Last Updated : 07 Jan, 2017 09:45 AM

 

Published : 07 Jan 2017 09:45 AM
Last Updated : 07 Jan 2017 09:45 AM

நம் பணம் பாதுகாப்பாக இருக்கிறதா?

இந்தியாவின் தொலைத்தொடர்புகள், வங்கித் தொழில்நுட்பங்கள், நல்வாழ்வு சேவைகள் உள்ளிட்டவற்றில் உள்ள முக்கியமான தரவுகளின் மீது பெரிய அளவில் இணையவழித் தாக்குதல்கள் நடக்கின்றன. இவற்றில் பல தங்களின் குறிக்கோள்களைச் சாதிக்கின்றன என்பது மோசமானது. காங்கிரஸ் கட்சித் தலைவர்கள், தொழிலதிபர் விஜய் மல்லையா, பத்திரிகையாளர்கள் பர்கா தத், ரவிஸ்குமார் ஆகியோரின் மின்னஞ்சல்கள், ட்விட்டர்கள் தாக்கப்பட்டதற்கு 'லீஜியன்' எனும் குழு பொறுப்பேற்றுள்ளது. அதன் பிரதிநிதிகள் செய்தி நிறுவனங்களிடம் பேசியிருப்பதைக் கவனியுங்கள்.

இந்தியாவில் "40,000-க்கும் மேலான சர்வர்களைக் கைப்பற்றியுள்ளோம்" என்கிறார்கள். பாஸ்வேர்டுகள் போன்ற ரகசியத் தகவல்களைப் பாதுகாக்க, அவற்றைக் குறியீடுகளாக மாற்ற இந்திய வங்கிகள் பயன்படுத்தும் வழிமுறைகளையும், தனியார் மருத்துவமனையின் சர்வர்களில் உள்ள ரகசியத் தகவல்களையும் அவர்கள் கைப்பற்றியிருப்பதாக ஒரு அமெரிக்க நாளிதழ் பேட்டியில் அறிவித்துள்ளனர். ரகசியத் தகவல்களை விற்பதில் எங்களுக்கு ஆர்வம் கிடையாது. இணையவழித் தாக்குதல்களுக்கான வழிமுறைகளை விற்பதன் மூலம் நாங்கள் போதுமான அளவு சம்பாதிக்கிறோம் என்கிறது 'லீஜியன்'.

மென்பொருள் தயாராகும்போது ஏற்படும் திடீர்ப் பின்னடைவுகளின்போது ஏற்பட்ட குறைபாடுகள் பிறகு, தொழில்நுட்ப நிபுணர்களால் கண்டுபிடிக்கப்படும். அவை பிற்பாடு அந்த மென்பொருளைக் கண்டுபிடித்த நிறுவனங்கள், அவற்றின் போட்டி நிறுவனங்கள், அரசாங்கங்கள், குற்றச்செயல்கள் புரிவோருக்கு விற்கப்படும். அத்தகைய வியாபாரக் குழுக்கள் இந்த மின்னஞ்சல்கள், ட்விட்டர்களைத் தாக்கிக் கைப்பற்றியிருந்தால், இத்தகைய ஊடுறுவல் தாக்குதல்கள் மிகவும் கவலைக்குரியவை.

அமெரிக்காவும் இஸ்ரேலும் இணைந்து 'ஸ்டக்ஸ்நெட்' எனும் இணைய ஆயுதத்தை உருவாக்கியுள்ளனர். ஈரான் நாட்டின் அணு ஆயுதத் திட்டங்களுக்கான இயந்திரங்களின் வேகத்தை அது குறைக்கிறது. அது மென்பொருட்களின் நலிந்த பகுதியைத் தாக்கி மின்னணுச் சான்றிதழ்களைத் திருத்துகிறது. அதன் மூலம் இந்த இணைய ஆயுதம் 'விண்டோஸ் இயங்குதள'த்திலும் செயல்படுகிறது. தனது பயனாளரின் கணினி அல்லது செல்பேசிதானா இது என்று உறுதிப்படுத்திக்கொள்வதற்காக இந்திய வங்கியின் இணையதளம் பயன்படுத்துகிற 'செக்யூர் சாக்கெட் லேயர்' எனும் சான்றிதழை 'லீஜியன்' குழுவினர் கைப்பற்றிவிட்டார்கள் என்று வைத்துக்கொள்வோம். அவர்களால் அதை வைத்தே இந்திய வங்கியின் ரகசிய உள்நுழைவுத் தகவல்கள் அனைத்தையும் எளிதாக எடுத்துவிட முடியும். அது பெரும் நிதிஇழப்பை ஏற்படுத்தும்.

மின்னணுப் பரிவர்த்தனைகளின் நம்பகத்தன்மை

ஒரு நேர்காணலில் 'லீஜியன்' குழுவினர் தங்களின் அடுத்த இலக்கு அரசாங்கத்தின் மின்னஞ்சல்கள் புழங்குகிற சர்வர்கள்கள்தான் என்கிறார்கள். இத்தகைய பெரிய தாக்குதல்களோடு ஒப்பிட்டால், பிரபலமானவர்களின் ட்விட்டர்களை அவர்கள் கைப்பற்றித் தகவல்களை வெளியிட்ட செயல்கள், வெற்று விளம்பரத்துக்காகச் செய்யப்பட்ட சின்னஞ்சிறு சேட்டைகளே.

பணமதிப்பு நீக்க நடவடிக்கைக்குப் பிறகு, மேலும் அதிகமான இந்தியர்கள் 'மின்னணுப் பணம் செலுத்தும் வாசல்கள்' மூலமாக 'ஆன்லைன் பணப் பரிவர்த்தனை' மாறிக்கொண்டிருக்கிற இந்த நேரத்தில், இத்தகைய இணையவழித் தாக்குதல்கள் மக்களின் நம்பிக்கையை மோசமாகச் சீர்குலைக்கும். இந்தியாவின் 'மின்னணுப் பாதுகாப்பு நிலவரம்' மிகவும் மோசம் என்பதை 'லீஜியன்' தாக்குதல்கள் வெளிப்படுத்துகின்றன. நாட்டின் மின்னணுச் சொத்துகள் இணையவழித் தாக்குதல்களுக்கு ஆளாகும்வகையில் இருப்பதற்கு அமைப்புரீதியான, பொருளாதார, சமூகக் காரணிகள் இருக்கின்றன. நாட்டின் நிர்வாகத்துக்கு மிகவும் அவசியமான 'முக்கியமான தகவல்களுக்கான உள்கட்டமைப்'பை மத்திய அரசு இன்னும் உருவாக்கவில்லை. அரசாங்கத்தின் மின்னஞ்சல்களைக் கையாளுகிற 'சர்வர்'களை நிர்வகிக்கிற தேசியத் தகவல் மையம் கடந்த காலத்தில் பலமுறை தவறியிருக்கிறது. அதைப் பயன்படுத்துபவர்கள், அரசின் மிகவும் முக்கியமான தகவல் பரிமாற்றங்களை அணுகும்போது, தங்களின் அடையாளத்தை இருமுறை உறுதிப்படுத்தும் வகையில் பரிசோதனைகளுக்கு உட்பட வேண்டும் என்பதைக் கடைப்பிடிப்பதில்லை என்பது சில மாதங்களுக்கு முன்புகூட வெளியானது. தேசிய இணையப் பாதுகாப்பு ஒருங்கிணைப்பாளரை 2014-ல் மத்திய அரசு நியமித்தது வரவேற்கத்தக்க நடவடிக்கை. ஆனால், அதற்கான மாநிலப் பொறுப்பாளர்கள் நியமிக்கப்படவில்லை. அவசர காலக் கணினி எதிர்வினைக் குழு'வுக்குப் போதுமான பணியாளர்கள் இல்லை.

தங்களின் மின்னணு வலையமைப்புகளில் ஏற்படுகிற அத்துமீறல்களை அரசிடம் பதிவுசெய்யாத, அவற்றுக்கு எதிர்வினை புரியாத தனியார் துறையும் அரசாங்கத்துக்குச் சமமான முறையில் குற்றவாளியே. சர்வதேசக் காவல் துறை நிறுவனமான இண்டர்போல் தரும் விவரங்களின்படி, 1,11,083 அத்துமீறல் சம்பவங்கள் 2015-ல் மட்டும் அவசரகாலக் கணினி எதிர்வினைக் குழுவால் கையாளப்பட்டுள்ளது. ஆனால், காவல் துறை உள்ளிட்ட புகார் நிறுவனங்களிடம் இவற்றில் 10% தான் பதிவுசெய்யப்பட்டுள்ளது.

செல்பேசி வழியாகப் பணம் செலுத்துவதில், இணையவழி வணிகத்துக்கான இணையதளத்தில் நடக்கும் மின்னணு மோசடிகள், இந்தியாவில் குறைவாகவே தெரியவருகின்றன. அத்தகைய விவரங்கள் தானாகவும் கிடைப்பதில்லை. சட்டவிதிகள்படியும் நிறுவனங்கள் அவற்றைத் தருவதில்லை. ஆண்ட்ராய்ட், மற்றும் ஐஓஎஸ் இணையகடைகளில்தான் பெரும்பாலான இந்தியாவின் 'ஆப்ஸ்' எனப்படும் செயலிகள் கிடைக்கின்றன. அவை தானாகவே தன்னை மேம்படுத்திக்கொள்ளும்வகையில் கிடைக்கின்றன. பயனாளருக்குத் தெரியாமலே மேல்வேர் எனப்படும் தீம்பொருள் நிறுவப்பட்டுவிடும் வாய்ப்புகளை இத்தகைய நிலை ஏற்படுத்துகிறது.

முக்கியமான பிரச்சினை நடத்தை தொடர்பானதாக இருக்கலாம். இணையப் பாதுகாப்பைக் கட்டாயமாகச் செய்ய வேண்டிய விவகாரமாக இந்தியாவின் மேல்தட்டினர் பார்ப்பதில்லை. மிகப்பெரிய அரசியல்வாதிகள், தொழிலதிபர்கள், பத்திரிகையாளர்களை வெற்றிகரமாக 'லீஜியன்'குழுவினர் தாக்கியது இதற்கான ஆதாரமே. அரசியல் எதிரிகள்தானே மாட்டிக்கொண்டார்கள் என்று சந்தோஷப்படும் ஒருவித மனப்பான்மை நம்மிடம் உள்ளது. பாதுகாப்பு நடைமுறைகள் போதுமானதாக இல்லை என்று தேசியத் தகவல் மையத்தின் 'சர்வர்'களை அடிக்கடி குறைகூறுகிறோம். ஆனால், ஜிமெயிலைத் தங்களின் அதிகாரபூர்வத் தகவல் தொடர்புக்குப் பயன்படுத்தும் பெரும்பாலான இந்திய நிறுவனங்களும் அதன் ஊழியர்களும் இருமுறை உறுதிப்படுத்திக்கொள்ளும் பாதுகாப்பு நடைமுறையைக் கடைப்பிடிப்பதில்லை.

இணையவழித் தாக்குதல்களில் மனிதப் பங்கு

இந்தியாவில் வணிகர்கள் உள்ளிட்ட பயனர்கள் மிகவும் தரமான மின்னணுச் சாதனங்கள், வெளிவலைத்தொடர்புகளோடு தொடர்பு வைக்காமல், தனித்து வைக்கப்பட்டுள்ள கணினி வலைத்தொடர்புகள் மூலமாகத் தங்களின் தகவல்களைப் பாதுகாப்பாக வைத்துக்கொள்ளலாம் என்று நம்புகிறார்கள். இந்திய மின்னணுப் பாதுகாப்பு பற்றிப் பேசுவோர், தொழில்நுட்ப நிபுணர்களின் பங்கைப் புறக்கணித்துவிடுகின்றனர். ஆனால் பெரும்பாலான, எளிதான இணையவழித் தாக்குதல்களில் மனிதர்களின் பங்கு உள்ளது. ஸ்டக்ஸ்நெட்டைச் செயல்படுத்த ஈரான் அணுசக்தி தொடர்பான அமைப்புகளுக்குள் பாதிப்புக்கு ஆளான யுஎஸ்பி கருவிகளைச் செலுத்துவது அவசியம். 950 மிலியன் டாலர்கள் இணையவழிக் கொள்ளையை வங்கதேச வங்கிகளில் 2016-ல் நடத்திய குற்றவாளிகளிடம் ஸ்விப்ட் குறியீடுகளை வங்கிகள்தான் ஒப்படைத்திருந்தன.

முதல் தலைமுறை இணையப் பயன்பாட்டாளர்களை 'லீஜியன்' குறிவைப்பதில்லை. பாதுகாப்பான செல்பேசிகளையும் தொலைத்தொடர்புகளையும் பயன்படுத்தும் தொழில்நுட்ப ஜாம்பவான்களைத்தான் அவர்கள் தாக்குகின்றனர். மனிதர்களின் தலையீடு பலவீனமாக இருந்தால், மின்னணு வலைத்தொடர்புகளைப் பாதுகாப்பது எவ்வளவு கடினமானது என்பதை இது காட்டுகிறது. இணையவழித் தாக்குதல்களின் காலகட்டம் இது. அரசாங்கம் அக்கறை இல்லாமல் இருந்தால் தாக்குபவர்கள் மீண்டும் மீண்டும் செய்வார்கள். பணப் பரிவர்த்தனைகள், பாதுகாப்புக் கருவிகள் பற்றிய விழிப்புணர்வை ஏற்படுத்தாமல், திறனை வளர்க்காமல், மத்திய அரசு மக்களைப் பணமில்லா பொருளாதார முறைக்குத் தள்ளிவிட்டிருக்கிறது.

ஏதாவது நடந்தால், அதை முறைப்படுத்த வேண்டியவர்கள் வணிக நிறுவனங்கள்தான். அவர்கள்தான் தங்களின் மின்னணு பணப் பரிவர்த்தனையைப் பாதுகாத்துக்கொள்ள வேண்டும் என்றும் பேசுவார்கள். 2,000 ரூபாய்க்குக் குறைவான பரிவர்த்தனைகளுக்கு இரண்டாம் முறை பாஸ்வேர்ட் செலுத்த வேண்டிய சோதனை முறை கிடையாது என்று அறிவித்துள்ளது ரிசர்வ் வங்கி. இருமுறை பரிசோதிக்கப்படாமல் நடைபெறும் பணப் பரிவர்த்தனையில் ஒருமுறை இணையவழித் தாக்குதல் ஏற்பட்டாலும், அதிகமான எண்ணிக்கையில் பணம் பரிவர்த்தனை செய்வதுகூடப் பாதிக்கப்படும். தரவுகளைத் திருடுவது அடிக்கடி நடந்தால், அது இணையத்தைப் பயன்படுத்துபவர்களின் நம்பிக்கையைப் பாதிக்கும். 'டிஜிட்டல் இந்தியா'வை எதிர்கால லட்சியமாகக் கொண்டுள்ள ஒரு அரசாங்கத்தின் முயற்சிகள் எல்லாவற்றையும் மக்களின் நம்பிக்கையிழப்பு கெடுத்துவிடும்.

- அருண் மோகன் சுகுமார், டெல்லியைச் சேர்ந்த ஆய்வாளர்.

'தி இந்து' ஆங்கிலம். தமிழில்: த.நீதிராஜன்

கருத்தைப் பதிவு செய்ய

FOLLOW US

Sign up to receive our newsletter in your inbox every day!

WRITE A COMMENT
 

Popular Articles

x