойг анхааруулж байдаг ба дараах зүйлсийг хориглоно. Үүнд байгууллага үйлчлүүлэгч, харилцагчдынхаа мэдээллийг бусдад зарах болон дамжуулахыг хориглоно. Үйлчлүүлэгч зөвшөөрөөгүй тохиолдолд үйлчлүүлэгчид зар сурталчилгааны мессеж, дуудлага, имэйл болон биет сурталчилгаа илгээхгүй байх,
Өнгөрсөн нэг жилийн хугацаанд GDPR журамыг нэвтрүүлээгүй болон зөрчсөн тохиолдлуудыг авч үзвэл:
- 2018 оны 9 сард British Airways үйлчлүүлэгчдийн мэдээллийг зөрчилөөр 200сая еврогоор торгуулсан.
- 2014 – 2018 оны хооронд Marriott International мэдээллийн зөрчилөөр 99 сая еврогоор торгуулахад хүрсэн.
Ихэнх байгууллага болон хувь хүмүүс GDPR -ийг мэдээлэл технологийн асуудал гэж үздэг ч энэ ойлголт буруу юм. Энд маркетинг болон борлуулалтын үйл ажиллагааны бодлогыг шинэчлэн сайжруулахад оршиж байгаа юм. Вертексмон ХХК нь бизнесийн болон төрийн байгууллагуудад мэдээллийн аюулгүй байдлыг хангахад туслах шийдлүүдийг Enterprise Cyber Security Architecture -ийн хүрээнд санал болгодог билээ.
- Network Security- Сүлжээний аюулгүй байдлыг хангах Next Generation Firewall.
- Cloud Security- Үүлэн технологийн аюулгүй байдлын дэвшилтэт шийдэл.
- Endpoint, Server, Mobile device Security- Эцсийн хэрэглэгчийн ашиглаж буй бүх түвшний төхөөрөмжүүдийн аюулгүй байдлын шийдэл.
- Data Loss Prevention, encryption - Өгөгдөл алдагдахаас урьдчилан сэргийлэх шийдэл.
- Vulneratbility and Patch Management - Мэдээлэл технологийн тоног төхөөрөмж, системийн эмзэг байдлын менежментийн шийдэл
- Identity authentication access management - Байгууллагын эмзэг мэдээллүүдийг агуулсан төхөөрөмж, системрүү хандах хандалтыг удирдах, зохион байгуулах, хянах менежментийн шийдэл.
- Log management - Next Generation SIEM (Security information and event managemt) буюу дараа үеийн дэвшилтэт шийдэл
- Гэх мэтчлэн аюулгүй байдлын бүхий л систем шийдлүүдийг санал болгодог.