എന്തുകൊണ്ട് വാർത്തകളിൽ?
സുരക്ഷാ ഗവേഷകർ ഒരു പ്രമുഖ സർക്കാർ-സേവന പ്ലാറ്റ്ഫോമിലെ അപകടസാധ്യതകൾ റിപ്പോർട്ട് ചെയ്തു. ബന്ധിപ്പിച്ച ചില സേവനങ്ങൾ സെൻസിറ്റീവ് ആയ ഉപയോക്തൃ വിവരങ്ങൾ വെളിപ്പെടുത്തി. സർക്കാർ പ്രശ്നങ്ങൾ അംഗീകരിക്കുകയും പരിഹാര നടപടികൾ ആരംഭിക്കുകയും ചെയ്തു. എല്ലാ ഉപയോക്തൃ രേഖകളുടെയും കൂട്ട പകർത്തൽ സ്ഥാപിതമായിട്ടില്ല.
പശ്ചാത്തലം
പുതിയ യുഗ ഭരണത്തിനായുള്ള ഏകീകൃത മൊബൈൽ ആപ്ലിക്കേഷനെ (Unified Mobile Application for New-age Governance) ഉമാംഗ് (UMANG) എന്ന് വിളിക്കുന്നു, ഇത് പല സർക്കാർ സേവനങ്ങൾക്കും ഒരു ഇന്റർഫേസ് നൽകുന്നു.
നാഷണൽ ഇ-ഗവേണൻസ് ഡിവിഷൻ (National e-Governance Division) ഈ പ്ലാറ്റ്ഫോം വികസിപ്പിക്കുകയും പ്രവർത്തിപ്പിക്കുകയും ചെയ്തു. ഈ ഡിവിഷൻ ഇലക്ട്രോണിക്സ് ആൻഡ് ഇൻഫർമേഷൻ ടെക്നോളജി മന്ത്രാലയത്തിന് കീഴിൽ പ്രവർത്തിക്കുന്നു.
2017 നവംബർ 23 നാണ് പ്ലാറ്റ്ഫോം സമാരംഭിച്ചത്. ന്യൂഡൽഹിയിൽ നടന്ന സൈബർ സ്പേസിനെക്കുറിച്ചുള്ള അഞ്ചാമത് ആഗോള സമ്മേളനത്തിലാണ് (Global Conference on Cyber Space) ലോഞ്ചിംഗ് നടന്നത്.
ആളുകൾക്ക് അതിന്റെ മൊബൈൽ ആപ്ലിക്കേഷനും വെബ്സൈറ്റും ഉപയോഗിക്കാം, മാത്രമല്ല സേവനങ്ങൾ യൂണിയൻ, സംസ്ഥാന, പ്രാദേശിക സർക്കാർ സ്ഥാപനങ്ങളിൽ നിന്നാണ് വരുന്നത്.
പ്ലാറ്റ്ഫോം ഏത് പ്രശ്നമാണ് പരിഹരിക്കുന്നത്?
മുമ്പ്, ഒരു പൗരന് പലപ്പോഴും വ്യത്യസ്ത വകുപ്പുകൾക്കായി പ്രത്യേക അപേക്ഷകൾ ആവശ്യമായിരുന്നു, മാത്രമല്ല ഓരോ സേവനത്തിനും മറ്റൊരു ഇന്റർഫേസും ലോഗിൻ നടപടിക്രമവും ആവശ്യമായി വന്നേക്കാം.
ഉമാംഗ് ഒരു അഗ്രഗേറ്ററായി (aggregator) പ്രവർത്തിക്കുന്നു, മാത്രമല്ല ഇത് ഓരോ വകുപ്പിന്റെയും യഥാർത്ഥ ഡാറ്റാബേസ് ആകാതെ തന്നെ ഒന്നിലധികം സേവനങ്ങളെ ഒരിടത്ത് കൊണ്ടുവരുന്നു.
പ്ലാറ്റ്ഫോം 2026 ജൂലൈയോടെ 2,400-ലധികം സേവനങ്ങൾ സംയോജിപ്പിച്ചിരുന്നു. ഇവയിൽ ക്ഷേമം, പെൻഷനുകൾ, യൂട്ടിലിറ്റികൾ, വിദ്യാഭ്യാസം എന്നിവയും മറ്റ് മേഖലകളും ഉൾപ്പെടുന്നു.
പ്രധാന വ്യത്യാസം: ഒരു അഗ്രഗേറ്റർ ഒന്നിലധികം ഡിപ്പാർട്ട്മെന്റൽ സംവിധാനങ്ങളെ ബന്ധിപ്പിക്കുന്നു. ഒരു കണക്ഷനിലെ ബലഹീനത എന്നത് അടിസ്ഥാന സംവിധാനങ്ങൾ പരാജയപ്പെട്ടു എന്ന് തെളിയിക്കുന്നില്ല.
ബന്ധിപ്പിച്ചിട്ടുള്ള സേവനങ്ങൾ എങ്ങനെയാണ് വിവരങ്ങൾ കൈമാറുന്നത്?
വകുപ്പുകൾ സാധാരണയായി ആപ്ലിക്കേഷൻ പ്രോഗ്രാമിംഗ് ഇന്റർഫേസുകൾ (Application Programming Interface), അതായത് API വഴി ഡാറ്റ കൈമാറുന്നു. കമ്പ്യൂട്ടർ സിസ്റ്റങ്ങൾ തമ്മിലുള്ള നിയന്ത്രിത വാതിലാണിത്.
ആരാണ് വിവരങ്ങൾ അഭ്യർത്ഥിക്കുന്നതെന്ന് സുരക്ഷിതമായ വാതിൽ പരിശോധിക്കുന്നു, മാത്രമല്ല ആ വ്യക്തിക്ക് എന്ത് വിവരങ്ങൾ നേടാനാകുമെന്നും ഇത് പരിശോധിക്കുന്നു.
പ്രാമാണീകരണം (Authentication) ഒരു ഉപയോക്താവിന്റെ ഐഡന്റിറ്റി സ്ഥിരീകരിക്കുന്നു, ഒപ്പം പ്രാമാണീകരിക്കപ്പെട്ട ഉപയോക്താവിന് എന്തൊക്കെ കാണാമെന്നും മാറ്റാമെന്നും ആക്സസ് കൺട്രോൾ (access control) തീരുമാനിക്കുന്നു.
എൻക്രിപ്ഷൻ (Encryption) വായിക്കാവുന്ന വിവരങ്ങളെ പരിരക്ഷിതമായ കോഡഡ് ഫോമിലേക്ക് പരിവർത്തനം ചെയ്യുന്നു, ഒപ്പം "പ്ലെയിൻടെക്സ്റ്റ്" (plaintext) എന്നാൽ വിവരങ്ങൾ അത്തരം സംരക്ഷണമില്ലാതെ വായിക്കാവുന്ന രൂപത്തിൽ തുടരുന്നു എന്നാണ് അർത്ഥമാക്കുന്നത്.
ഗവേഷകർ എന്താണ് റിപ്പോർട്ട് ചെയ്തത്?
അക്ഷയ് സി എസ്, വിറൽ വഗേല എന്നീ ഗവേഷകർ നിരവധി സേവനങ്ങൾ ഉപയോഗിക്കുന്ന കണക്ഷനുകൾ പഠിച്ചു. പ്ലാറ്റ്ഫോം-ആർക്കിടെക്ചർ തലത്തിൽ അവർ അപകടസാധ്യതകൾ റിപ്പോർട്ട് ചെയ്തു.
വെളിപ്പെടുത്തിയ വിവരങ്ങളിൽ എംപ്ലോയീസ് പ്രൊവിഡൻ്റ് ഫണ്ട് ഓർഗനൈസേഷൻ (Employees’ Provident Fund Organisation) അക്കൗണ്ട് നമ്പറുകൾ ഉൾപ്പെടുന്നുവെന്ന് റിപ്പോർട്ടുണ്ട്, കൂടാതെ ഇവയെ യൂണിവേഴ്സൽ അക്കൗണ്ട് നമ്പറുകൾ (Universal Account Numbers) എന്ന് വിളിക്കുന്നു.
ചില ദ്രവീകൃത പെട്രോളിയം വാതക (liquefied petroleum gas) ബുക്കിംഗ് വിശദാംശങ്ങളും ദൃശ്യമായിരുന്നു, കൂടാതെ ബന്ധിപ്പിച്ച നിരവധി സേവനങ്ങൾ ആധാർ (Aadhaar) നമ്പറുകൾ പ്ലെയിൻടെക്സ്റ്റിൽ സൂക്ഷിച്ചിരുന്നതായി റിപ്പോർട്ടുണ്ട്.
റിപ്പോർട്ട് ആധാർ സേവന മൊഡ്യൂളിനെ ദുർബലമായി തിരിച്ചറിഞ്ഞിട്ടില്ല. ബന്ധിപ്പിച്ചിട്ടുള്ള മറ്റ് ചില സേവനങ്ങളിലാണ് പ്രശ്നകരമായ സംഭരണം സംഭവിച്ചത്.
ആശയക്കുഴപ്പത്തിലാകരുത്: ബന്ധിപ്പിച്ച ചില സേവനങ്ങളിലൂടെ ആധാർ ഡാറ്റ പ്രത്യക്ഷപ്പെട്ടു. ആധാറിന്റെ സ്വന്തം മൊഡ്യൂൾ മൂലമാണ് അപകടസാധ്യത ഉണ്ടായതെന്ന് റിപ്പോർട്ട് പറഞ്ഞിട്ടില്ല.
എല്ലാ ഉപയോക്തൃ രേഖകളും മോഷ്ടിക്കപ്പെട്ടോ?
പബ്ലിക് റിപ്പോർട്ട് അത്തരമൊരു നിഗമനം സ്ഥാപിച്ചിട്ടില്ല, ഒപ്പം എക്സ്പോഷർ, ആക്സസ്, സ്ഥിരീകരിച്ച കൂട്ട മോഷണം എന്നിവ വ്യത്യസ്ത സംഭവങ്ങളാണ്.
റേറ്റ് ലിമിറ്റിംഗ് (Rate limiting) ആവർത്തിച്ചുള്ള ഓട്ടോമേറ്റഡ് അഭ്യർത്ഥനകളെ നിയന്ത്രിച്ചു, കൂടാതെ ഈ നിയന്ത്രണം മുഴുവൻ ഡാറ്റാബേസിന്റെയും വേഗത്തിലുള്ള പകർപ്പുകൾ അസാധ്യമാക്കി.
റേറ്റ് ലിമിറ്റിംഗ് ഒരു കാലയളവിനുള്ളിൽ പരിമിതമായ എണ്ണം അഭ്യർത്ഥനകൾ മാത്രമേ അനുവദിക്കൂ. ഇത് ദുരുപയോഗം കുറയ്ക്കുന്നുവെങ്കിലും ദുർബലമായ പ്രവേശന നിയമങ്ങൾ നന്നാക്കാൻ കഴിയില്ല.
പ്രൊവിഡൻ്റ് ഫണ്ട് അക്കൗണ്ട് വിശദാംശങ്ങളുമായി ബന്ധപ്പെട്ട സാധ്യമായ ദുരുപയോഗങ്ങൾ ഗവേഷകർ വിവരിച്ചു, ഇവ അപകട സാധ്യതകളായിരുന്നു, പേയ്മെന്റുകൾ മോഷ്ടിക്കപ്പെട്ടു എന്നതിന്റെ തെളിവല്ല.
സർക്കാർ എങ്ങനെയാണ് പ്രതികരിച്ചത്?
റിപ്പോർട്ട് ചെയ്യപ്പെട്ട അപകടസാധ്യതകൾ മന്ത്രാലയം അംഗീകരിച്ചു, ഒപ്പം തിരുത്തൽ, പ്രതിരോധ നടപടികൾ നടപ്പിലാക്കുകയാണെന്ന് അവർ പറഞ്ഞു.
മുമ്പ് വായിക്കാമായിരുന്ന വിവരങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിനായി ബന്ധപ്പെട്ട ഇൻ്റർഫേസുകൾ മാറ്റി, കൂടാതെ ഉദ്യോഗസ്ഥർ മൂന്ന് മാസത്തെ സിസ്റ്റം ലോഗുകളും പരിശോധിച്ചു.
ആ അവലോകന സമയത്ത് ഇടപാടുകളുടെ വോള്യങ്ങൾ സ്ഥിരത പുലർത്തുന്നതായി സർക്കാർ പറഞ്ഞു, ഇത് സംശയാസ്പദമായ പെരുമാറ്റം നിരീക്ഷിക്കുന്നത് തുടർന്നു.
ആദ്യഘട്ട പരിഹാരങ്ങൾ അപൂർണ്ണമായി തുടർന്നുവെന്ന് ഗവേഷകർ വാദിച്ചു, സ്വതന്ത്രമായ പുനഃപരിശോധന (independent retesting) പ്രധാനമായിരിക്കുന്നത് എന്തുകൊണ്ടാണെന്ന് ഈ വിടവ് കാണിക്കുന്നു.
അവർ മന്ത്രാലയത്തെയും ദേശീയ ഇൻസിഡന്റ്-റെസ്പോൺസ് അധികാരികളെയും പ്രശ്നങ്ങൾ അറിയിച്ചിരുന്നു. ഉത്തരവാദിത്തമുള്ള വെളിപ്പെടുത്തൽ (Responsible disclosure) ഒരു സ്ഥാപനത്തിന് ദോഷം കുറയ്ക്കുന്നതിന് സമയം നൽകുന്നു.
എന്താണ് നാഷണൽ ഇൻസിഡൻ്റ് റെസ്പോൺസ് ബോഡി?
ഇന്ത്യൻ കമ്പ്യൂട്ടർ എമർജൻസി റെസ്പോൺസ് ടീമിനെ (Indian Computer Emergency Response Team) CERT-In എന്ന് വിളിക്കുന്നു. ഇത് ദേശീയ സൈബർ സംഭവങ്ങൾ കൈകാര്യം ചെയ്യുകയും സുരക്ഷാ നിർദ്ദേശങ്ങളും ഉപദേശങ്ങളും നൽകുകയും ചെയ്യുന്നു.
ഇത് ഇതേ ഇലക്ട്രോണിക്സ് മന്ത്രാലയത്തിന് കീഴിലാണ് പ്രവർത്തിക്കുന്നത്, കൂടാതെ പ്ലാറ്റ്ഫോം ഓപ്പറേറ്ററുടെ ദൈനംദിന സേവന റോളിൽ നിന്ന് ഇതിന്റെ പങ്ക് വ്യത്യസ്തമാണ്.
സംഭവം എന്ത് പാഠങ്ങളാണ് നൽകുന്നത്?
- ബന്ധിപ്പിച്ചിട്ടുള്ള ഓരോ സേവനത്തിനും സ്വന്തം സുരക്ഷാ അവലോകനം ആവശ്യമാണ്.
- പ്ലാറ്റ്ഫോമുകൾ അത്യന്താപേക്ഷിതമായ വ്യക്തിഗത വിവരങ്ങൾ മാത്രമേ ശേഖരിക്കാവൂ.
- സെൻസിറ്റീവ് ഫീൽഡുകൾക്ക് സംഭരണ സമയത്തും കൈമാറ്റ സമയത്തും എൻക്രിപ്ഷൻ (encryption) ആവശ്യമാണ്.
- യഥാർത്ഥ ഉപയോക്തൃ റോളുകൾ ഉപയോഗിച്ച് ആക്സസ് നിയമങ്ങൾ പരിശോധിക്കണം.
- കൂടുതൽ ഡാറ്റ വെളിപ്പെടുത്താതെ തന്നെ ലോഗുകൾക്ക് അസാധാരണമായ അഭ്യർത്ഥനകൾ കണ്ടെത്താനാകണം.
- സ്വതന്ത്ര ഗവേഷകർക്ക് സുരക്ഷിതമായ റിപ്പോർട്ടിംഗ് ചാനലുകൾ ആവശ്യമാണ്.
- പ്രാരംഭ വിന്യാസം മാത്രമല്ല, പരിഹാരങ്ങൾക്ക് ശേഷമുള്ള സ്ഥിരീകരണം ആവശ്യമാണ്.
വലിയ പ്ലാറ്റ്ഫോമുകൾ സൗകര്യം സൃഷ്ടിക്കുന്നു, എന്നാൽ കോൺസൺട്രേഷൻ റിസ്ക് (concentration risk) ഉണ്ടാക്കുന്നു, ഒപ്പം ഒരു സാധാരണ കണക്ഷൻ ഒന്നിലധികം പ്രത്യേക സേവനങ്ങളെ ബാധിച്ചേക്കാം.
ഉപയോക്താക്കൾ എന്തുചെയ്യണം?
ഉപയോക്താക്കൾ ഔദ്യോഗിക ആപ്ലിക്കേഷനോ ഔദ്യോഗിക വെബ്സൈറ്റോ ആക്സസ് ചെയ്യണം. പാസ്വേഡുകളോ ഒറ്റത്തവണ പരിശോധനാ കോഡുകളോ ആവശ്യപ്പെടുന്ന സന്ദേശങ്ങൾ അവർ അവഗണിക്കണം.
അപ്രതീക്ഷിതമായ മാറ്റങ്ങൾക്കായി അവർ പ്രൊവിഡൻ്റ് ഫണ്ടും ബാങ്കിംഗ് വിശദാംശങ്ങളും പരിശോധിക്കണം, ഒപ്പം സംശയാസ്പദമായ വഞ്ചനകൾ ഔദ്യോഗിക ചാനലുകൾ വഴി ഉടൻ റിപ്പോർട്ട് ചെയ്യണം.
ഈ മുൻകരുതലുകൾ വ്യക്തിപരമായ അപകടസാധ്യത കുറയ്ക്കുന്നു, സുരക്ഷിതമായ പ്ലാറ്റ്ഫോം രൂപകൽപ്പനയ്ക്കുള്ള സർക്കാരിന്റെ ഉത്തരവാദിത്തത്തെ അവ പകരം വയ്ക്കുന്നില്ല.
ഉപസംഹാരം
പൊതു സേവനങ്ങളിൽ എത്തിച്ചേരുന്നത് പ്ലാറ്റ്ഫോം എളുപ്പമാക്കുന്നു. അതിന്റെ വിശ്വാസം ഇപ്പോൾ പരിശോധിച്ചുറപ്പിച്ച അറ്റകുറ്റപ്പണികൾ, ഏറ്റവും കുറഞ്ഞ ഡാറ്റ, തുടർച്ചയായ സ്വതന്ത്ര പരിശോധന എന്നിവയെ ആശ്രയിച്ചിരിക്കുന്നു.