நம் பணம் பாதுகாப்பாக இருக்கிறதா?

இந்தியாவின் தொலைத்தொடர்புகள், வங்கித் தொழில்நுட்பங்கள், நல்வாழ்வு சேவைகள் உள்ளிட்டவற்றில் உள்ள முக்கியமான தரவுகளின் மீது பெரிய அளவில் இணையவழித் தாக்குதல்கள் நடக்கின்றன. இவற்றில் பல தங்களின் குறிக்கோள்களைச் சாதிக்கின்றன என்பது மோசமானது. காங்கிரஸ் கட்சித் தலைவர்கள், தொழிலதிபர் விஜய் மல்லையா, பத்திரிகையாளர்கள் பர்கா தத், ரவிஸ்குமார் ஆகியோரின் மின்னஞ்சல்கள், ட்விட்டர்கள் தாக்கப்பட்டதற்கு 'லீஜியன்' எனும் குழு பொறுப்பேற்றுள்ளது. அதன் பிரதிநிதிகள் செய்தி நிறுவனங்களிடம் பேசியிருப்பதைக் கவனியுங்கள்.

இந்தியாவில் "40,000-க்கும் மேலான சர்வர்களைக் கைப்பற்றியுள்ளோம்" என்கிறார்கள். பாஸ்வேர்டுகள் போன்ற ரகசியத் தகவல்களைப் பாதுகாக்க, அவற்றைக் குறியீடுகளாக மாற்ற இந்திய வங்கிகள் பயன்படுத்தும் வழிமுறைகளையும், தனியார் மருத்துவமனையின் சர்வர்களில் உள்ள ரகசியத் தகவல்களையும் அவர்கள் கைப்பற்றியிருப்பதாக ஒரு அமெரிக்க நாளிதழ் பேட்டியில் அறிவித்துள்ளனர். ரகசியத் தகவல்களை விற்பதில் எங்களுக்கு ஆர்வம் கிடையாது. இணையவழித் தாக்குதல்களுக்கான வழிமுறைகளை விற்பதன் மூலம் நாங்கள் போதுமான அளவு சம்பாதிக்கிறோம் என்கிறது 'லீஜியன்'.

மென்பொருள் தயாராகும்போது ஏற்படும் திடீர்ப் பின்னடைவுகளின்போது ஏற்பட்ட குறைபாடுகள் பிறகு, தொழில்நுட்ப நிபுணர்களால் கண்டுபிடிக்கப்படும். அவை பிற்பாடு அந்த மென்பொருளைக் கண்டுபிடித்த நிறுவனங்கள், அவற்றின் போட்டி நிறுவனங்கள், அரசாங்கங்கள், குற்றச்செயல்கள் புரிவோருக்கு விற்கப்படும். அத்தகைய வியாபாரக் குழுக்கள் இந்த மின்னஞ்சல்கள், ட்விட்டர்களைத் தாக்கிக் கைப்பற்றியிருந்தால், இத்தகைய ஊடுறுவல் தாக்குதல்கள் மிகவும் கவலைக்குரியவை.

அமெரிக்காவும் இஸ்ரேலும் இணைந்து 'ஸ்டக்ஸ்நெட்' எனும் இணைய ஆயுதத்தை உருவாக்கியுள்ளனர். ஈரான் நாட்டின் அணு ஆயுதத் திட்டங்களுக்கான இயந்திரங்களின் வேகத்தை அது குறைக்கிறது. அது மென்பொருட்களின் நலிந்த பகுதியைத் தாக்கி மின்னணுச் சான்றிதழ்களைத் திருத்துகிறது. அதன் மூலம் இந்த இணைய ஆயுதம் 'விண்டோஸ் இயங்குதள'த்திலும் செயல்படுகிறது. தனது பயனாளரின் கணினி அல்லது செல்பேசிதானா இது என்று உறுதிப்படுத்திக்கொள்வதற்காக இந்திய வங்கியின் இணையதளம் பயன்படுத்துகிற 'செக்யூர் சாக்கெட் லேயர்' எனும் சான்றிதழை 'லீஜியன்' குழுவினர் கைப்பற்றிவிட்டார்கள் என்று வைத்துக்கொள்வோம். அவர்களால் அதை வைத்தே இந்திய வங்கியின் ரகசிய உள்நுழைவுத் தகவல்கள் அனைத்தையும் எளிதாக எடுத்துவிட முடியும். அது பெரும் நிதிஇழப்பை ஏற்படுத்தும்.

மின்னணுப் பரிவர்த்தனைகளின் நம்பகத்தன்மை

ஒரு நேர்காணலில் 'லீஜியன்' குழுவினர் தங்களின் அடுத்த இலக்கு அரசாங்கத்தின் மின்னஞ்சல்கள் புழங்குகிற சர்வர்கள்கள்தான் என்கிறார்கள். இத்தகைய பெரிய தாக்குதல்களோடு ஒப்பிட்டால், பிரபலமானவர்களின் ட்விட்டர்களை அவர்கள் கைப்பற்றித் தகவல்களை வெளியிட்ட செயல்கள், வெற்று விளம்பரத்துக்காகச் செய்யப்பட்ட சின்னஞ்சிறு சேட்டைகளே.

பணமதிப்பு நீக்க நடவடிக்கைக்குப் பிறகு, மேலும் அதிகமான இந்தியர்கள் 'மின்னணுப் பணம் செலுத்தும் வாசல்கள்' மூலமாக 'ஆன்லைன் பணப் பரிவர்த்தனை' மாறிக்கொண்டிருக்கிற இந்த நேரத்தில், இத்தகைய இணையவழித் தாக்குதல்கள் மக்களின் நம்பிக்கையை மோசமாகச் சீர்குலைக்கும். இந்தியாவின் 'மின்னணுப் பாதுகாப்பு நிலவரம்' மிகவும் மோசம் என்பதை 'லீஜியன்' தாக்குதல்கள் வெளிப்படுத்துகின்றன. நாட்டின் மின்னணுச் சொத்துகள் இணையவழித் தாக்குதல்களுக்கு ஆளாகும்வகையில் இருப்பதற்கு அமைப்புரீதியான, பொருளாதார, சமூகக் காரணிகள் இருக்கின்றன. நாட்டின் நிர்வாகத்துக்கு மிகவும் அவசியமான 'முக்கியமான தகவல்களுக்கான உள்கட்டமைப்'பை மத்திய அரசு இன்னும் உருவாக்கவில்லை. அரசாங்கத்தின் மின்னஞ்சல்களைக் கையாளுகிற 'சர்வர்'களை நிர்வகிக்கிற தேசியத் தகவல் மையம் கடந்த காலத்தில் பலமுறை தவறியிருக்கிறது. அதைப் பயன்படுத்துபவர்கள், அரசின் மிகவும் முக்கியமான தகவல் பரிமாற்றங்களை அணுகும்போது, தங்களின் அடையாளத்தை இருமுறை உறுதிப்படுத்தும் வகையில் பரிசோதனைகளுக்கு உட்பட வேண்டும் என்பதைக் கடைப்பிடிப்பதில்லை என்பது சில மாதங்களுக்கு முன்புகூட வெளியானது. தேசிய இணையப் பாதுகாப்பு ஒருங்கிணைப்பாளரை 2014-ல் மத்திய அரசு நியமித்தது வரவேற்கத்தக்க நடவடிக்கை. ஆனால், அதற்கான மாநிலப் பொறுப்பாளர்கள் நியமிக்கப்படவில்லை. அவசர காலக் கணினி எதிர்வினைக் குழு'வுக்குப் போதுமான பணியாளர்கள் இல்லை.

தங்களின் மின்னணு வலையமைப்புகளில் ஏற்படுகிற அத்துமீறல்களை அரசிடம் பதிவுசெய்யாத, அவற்றுக்கு எதிர்வினை புரியாத தனியார் துறையும் அரசாங்கத்துக்குச் சமமான முறையில் குற்றவாளியே. சர்வதேசக் காவல் துறை நிறுவனமான இண்டர்போல் தரும் விவரங்களின்படி, 1,11,083 அத்துமீறல் சம்பவங்கள் 2015-ல் மட்டும் அவசரகாலக் கணினி எதிர்வினைக் குழுவால் கையாளப்பட்டுள்ளது. ஆனால், காவல் துறை உள்ளிட்ட புகார் நிறுவனங்களிடம் இவற்றில் 10% தான் பதிவுசெய்யப்பட்டுள்ளது.

செல்பேசி வழியாகப் பணம் செலுத்துவதில், இணையவழி வணிகத்துக்கான இணையதளத்தில் நடக்கும் மின்னணு மோசடிகள், இந்தியாவில் குறைவாகவே தெரியவருகின்றன. அத்தகைய விவரங்கள் தானாகவும் கிடைப்பதில்லை. சட்டவிதிகள்படியும் நிறுவனங்கள் அவற்றைத் தருவதில்லை. ஆண்ட்ராய்ட், மற்றும் ஐஓஎஸ் இணையகடைகளில்தான் பெரும்பாலான இந்தியாவின் 'ஆப்ஸ்' எனப்படும் செயலிகள் கிடைக்கின்றன. அவை தானாகவே தன்னை மேம்படுத்திக்கொள்ளும்வகையில் கிடைக்கின்றன. பயனாளருக்குத் தெரியாமலே மேல்வேர் எனப்படும் தீம்பொருள் நிறுவப்பட்டுவிடும் வாய்ப்புகளை இத்தகைய நிலை ஏற்படுத்துகிறது.

முக்கியமான பிரச்சினை நடத்தை தொடர்பானதாக இருக்கலாம். இணையப் பாதுகாப்பைக் கட்டாயமாகச் செய்ய வேண்டிய விவகாரமாக இந்தியாவின் மேல்தட்டினர் பார்ப்பதில்லை. மிகப்பெரிய அரசியல்வாதிகள், தொழிலதிபர்கள், பத்திரிகையாளர்களை வெற்றிகரமாக 'லீஜியன்'குழுவினர் தாக்கியது இதற்கான ஆதாரமே. அரசியல் எதிரிகள்தானே மாட்டிக்கொண்டார்கள் என்று சந்தோஷப்படும் ஒருவித மனப்பான்மை நம்மிடம் உள்ளது. பாதுகாப்பு நடைமுறைகள் போதுமானதாக இல்லை என்று தேசியத் தகவல் மையத்தின் 'சர்வர்'களை அடிக்கடி குறைகூறுகிறோம். ஆனால், ஜிமெயிலைத் தங்களின் அதிகாரபூர்வத் தகவல் தொடர்புக்குப் பயன்படுத்தும் பெரும்பாலான இந்திய நிறுவனங்களும் அதன் ஊழியர்களும் இருமுறை உறுதிப்படுத்திக்கொள்ளும் பாதுகாப்பு நடைமுறையைக் கடைப்பிடிப்பதில்லை.

இணையவழித் தாக்குதல்களில் மனிதப் பங்கு

இந்தியாவில் வணிகர்கள் உள்ளிட்ட பயனர்கள் மிகவும் தரமான மின்னணுச் சாதனங்கள், வெளிவலைத்தொடர்புகளோடு தொடர்பு வைக்காமல், தனித்து வைக்கப்பட்டுள்ள கணினி வலைத்தொடர்புகள் மூலமாகத் தங்களின் தகவல்களைப் பாதுகாப்பாக வைத்துக்கொள்ளலாம் என்று நம்புகிறார்கள். இந்திய மின்னணுப் பாதுகாப்பு பற்றிப் பேசுவோர், தொழில்நுட்ப நிபுணர்களின் பங்கைப் புறக்கணித்துவிடுகின்றனர். ஆனால் பெரும்பாலான, எளிதான இணையவழித் தாக்குதல்களில் மனிதர்களின் பங்கு உள்ளது. ஸ்டக்ஸ்நெட்டைச் செயல்படுத்த ஈரான் அணுசக்தி தொடர்பான அமைப்புகளுக்குள் பாதிப்புக்கு ஆளான யுஎஸ்பி கருவிகளைச் செலுத்துவது அவசியம். 950 மிலியன் டாலர்கள் இணையவழிக் கொள்ளையை வங்கதேச வங்கிகளில் 2016-ல் நடத்திய குற்றவாளிகளிடம் ஸ்விப்ட் குறியீடுகளை வங்கிகள்தான் ஒப்படைத்திருந்தன.

முதல் தலைமுறை இணையப் பயன்பாட்டாளர்களை 'லீஜியன்' குறிவைப்பதில்லை. பாதுகாப்பான செல்பேசிகளையும் தொலைத்தொடர்புகளையும் பயன்படுத்தும் தொழில்நுட்ப ஜாம்பவான்களைத்தான் அவர்கள் தாக்குகின்றனர். மனிதர்களின் தலையீடு பலவீனமாக இருந்தால், மின்னணு வலைத்தொடர்புகளைப் பாதுகாப்பது எவ்வளவு கடினமானது என்பதை இது காட்டுகிறது. இணையவழித் தாக்குதல்களின் காலகட்டம் இது. அரசாங்கம் அக்கறை இல்லாமல் இருந்தால் தாக்குபவர்கள் மீண்டும் மீண்டும் செய்வார்கள். பணப் பரிவர்த்தனைகள், பாதுகாப்புக் கருவிகள் பற்றிய விழிப்புணர்வை ஏற்படுத்தாமல், திறனை வளர்க்காமல், மத்திய அரசு மக்களைப் பணமில்லா பொருளாதார முறைக்குத் தள்ளிவிட்டிருக்கிறது.

ஏதாவது நடந்தால், அதை முறைப்படுத்த வேண்டியவர்கள் வணிக நிறுவனங்கள்தான். அவர்கள்தான் தங்களின் மின்னணு பணப் பரிவர்த்தனையைப் பாதுகாத்துக்கொள்ள வேண்டும் என்றும் பேசுவார்கள். 2,000 ரூபாய்க்குக் குறைவான பரிவர்த்தனைகளுக்கு இரண்டாம் முறை பாஸ்வேர்ட் செலுத்த வேண்டிய சோதனை முறை கிடையாது என்று அறிவித்துள்ளது ரிசர்வ் வங்கி. இருமுறை பரிசோதிக்கப்படாமல் நடைபெறும் பணப் பரிவர்த்தனையில் ஒருமுறை இணையவழித் தாக்குதல் ஏற்பட்டாலும், அதிகமான எண்ணிக்கையில் பணம் பரிவர்த்தனை செய்வதுகூடப் பாதிக்கப்படும். தரவுகளைத் திருடுவது அடிக்கடி நடந்தால், அது இணையத்தைப் பயன்படுத்துபவர்களின் நம்பிக்கையைப் பாதிக்கும். 'டிஜிட்டல் இந்தியா'வை எதிர்கால லட்சியமாகக் கொண்டுள்ள ஒரு அரசாங்கத்தின் முயற்சிகள் எல்லாவற்றையும் மக்களின் நம்பிக்கையிழப்பு கெடுத்துவிடும்.

- அருண் மோகன் சுகுமார், டெல்லியைச் சேர்ந்த ஆய்வாளர்.

'தி இந்து' ஆங்கிலம். தமிழில்: த.நீதிராஜன்