ஏன் செய்திகளில்?
பாதுகாப்பு ஆராய்ச்சியாளர்கள் ஒரு முக்கிய அரசு-சேவை தளத்தில் உள்ள பாதிப்புகளைப் புகாரளித்துள்ளனர். சில இணைக்கப்பட்ட சேவைகள் முக்கியமான பயனர் விவரங்களை வெளிப்படுத்தியுள்ளன. அரசாங்கம் பிரச்சினைகளை ஒப்புக்கொண்டு சரிசெய்தல் நடவடிக்கைகளைத் தொடங்கியது. அனைத்து பயனர் பதிவுகளின் வெகுஜன நகலெடுப்பு எதுவும் நிறுவப்படவில்லை.
பின்னணி
புதிய-கால நிர்வாகத்திற்கான ஒருங்கிணைந்த மொபைல் பயன்பாடு (Unified Mobile Application for New-age Governance) என்பது உமங் (UMANG) என அழைக்கப்படுகிறது, மேலும் இது பல அரசு சேவைகளுக்கான இடைமுகத்தை அளிக்கிறது.
தேசிய மின்-ஆளுமைப் பிரிவு (National e-Governance Division) தளத்தை உருவாக்கி இயக்குகிறது. இந்த பிரிவு மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகத்தின் கீழ் செயல்படுகிறது.
இந்தத் தளம் 23 நவம்பர் 2017 அன்று தொடங்கப்பட்டது. புது தில்லியில் சைபர் ஸ்பேஸ் மீதான ஐந்தாவது உலகளாவிய மாநாட்டின் (Global Conference on Cyber Space) போது இந்த வெளியீடு நடந்தது.
மக்கள் அதன் மொபைல் அப்ளிகேஷன் மற்றும் இணையதளத்தைப் பயன்படுத்தலாம், மேலும் சேவைகள் யூனியன், மாநில மற்றும் உள்ளூர் அரசாங்க அமைப்புகளிலிருந்து வருகின்றன.
தளம் என்ன சிக்கலை தீர்க்கிறது?
முன்னதாக, ஒரு குடிமகனுக்கு வெவ்வேறு துறைகளுக்கு தனித்தனி விண்ணப்பங்கள் தேவைப்பட்டன, மேலும் ஒவ்வொரு சேவைக்கும் மற்றொரு இடைமுகம் மற்றும் உள்நுழைவு நடைமுறை தேவைப்படலாம்.
உமங் ஒரு ஒருங்கிணைப்பாளராக (aggregator) செயல்படுகிறது, மேலும் இது ஒவ்வொரு துறையின் அசல் தரவுத்தளமாக மாறாமல் பல சேவைகளை ஒரே இடத்திற்குக் கொண்டுவருகிறது.
இந்த தளம் ஜூலை 2026க்குள் 2,400க்கும் மேற்பட்ட சேவைகளை இணைத்துள்ளது. இதில் நலன்புரி, ஓய்வூதியங்கள், பயன்பாடுகள், கல்வி மற்றும் பிற துறைகள் அடங்கும்.
முக்கிய வேறுபாடு: ஒரு திரட்டி பல துறை அமைப்புகளை இணைக்கிறது. ஒரு இணைப்பில் உள்ள பலவீனம் ஒவ்வொரு அடிப்படை அமைப்பும் தோல்வியடைந்ததை நிரூபிக்கவில்லை.
இணைக்கப்பட்ட சேவைகள் எவ்வாறு தகவல்களைப் பரிமாறிக் கொள்கின்றன?
துறைகள் பொதுவாக அப்ளிகேஷன் புரோகிராமிங் இடைமுகங்கள் (Application Programming Interface), API எனப்படும் மூலம் தரவைப் பரிமாறிக் கொள்கின்றன. இது கணினி அமைப்புகளுக்கு இடையிலான ஒரு கட்டுப்படுத்தப்பட்ட கதவு.
தகவலைக் கேட்பவர் யார் என்பதை ஒரு பாதுகாப்பான கதவு சரிபார்க்கிறது, மேலும் அந்த நபர் என்ன தகவலைப் பெற முடியும் என்பதையும் இது சரிபார்க்கிறது.
அங்கீகாரம் (Authentication) ஒரு பயனரின் அடையாளத்தை உறுதிப்படுத்துகிறது, மேலும் அணுகல் கட்டுப்பாடு (access control) அங்கீகரிக்கப்பட்ட பயனர் எதைப் பார்க்கலாம் அல்லது மாற்றலாம் என்பதைத் தீர்மானிக்கிறது.
குறியாக்கம் (Encryption) படிக்கக்கூடிய தகவலை பாதுகாக்கப்பட்ட குறியிடப்பட்ட வடிவமாக மாற்றுகிறது, மேலும் "பிளெயின்டெக்ஸ்ட்" (plaintext) என்பது தகவல் அத்தகைய பாதுகாப்பு இல்லாமல் படிக்கக்கூடியதாகவே இருக்கும் என்பதாகும்.
ஆராய்ச்சியாளர்கள் என்ன அறிக்கை அளித்தனர்?
அக்ஷய் சி எஸ் மற்றும் வைரல் வகேலா ஆகிய ஆராய்ச்சியாளர்கள் பல சேவைகளால் பயன்படுத்தப்படும் இணைப்புகளைப் படித்தனர். அவர்கள் தளம்-கட்டிடக்கலை மட்டத்தில் பாதிப்புகளைப் புகாரளித்தனர்.
வெளிப்படுத்தப்பட்ட விவரங்களில் சில தொழிலாளர் வருங்கால வைப்பு நிதி அமைப்பின் (Employees’ Provident Fund Organisation) கணக்கு எண்கள் இருந்ததாகக் கூறப்படுகிறது, மேலும் இவை உலகளாவிய கணக்கு எண்கள் (Universal Account Numbers) என்று அழைக்கப்படுகின்றன.
சில திரவ பெட்ரோலிய எரிவாயு (liquefied petroleum gas) முன்பதிவு விவரங்களும் தெரிந்தன, மேலும் இணைக்கப்பட்ட பல சேவைகள் ஆதார் (Aadhaar) எண்களை சாதாரண உரையில் சேமித்து வைத்திருப்பதாகக் கூறப்படுகிறது.
இந்த அறிக்கை ஆதார் சேவை தொகுதியை பாதிக்கப்படக்கூடியதாக அடையாளம் காணவில்லை. மற்ற சில இணைக்கப்பட்ட சேவைகளுக்குள் சிக்கலான சேமிப்பகம் ஏற்பட்டது.
குழப்பமடைய வேண்டாம்: இணைக்கப்பட்ட சில சேவைகள் மூலம் ஆதார் தரவு தோன்றியது. ஆதாரின் சொந்த தொகுதியினால் பாதிப்பு ஏற்பட்டதாக அறிக்கையில் கூறப்படவில்லை.
ஒவ்வொரு பயனர் பதிவேடும் திருடப்பட்டதா?
பொது அறிக்கையில் அத்தகைய முடிவு எதுவும் நிறுவப்படவில்லை, மேலும் வெளிப்பாடு, அணுகல் மற்றும் உறுதிப்படுத்தப்பட்ட பாரிய திருட்டு ஆகியவை வேறுபட்ட நிகழ்வுகளாகும்.
விகிதக் கட்டுப்பாடு (Rate limiting) மீண்டும் மீண்டும் தானியங்கு கோரிக்கைகளை கட்டுப்படுத்தியது, மேலும் இந்தக் கட்டுப்பாடு முழு தரவுத்தளத்தின் விரைவான நகலெடுப்பைக் குறைவாகச் சாத்தியமாக்கியது.
விகிதத்தைக் கட்டுப்படுத்துவது ஒரு காலத்திற்குள் வரையறுக்கப்பட்ட கோரிக்கைகளை மட்டுமே அனுமதிக்கிறது. இது துஷ்பிரயோகத்தைக் குறைக்கிறது ஆனால் பலவீனமான அணுகல் விதிகளை சரிசெய்ய முடியாது.
வருங்கால வைப்பு நிதி கணக்கு விவரங்களை உள்ளடக்கிய சாத்தியமான துஷ்பிரயோகங்களை ஆராய்ச்சியாளர்கள் விவரித்துள்ளனர், மேலும் இவை அபாயகரமான சூழ்நிலைகள், பணம் திருடப்பட்டதற்கான சான்றுகள் அல்ல.
அரசு எப்படி பதிலளித்தது?
அறிக்கையிடப்பட்ட பாதிப்புகளை அமைச்சகம் ஒப்புக்கொண்டது, மேலும் திருத்தம் மற்றும் தடுப்பு நடவடிக்கைகள் செயல்படுத்தப்படுவதாகக் கூறியது.
முன்பு படிக்கக்கூடிய தகவலை குறியாக்க தொடர்புடைய இடைமுகங்கள் மாற்றப்பட்டன, மேலும் அதிகாரிகள் மூன்று மாத கணினி பதிவுகளையும் ஆய்வு செய்தனர்.
அந்த மதிப்பாய்வின் போது பரிவர்த்தனை அளவுகள் சீரானதாகத் தோன்றியதாக அரசாங்கம் கூறியது, மேலும் சந்தேகத்திற்குரிய நடத்தையைத் தொடர்ந்து கண்காணித்து வந்தது.
ஆரம்ப திருத்தங்கள் முழுமையடையாமல் இருப்பதாகவும், சுயாதீனமான மறுபரிசீலனை (independent retesting) ஏன் முக்கியமானது என்பதை இந்த இடைவெளி காட்டுகிறது என்றும் ஆராய்ச்சியாளர்கள் வாதிட்டனர்.
அவர்கள் பிரச்சினைகளை அமைச்சகத்திற்கும் தேசிய சம்பவ-பதில் அதிகாரிகளுக்கும் தெரிவித்தனர். பொறுப்பான வெளிப்பாடு (Responsible disclosure) ஒரு நிறுவனத்திற்கு தீங்கு விளைவிப்பதைக் குறைக்க நேரத்தை வழங்குகிறது.
தேசிய நிகழ்வு-பதில் அமைப்பு என்றால் என்ன?
இந்தியக் கணினி அவசரகாலப் பதிலளிப்புக் குழு (Indian Computer Emergency Response Team) CERT-In என அழைக்கப்படுகிறது. இது தேசிய இணைய நிகழ்வுகளைக் கையாளுகிறது மற்றும் பாதுகாப்பு வழிகாட்டுதல்களையும் ஆலோசனைகளையும் வெளியிடுகிறது.
இது இதே மின்னணு அமைச்சகத்தின் கீழ் செயல்படுகிறது, மேலும் அதன் பங்கு பிளாட்ஃபார்ம் ஆபரேட்டரின் தினசரி சேவைப் பாத்திரத்திலிருந்து வேறுபட்டது.
சம்பவம் என்ன பாடங்களைத் தருகிறது?
- இணைக்கப்பட்ட ஒவ்வொரு சேவைக்கும் அதன் சொந்த பாதுகாப்பு மதிப்பாய்வு தேவை.
- தளங்கள் அத்தியாவசிய தனிப்பட்ட தகவல்களை மட்டுமே சேகரிக்க வேண்டும்.
- உணர்திறன் துறைகளுக்கு சேமிப்பு மற்றும் பரிமாற்றத்தின் போது குறியாக்கம் (encryption) தேவைப்படுகிறது.
- அணுகல் விதிகள் உண்மையான பயனர் பாத்திரங்களுடன் சோதிக்கப்பட வேண்டும்.
- மேலும் தரவுகளை வெளிப்படுத்தாமல் அசாதாரணமான கோரிக்கைகளை பதிவுகள் கண்டறிய வேண்டும்.
- சுயாதீன ஆராய்ச்சியாளர்களுக்கு பாதுகாப்பான அறிக்கை சேனல்கள் தேவை.
- திருத்தங்களுக்கு ஆரம்ப வரிசைப்படுத்தல் மட்டுமல்லாமல், அடுத்தடுத்த சரிபார்ப்பு தேவைப்படுகிறது.
பெரிய இயங்குதளங்கள் வசதியை உருவாக்குகின்றன, ஆனால் செறிவு அபாயத்தையும் (concentration risk) உருவாக்குகின்றன, மேலும் ஒரு பொதுவான இணைப்பு பல தனித்தனி சேவைகளை பாதிக்கும்.
பயனர்கள் என்ன செய்ய வேண்டும்?
பயனர்கள் அதிகாரப்பூர்வ பயன்பாடு அல்லது அதிகாரப்பூர்வ வலைத்தளத்தை அணுக வேண்டும். கடவுச்சொற்கள் அல்லது ஒரு முறை சரிபார்ப்புக் குறியீடுகளைக் கேட்கும் செய்திகளை அவர்கள் புறக்கணிக்க வேண்டும்.
எதிர்பாராத மாற்றங்களுக்கு அவர்கள் வருங்கால வைப்பு நிதி மற்றும் வங்கி விவரங்களைச் சரிபார்க்க வேண்டும், மேலும் சந்தேகத்திற்கிடமான மோசடி உடனடியாக அதிகாரப்பூர்வ சேனல்கள் மூலம் புகாரளிக்கப்பட வேண்டும்.
இந்த முன்னெச்சரிக்கைகள் தனிப்பட்ட அபாயத்தைக் குறைக்கின்றன, மேலும் பாதுகாப்பான பிளாட்ஃபார்ம் வடிவமைப்பிற்கான அரசாங்கத்தின் பொறுப்பை அவை மாற்றாது.
முடிவுரை
தளம் பொதுச் சேவைகளை அடைவதை எளிதாக்குகிறது. அதன் நம்பிக்கையானது சரிபார்க்கப்பட்ட பழுதுகள், குறைந்தபட்ச தரவு மற்றும் தொடர்ச்சியான சுயாதீனமான சோதனைகளை நம்பியுள்ளது.