“ஹேக்கர்களிடமிருந்து முழு பாதுகாப்பு சாத்தியமா? Cybersecurity நிபுணர் விளக்கம்”

திறைசேரி ஊடாகச் செலுத்தப்பட்ட 2.5 மில்லியன் அமெரிக்க டொலர் நிதி ஹேக்கர்கள் கைக்குச் சென்றமை போன்ற சம்பவங்களைத் தடுப்பதற்குத் தேவையான தொழில்நுட்ப வழிமுறைகள் காணப்படுவதாக சைபர் பாதுகாப்பு நிபுணர் அசேல வைத்தியலங்கார தெரிவித்துள்ளார். 

இந்தச் சம்பவத்திற்கு தற்போது புழக்கத்தில் உள்ள ‘BEC’ எனப்படும் சைபர் தாக்குதல் முறையே பயன்படுத்தப்பட்டுள்ளதாக அவர் குறிப்பிட்டார். 

இவ்வாறான தாக்குதல்களுக்குப் பல தனியார் நிறுவனங்கள் ஏற்கனவே முகம் கொடுத்துள்ளதையும் அவர் சுட்டிக்காட்டினார். 

எவ்வாறாயினும், இலங்க மத்திய வங்கி உள்நாட்டு வங்கித் தொகுதிகளுக்கு ‘ISO 27001’ எனும் சைபர் பாதுகாப்புத் தரச் சான்றிதழைப் பெறுமாறு பரிந்துரைத்துள்ளதால், வங்கிகள் இவ்வாறான தாக்குதல்களுக்கு உள்ளாவது குறைந்துள்ளதாக அவர் கூறினார். 

வங்கியை விடவும் நாட்டின் நிதி விடயத்தில் அதிகப் பொறுப்புள்ள திறைசேரி போன்ற ஒரு நிறுவனம் இவ்வாறான கட்டுப்பாட்டு முறைகளைப் பின்பற்றியிருந்தால், இந்த நிலைமையைத் தவிர்த்திருக்க முடியும் என அசேல வைத்தியலங்கார சுட்டிக்காட்டினார். 

இது குறித்து அவர் மேலும் விளக்குகையில், “இந்தத் தாக்குதலுக்கு ‘Business Email Compromise’ (BEC) எனும் முறை பயன்படுத்தப்பட்டுள்ளது. இது பல தனியார் நிறுவனங்களுக்கு நடந்துள்ளது. உதாரணமாக, ஒரு நிறுவனம் மற்றுமொரு நிறுவனத்திற்கு விலைப்பட்டியல் (Invoice) ஒன்றை அனுப்பும் போது, அதன் இடையில் ஊடுருவி, அதில் உள்ள வங்கித் தகவல்களை மாற்றி, நிதியை வேறொரு கணக்கிற்குத் திசைதிருப்புவதே இந்த முறையாகும். 

இங்குள்ள பிரச்சினை என்னவென்றால், இது ஒரு நிதிக் கொடுக்கல் வாங்கல். அதுவும் நாட்டின் நிதி அமைச்சின் ஒரு பிரிவு. அங்கு இது எப்படி நடந்தது? இவ்வாறான அபாயங்களைக் குறைக்க தொழில்நுட்பக் கருவிகள் உள்ளன. 

அவை பயன்படுத்தப்பட்டனவா? மின்னஞ்சல் பரிமாற்றக் கட்டமைப்புகள் நவீனமானவையா? அவை முறையாகப் புதுப்பிக்கப்பட்டுள்ளனவா? அந்த சைபர் பாதுகாப்பு எவ்வாறு நிர்வகிக்கப்படுகிறது? அதனை யார் கண்காணிக்கிறார்கள்? என அந்த நிறுவனத்தின் கட்டமைப்பு ரீதியில் சிக்கல்கள் இருப்பதாக நான் கருதுகிறேன். 

இலங்கையில் உள்ள வங்கிகள் ‘ISO 27001’ தரச் சான்றிதழைப் பெற வேண்டும் என மத்திய வங்கி உத்தரவிட்டுள்ளது. அதனைப் பெற்ற பின்னர் ஒவ்வொரு ஆண்டும் வெளிப்புறத் தணிக்கை செய்யப்பட வேண்டும். ஆனால், நாட்டின் பணம் பரிமாற்றப்படும் நிதி அமைச்சு போன்ற ஒரு இடத்தில் அத்தகைய தரச் சான்றிதழ் இல்லாததை ஒரு குறைபாடாகவே நான் பார்க்கிறேன். 

‘ISO 27001’ சான்றிதழைப் பெறுவதன் அர்த்தம் நாளை முதல் ஹேக்கிங் நடக்காது என்பதல்ல. மாறாக, சைபர் தாக்குதல்களைக் குறைப்பதற்கான முறையான வழிமுறைகள் அங்கு இருக்கும் என்பதாகும். 

வங்கிகள் இவ்வாறான தரக்கட்டுப்பாடுகளைப் பின்பற்றுவதாலேயே அவை அடிக்கடி ஹேக் செய்யப்படுவதில்லை. 

திறைசேரி என்பது ஒரு வங்கியை விடவும் நாட்டின் நிதி தொடர்பில் பாரிய பொறுப்புள்ள இடமாகும். எனவே, வங்கிகள் பின்பற்றும் கட்டுப்பாடுகளை அங்கேயும் பின்பற்றியிருந்தால் இவ்வாறான பாதிப்புகளைக் குறைத்திருக்க முடியும்” எனத் தெரிவித்தார்.