எம்.ஏ.எம். முர்ஷித்
(Digital Safety Master Trainer, Digizen )
இலங்கையில் மக்களின் வரிப்பணம், அரசு நிதி, வெளிநாட்டு அனுப்பல் பணம் என்று கோடிக்கணக்கில் அண்மைக்காலமாக காணாமல் போகின்ற சம்பவங்களை செய்திகளூடாக கேள்விப்படுவது வாடிக்கையாகி வருகிறது.
இங்கு பணம் இருந்தது உண்மை, போனதும் உண்மை. யாருக்கும் தெரியாமல், எப்படியோ, எங்கோ போய்விடுகிறது.
இது வழக்கமான ஊழல் அல்ல. முன்னைய காலங்களில் நடந்த கொள்ளைகளிலிருந்து இது அடிப்படையிலேயே வேறுபட்டது. அதை "தெரிந்த திருடு" என்று சொல்லலாம்; குற்றவாளி தெரியும், முறை தெரியும், தடம் தெரியும்.
இப்போது நடப்பதோ "தெரியாத திருடு" ; குற்றவாளி எங்கிருக்கிறான் என்று தெரியாது, பணம் எந்த வழியில் போனது என்று தெரியாது, மீட்க முடியுமா என்றும் தெரியாது.
01 — என்ன நடக்கிறது? சம்பவங்களின் பட்டியல்
கடந்த சில மாதங்களாக இலங்கையில் வெளிவந்த நிதி மோசடி சம்பவங்களை ஒன்றன்பின் ஒன்றாக பார்க்கும்போது, இது தனித்தனி சம்பவங்கள் அல்ல — ஒரு முறையான, திட்டமிட்ட தாக்குதல் வடிவம் என்பது புரியும்.
சம்பவம் 01:
கடன் மீளச் செலுத்துகை செயன்முறையின் போது 800 மில்லியன் ரூபா (சுமார் 2.5 மில்லியன் டொலர்) வேறு கணக்கிற்கு திருப்பி விடப்பட்டது.
அவுஸ்திரேலிய நிறுவனத்திற்கு சேர வேண்டிய தொகை வேறு கணக்கில் மறைந்தது. இதனோடு தொடர்புடைய அதிகாரி ஒருவர் தற்கொலை செய்துகொண்டமை மேலும் சந்தேகத்தை வலுப்படுத்தியது.
சம்பவம் 02:
தபால் திணைக்களத்தின் அதிகாரப்பூர்வ இணையத்தளத்தை போலியாக செய்த ஒரு மோசடி தளம் கட்டணங்களை அறவீடு செய்தது. அமெரிக்காவுக்கு அனுப்பப்பட வேண்டிய 6 லட்சம் டொலர் காணாமல் போனது ; அமெரிக்கா குறித்த தொகை கிடைக்கவில்லை என்று உறுதிப்படுத்தியது.
சம்பவம் 03:
ஸ்ரீலங்கன் விமான சேவையின் துபாய் மற்றும் சென்னை அலுவலகங்களில் மூன்றாம் தரப்பு ஊடுருவல் மூலம் 974,000 திர்ஹம் (சுமார் 2.6 கோடி ரூபா) சூறையாடப்பட்டது.
சம்பவம் 04:
மக்கள் வங்கியின் வெளிநாட்டு பணவனுப்பல் கட்டமைப்பில் ஏற்பட்ட கோளாறு காரணமாக 656 மில்லியன் ரூபா இழக்கப்பட்டது.
சம்பவம் 05:
அஸ்வெசும கொடுப்பனவின் போது 2.48 மில்லியன் ரூபா இரட்டைக் கொடுப்பனவாக மேற்கொள்ளப்பட்டது.
இவை வெளியில் வந்தவை மட்டுமே. வெளியில் வராதவை இன்னும் எத்தனை என்பது யாருக்கும் தெரியாது — அதுவே மிகவும் கவலைக்குரிய விஷயம்.
02 - தாக்குதல் வகைகளை புரிந்துகொள்வோம்
மேற்கண்ட சம்பவங்களை மூன்று தனித்தனியான தாக்குதல் வகைகள் இங்கே செயல்பட்டிருக்கின்றன என்பது தெளிவாகிறது. இந்த வேறுபாட்டை புரிந்துகொள்வது ஏன் முக்கியம்?
ஏனென்றால் ஒவ்வொரு தாக்குதலுக்கும் தனித்தனியான தடுப்பு முறை தேவை; ஒரே மருந்தால் மூன்று நோயையும் குணப்படுத்த முடியாது.
BEC — வணிக மின்னஞ்சல் சமரசம் (Business Email Compromise)
இது உலகின் மிகவும் லாபகரமான சைபர் குற்றமாக FBI அடையாளப்படுத்தியுள்ளது. 2023-ல் மட்டும் உலக அளவில் BEC மூலம் 2.9 பில்லியன் டொலர் திருடப்பட்டது.
முறை எளிமையானது, ஆனால் அதிர்ச்சியூட்டும் விதத்தில் திறமையானது. திருடர்கள் நேரடியாக வங்கியை தாக்குவதில்லை. ஒரு அதிகாரியின் மின்னஞ்சலை போலி செய்கிறார்கள் அல்லது உண்மையான மின்னஞ்சல் கணக்கிலேயே நுழைந்து விடுகிறார்கள். பிறகு, கொடுப்பனவு செய்ய வேண்டிய நேரத்தில் மட்டும் bank account விவரங்களை நுட்பமாக மாற்றிவிடுகிறார்கள். பரிவர்த்தனை முழுவதும் சட்டபூர்வமாகவே தெரியும்; ஆனால் பணம் சேருமிடம் மட்டும் தவறு.
இதனால் கண்டுபிடிப்பு மிகவும் தாமதமாகும். சில நேரங்களில் வாரங்கள் அல்லது மாதங்கள் கழித்தே தெரியும்; அப்போது பணம் பல நாடுகளில் உள்ள கணக்குகள் வழியாக சுழற்றப்பட்டு காணாமல் போயிருக்கும்.
Phishing / Spoofed Websites — போலி இணையதள மோசடி
இது இன்னும் நுட்பமான ஒரு தாக்குதல். Domain name-இல் ஒரே ஒரு எழுத்து வித்தியாசம் மட்டுமே — gov.lk க்கு பதிலாக g0v.lk என்று இருக்கும். வடிவமைப்பில் அரசு இணையதளம் போலவே இருக்கும். பாதிக்கப்பட்டவர் வித்தியாசம் புரியாமல் தனது payment details கொடுத்துவிடுவார்.
இதை கண்டுபிடிக்க பயிற்சி பெற்ற கண் தேவை. சாதாரண பயனர் மட்டுமல்ல; அரசு அதிகாரிகள் கூட இதில் விழுவார்கள். ஏனென்றால் இந்த தாக்குதல் மனித மனோவியலை சுரண்டுகிறது; அவசரம், அதிகாரம், நம்பிக்கை ஆகிய மூன்றையும் ஆயுதமாக பயன்படுத்துகிறது.
Third-Party Infiltration — மூன்றாம் தரப்பு ஊடுருவல்
இது இன்றைய மிக அதிகரித்துவரும் தாக்குதல் முறை. நேரடியாக மையமான அமைப்பை தாக்காமல் ; அதனோடு இணைக்கப்பட்ட வெளிப்புற அமைப்புகள் வழியாக உள்ளே நுழைவது. வெளிநாட்டு அலுவலகங்கள், கிளை நிறுவனங்கள், துணை ஒப்பந்தக்காரர்கள், மூன்றாம் தரப்பு மென்பொருள் வழங்குநர்கள் போன்றவை அனைத்தும் "நுழைவுவாயில்களாக" மாறலாம்.
2020-ல் உலகை அதிர்ச்சிக்குள்ளாக்கிய SolarWinds தாக்குதல் இந்த வகையில்தான் இருந்தது ; அமெரிக்காவின் பல அரசு நிறுவனங்கள் மூன்றாம் தரப்பு மென்பொருள் வழியாக திருடப்பட்டன. இலங்கையில் விமான சேவை அலுவலகங்களில் நடந்தது இதே வகை.
03 — மனித காரணி: மறக்கப்படும் மிக முக்கியமான பாடம்
Cybersecurity நிபுணர்களிடையே ஒரு பொதுவான கூற்று உண்டு: "Technology is never the weakest link — humans are."
BEC தாக்குதல்களில் 90% வெற்றியடைவதற்கு காரணம் தொழில்நுட்ப பலவீனம் அல்ல — மனித பலவீனம். இந்த உண்மை இலங்கை சூழலில் இன்னும் முக்கியமானது.
ஏன் என்றால், நம் நிர்வாக கலாசாரத்தில் சில குறிப்பிட்ட பலவீனங்கள் உள்ளன. மின்னஞ்சல் தகவல்தொடர்பை சரிபாராமல் நம்புவது, அதிகாரிகளின் உத்தரவை கேள்வி கேட்காமல் நிறைவேற்றுவது, புதிய கணக்கு விவரங்களை மாற்றும் கோரிக்கைகளை தொலைபேசியில் உறுதிப்படுத்தாமல் செயல்படுவது — இவை நம் நிர்வாகத்தில் இன்னும் நடைமுறையில் உள்ளன.
கூடுதலாக, Insider Threat என்ற உள்நோக்கிய அச்சுறுத்தலும் இங்கே இருக்கிறது. உள்ளே யாரோ ஒருவர் வெளியில் உள்ள குற்றவாளிகளுக்கு வழிகாட்டியிருக்கலாம் என்ற சாத்தியத்தை விசாரணையாளர்கள் தீவிரமாக எடுக்க வேண்டும். Insider Threat என்பது உலகின் மிகவும் சிக்கலான Cybersecurity சவால்களில் ஒன்று ஏனென்றால் அங்கு எதிரி வெளியே இல்லை, உள்ளேயே இருக்கிறான்.
04 : இலங்கை இப்போது எங்கே நிற்கிறது? Or Cybersecurity விஷயத்தில் இலங்கை எந்த நிலையில் இருக்கிறது?
கட்டமைப்பு அளவில் இன்னும் நாம் பின்தங்கியிருக்கிறோம். CERT (Sri Lanka Computer Emergency Readiness Team) இருக்கிறது, ஆனால் அதன் ஆட்பலம், பட்ஜெட், அதிகாரம் என்பன இன்னும் போதுமானதாக இல்லை. Cybercrime Investigation Division இருக்கிறது, ஆனால் Digital Forensics திறன் வரையறுக்கப்பட்டதாக உள்ளது. சர்வதேச Cybercrime ஒத்துழைப்பு ஒப்பந்தங்கள் முழுமையாக இல்லை.
ஒப்பீட்டளவில் பார்க்கும்போது, இந்தியா தனது National Cyber Security Policy வலுப்படுத்தி, Indian Cyber Crime Coordination Centre (I4C) மூலம் ஒருங்கிணைந்த Cyber Crime Investigation நடத்துகிறது. சிங்கப்பூர் Cybersecurity Agency of Singapore (CSA) மூலம் தேசிய அளவிலான Cyber Threat Intelligence பகிர்கிறது. எஸ்தோனியா உலகின் மிக பாதுகாப்பான டிஜிட்டல் அரசாங்கமாக மாறியிருக்கிறது.
இவர்களுக்கும் நமக்கும் உள்ள வித்தியாசம் தொழில்நுட்பம் மட்டுமல்ல அரசியல் சித்தம் மற்றும் முன்னுரிமை தரும் விதம்.
05: அரசாங்கத்திற்கான கொள்கை வலியுறுத்தல்கள்
ஒரு Digital Safety & security பயிற்சியாளராக, கீழ்க்கண்ட நடவடிக்கைகளை அரசாங்கம் உடனடியாக எடுக்க வேண்டும் என வலியுறுத்துகிறேன்.
உடனடி நடவடிக்கைகள் (0-6 மாதங்கள்):
அனைத்து அரசு நிதி பரிவர்த்தனைகளுக்கும் இரட்டை அங்கீகாரம் (Two-Factor Authentication) மற்றும் Dual Authorization கட்டாயமாக்க வேண்டும். ஒரே ஒரு அதிகாரியின் அனுமதியில் பெரும் தொகைகள் மாறும் வழக்கம் முற்றிலும் தடுக்கப்பட வேண்டும். எந்த கொடுப்பனவுக்கும் குறைந்தது இரண்டு தனித்தனி அதிகாரிகளின் அனுமதி கட்டாயம்.
Bank account விவரங்களில் ஏதாவது மாற்றம் வந்தால் — மின்னஞ்சல் மூலம் வந்தாலும் சரி — அதிகாரப்பூர்வ தொலைபேசி எண்ணில் நேரடியாக உறுதிப்படுத்துவதை Standard Operating Procedure-ஆக மாற்ற வேண்டும். இந்த ஒரு நடவடிக்கை மட்டுமே BEC தாக்குதல்களில் 80% தடுக்கும்.
குறுகிய கால நடவடிக்கைகள் (6-18 மாதங்கள்):
CERT-ஐ தனித்த பட்ஜெட்டுடன் வலுப்படுத்தி, நிதி நிறுவனங்களுக்கான 24/7 Cyber Incident Response கட்டமைப்பை உருவாக்க வேண்டும். Cybercrime Investigation Division-க்கு Digital Forensics Lab மற்றும் பயிற்சி பெற்ற நிபுணர்கள் தேவை.
அனைத்து அரசு நிதி அதிகாரிகளுக்கும் BEC, Social Engineering, Phishing விழிப்புணர்வு பயிற்சி ஆண்டுதோறும் கட்டாயமாக நடத்தப்பட வேண்டும். பயிற்சி என்பது ஒரு முறை செய்து விட்டு மறக்கும் விஷயம் அல்ல — Cyber threats தினசரி பரிணமிக்கின்றன, பயிற்சியும் தினசரி புதுப்பிக்கப்பட வேண்டும்.
நீண்ட கால கட்டமைப்பு (18 மாதங்கள் - 3 ஆண்டுகள்):
இந்தியா, அவுஸ்திரேலியா, UAE, சிங்கப்பூர் உள்ளிட்ட நாடுகளுடன் Cyber Crime துறை அளவிலான ஒத்துழைப்பு ஒப்பந்தங்கள் அவசியம். இல்லாமல் கடலுக்கு அப்பால் சென்ற பணத்தை மீட்பது கிட்டத்தட்ட சாத்தியமற்றது.
National Cybersecurity Strategy ஒன்றை வெளியிட்டு, ஒவ்வொரு அமைச்சகத்திற்கும் Cybersecurity Roadmap தயாரிக்க வேண்டும். Digital Forensics மற்றும் Cyber Investigation-இல் சிறப்பு பட்டப்படிப்புகளை உள்நாட்டு பல்கலைக்கழகங்களில் தொடங்க வேண்டும்.
நிதி இழப்புகள் குறித்த வெளிப்படையான பொது அறிவிப்பு முறையை கட்டாயமாக்க வேண்டும். மறைப்பு மக்களின் நம்பிக்கையை அழிக்கும்; வெளிப்படைத்தன்மை மட்டுமே நம்பிக்கையை மீட்கும்.
06: நமது சமூகத்தின் சமூகத்திற்கான சிறப்பு எச்சரிக்கை
இந்த விவகாரத்தில் நம் சமூகத்தை நேரடியாக பாதிக்கும் ஒரு கோணம் இருக்கிறது — அதை தெளிவாக புரிந்துகொள்ள வேண்டும்.
தமிழ் பேசும் சமூகத்தினர் பெரும்பாலும் வளைகுடா நாடுகளிலிருந்து — சவுதி அரேபியா, UAE, கட்டார், குவைத், ஒமான் — தமது குடும்பங்களுக்கு பணம் அனுப்புகிறார்கள். இலங்கைக்கு வரும் மொத்த remittance-இல் இந்த சமூகத்தின் பங்களிப்பு கணிசமானது. மக்கள் வங்கியின் பணவனுப்பல் கட்டமைப்பில் நடந்த இழப்பு நேரடியாக இந்த சமூகத்தை பாதிக்கிறது.
பணவனுப்பல் பாதுகாப்பு:
அதிகாரப்பூர்வமான வங்கி சேனல்கள் மட்டுமே பயன்படுத்துவது கட்டாயம். தனியார் hawala அமைப்புகள் மூலம் பணம் அனுப்புவதில் உள்ள அபாயங்களை புரிந்துகொள்ள வேண்டும். Transaction confirmation-ஐ எப்போதும் பெறுநரிடம் நேரடியாக அல்லது தொலைபேசியில் பேசி உறுதிசெய்யுங்கள்.
போலி இணையதள கவனிப்பு:
எந்த அரசு இணையதளத்தையும் பயன்படுத்தும்போது URL-ஐ கவனமாக சரிபாருங்கள். gov.lk என்ற அதிகாரப்பூர்வ domain-ஐ மட்டுமே நம்புங்கள்.
சந்தேகமிருந்தால் நேரில் சென்று உறுதிப்படுத்துங்கள் — இரண்டு மணி நேரம் செலவழிப்பது, கோடி ரூபா இழப்பதை விட மேலானது.
சமூக அளவில் விழிப்புணர்வு:
மதத்தளங்கள், சமூக அமைப்புகள், பெற்றோர் ஆசிரியர் கூட்டங்கள் என்று Digital Safety & Security விழிப்புணர்வை நாமே பரப்ப வேண்டும். வயதான தலைமுறையினர் குறிப்பாக இந்த மோசடிகளுக்கு பாதிக்கப்படக்கூடியவர்கள். அவர்களுக்கு கல்வி கொண்டு செல்வது நம் பொறுப்பு.
இளைஞர்களுக்கான அழைப்பு:
நம் சமூகத்தில் தொழில்நுட்பம் படித்த இளைஞர்கள் இருக்கிறார்கள். அவர்கள் தமது அறிவை சமூக சேவையாக பயன்படுத்த வேண்டும். ஒவ்வொரு பிரதேச சமூக அமைப்பிலும் ஒரு Digital Safety & Security தன்னார்வலர் குழு உருவாக்குவது இன்றைய தேவை.
07 : இது தவிர்க்க முடியாத சவால் அல்ல
சிலர் சொல்வார்கள்: "Cyber crime-ஐ முழுவதுமாக தடுக்க முடியாது." இது உண்மையே. ஆனால் இதன் பொருள் நாம் கைகட்டி இருக்க வேண்டும் என்பதல்ல.
இந்தியாவின் UPI அமைப்பு மாதந்தோறும் 15 பில்லியன் பரிவர்த்தனைகளை பாதுகாப்பாக செயல்படுத்துகிறது. எஸ்தோனியா 2007-ல் ரஷ்யாவிடமிருந்து மிகப்பெரிய Cyber attack-ஐ எதிர்கொண்டு, அதிலிருந்து கற்று, இன்று உலகின் மிக பாதுகாப்பான டிஜிட்டல் அரசாங்கமாக மாறியிருக்கிறது. சிங்கப்பூர் Digital Payment Fraud-ஐ குறைக்க கடுமையான நடவடிக்கைகள் எடுத்து வெற்றி பெற்றிருக்கிறது.
இவர்களுக்கு சாத்தியம் என்றால் நமக்கும் சாத்தியம். தேவையானது மூன்றே மூன்று விஷயங்கள்: அரசியல் கொள்கை, தொழில்நுட்ப முதலீடு, மற்றும் மக்களுக்கான வெளிப்படைத்தன்மை.
டிஜிட்டல் யுகத்தில் திருட்டு புதிய வடிவம் எடுத்திருக்கின்றன. அவை இணையத்தில் மறைந்திருக்கின்றன, மில்லி விநாடிகளில் வேலை செய்கின்றன, எல்லை தாண்டி ஓடுகின்றன. இந்த புதிய திருட்டுகளிலிருந்து காக்க பழைய முறைகள் போதாது.
ஆனால் ஒன்றை நினைவில் கொள்ள வேண்டும் , தொழில்நுட்பம் ஆயுதமாக இருப்பது போல், தொழில்நுட்பமே கேடயமாகவும் இருக்கிறது.
1.சரியான கட்டமைப்பு
2 சரியான பயிற்சி
3.சரியான கொள்கை — இந்த மூன்றும் இருந்தால் இந்த திருட்டுகளிலிருந்து காக்கலாம்.
மக்களின் வரிப்பணம் என்பது அரசாங்கத்திற்கு கொடுக்கப்பட்ட நம்பிக்கை. அந்த நம்பிக்கையை காப்பாற்றுவது ஒவ்வொரு அரசாங்கத்தின் அடிப்படை கடமை.
டிஜிட்டல் யுகத்தில் அந்த கடமை இன்னும் சிக்கலானது — ஆனால் தவிர்க்க முடியாதது.
திருட்டுப் போன பணத்தை மட்டும் தேடாமல், இன்னும் இன்னும் திருட்டுப் போகாமல் காக்கும் அமைப்பை ( System) கட்டியெழுப்ப வேண்டும். அந்த அமைப்பு கட்டப்படும் வரை, இன்னொரு Digital திருட்டு தடுக்கப்படாது — அது உறுதி.
#முர்ஷித் #CyberSecurityLK #DigitalSafety #SriLanka #CyberCrimeAwareness #Digizen #BECFraud #PhishingAwareness
