இந்தியாவின் முக்கிய உள்கட்டமைப்புகளுக்குப் பொருளாதார இறையாண்மையைப் பாதுகாப்பதற்கான ஒரு டிஜிட்டல் எல்லைச்சுவர் தேவைப்படுகிறது.
இந்தியா 5 டிரில்லியன் டாலர் பொருளாதாரமாக மாற வேண்டும் என்ற தனது இலக்கை நோக்கி பயணித்துக் கொண்டிருக்கும் வேளையில், நாட்டின் மிக முக்கியமான அமைப்புகளில் ஒரு மறைமுகமான பலவீனம் வெளிப்பட்டு வருகிறது. குடிமக்களின் தனிப்பட்ட தரவுகளைப் பாதுகாக்கும் டிஜிட்டல் தனிநபர் தரவு பாதுகாப்புச் சட்டம் (Digital Personal Data Protection Act (DPDP)) போன்ற முக்கிய சட்டங்களை இந்தியா கொண்டாடி வருவது முற்றிலும் சரியானதே ஆகும்.
இருப்பினும், நமது நாட்டின் மின்சாரம், ரயில் போக்குவரத்து மற்றும் வங்கிகள் போன்ற பொருளாதாரத்தின் முதுகெலும்பாக விளங்கும் மிக முக்கியமான, பலத்த பாதுகாப்புடைய கட்டமைப்பு வசதிகளுக்குள் இன்னும் ஒரு பெரிய பாதுகாப்பு அச்சுறுத்தல் இருந்து கொண்டேதான் இருக்கிறது. அதுதான் 'கண்காணிக்கப்படாத திறன்பேசிகள்' (Unmonitored smartphones). பல ஆண்டுகளாக, இத்தகைய முக்கியமான உள்கட்டமைப்புகள் தங்களின் பாதுகாப்பிற்காக ‘Air gap’ என்ற பாதுகாப்பு முறையையே பெரிதும் நம்பியிருந்தன.
இதன் யோசனை மிகவும் எளிமையானது: முக்கியமான செயல்பாட்டு கணினி ஒன்று இணையத்துடன் இணைக்கப்படாமல், தனிமைப்படுத்தி வைக்கப்பட்டிருந்தால், அதை யாராலும் சட்டவிரோதமாக ஊடுருவ (Hack) முடியாது. ஆனால், இன்றைய டிஜிட்டல் உலகில் இந்த பாதுகாப்பு மட்டுமே போதுமானதாக இல்லை. இப்போது இருக்கும் மிகப்பெரிய அச்சுறுத்தல், எங்கோ தூரத்திலிருந்து ஒரு சட்டவிரோத ஊடுருவல் நிறுவனத்தின் பாதுகாப்பு தடுப்பை (Firewall) உடைக்க முயற்சிப்பது மட்டுமல்ல; மாறாக, அலுவலகத்தில் உள்ள பாதுகாப்பான கணினிகளுக்கும், ஊழியர்கள், ஒப்பந்ததாரர்கள் மற்றும் பார்வையாளர்கள் கையில் வைத்திருக்கும் தனிப்பட்ட திறன்பேசிகளுக்கும் இடையே தங்களுக்குத் தெரியாமலேயே தகவல்கள் பரிமாறப்படுவதுதான் தற்போது மிகவும் ஆபத்தான விஷயமாக உருவெடுத்துள்ளது.
தரவுக் கசிவுகள்
இது கொள்கை வல்லுநர்கள் 'ஊடகங்களுக்கு இடையேயான' பாதுகாப்பு நெருக்கடி என்று அழைக்கும் ஒரு சூழ்நிலையை உருவாக்குகிறது. ஒரு மின்சார விநியோக மையத்தின் உயர்அதிகாரி அல்லது ஒரு வங்கிக் கிளையின் வாடிக்கையாளர் மேலாளரை உங்கள் கற்பனையில் நினைத்துப் பாருங்கள். அவர்கள் மிகவும் பாதுகாப்பான ஒரு நிறுவனக் கணினியில் வேலை செய்கிறார்கள். அவர்கள் அங்கிருந்தபடி, முக்கியமான செயல்பாட்டுத் தரவுகளையோ அல்லது வாடிக்கையாளர்களின் கோப்புகளையோ வெளிநபர்களின் மின்னஞ்சல் முகவரிக்கு அனுப்ப முயன்றால், அந்தப் பாதுகாப்பு அமைப்பு உடனடியாக அந்த முயற்சியைத் தடுத்து, எச்சரிக்கை மணியை ஒலிக்கச் செய்யும்.
இருப்பினும், அந்த கணினிக்கு அருகிலேயே அவர்களுடைய சொந்த திறன்பேசியும் இருக்கிறது. அது வணிகரீதியான ஒரு பொதுவான 5G இணைய சேவை வசதியுடன் இணைக்கப்பட்டுள்ளது. அந்த நபர் கணினித் திரையை அப்படியே ஒரு புகைப்படம் எடுத்தாலோ, அல்லது ஏதேனும் ஒரு தனிப்பட்ட குரலை உரையாக மாற்றும் செயலியில் (Voice-to-text app) முக்கியமான நிதித் தகவல்களைப் பேசினாலோ, அந்தத் தரவுகள் ஏற்கனவே கசிந்துவிட்டன என்றுதான் அர்த்தம். அதாவது, அந்தத் தகவல் மிகவும் பாதுகாப்பான மற்றும் விதிகளுக்குட்பட்ட ஒரு டிஜிட்டல் அமைப்பிலிருந்து, கண்காணிக்கப்படாத ஒரு தனிப்பட்ட முறைக்கு மாறிவிடுகிறது.
ஒரு தனியார் தொலைத்தொடர்பு இணைய சேவை வழியாக தரவுகள் வெளியேறுவதால், நிறுவனங்களின் இணைய அமைப்பால் இந்தத் தகவல் கசிவைக் கண்டறிய முடிவதில்லை. இது வெறும் தகவல் தொழில்நுட்பம் சார்ந்த பிரச்சனை மட்டுமல்ல; இது இந்தியாவின் மொத்த உள்நாட்டு உற்பத்தியை நேரடியாகப் பாதிக்கிறது. இந்தியாவில், ஒரு நிறுவனத்தின் தரவுக் கசிவால் ஏற்படும் சராசரி இழப்புச் செலவு சமீபத்தில் ₹22 கோடி என்ற அளவாக உயர்ந்துள்ளது. ஒரு பெரிய மின்சாரக் கட்டமைப்பு அல்லது வங்கி இணைய அமைப்பு இத்தகைய தரவுக் கசிவால் முடங்கும்போது, அதனால் ஏற்படும் உற்பத்தித்திறன் பாதிப்பு ஒட்டுமொத்த விநியோகச் சங்கிலி முழுவதும் பரவி, நாட்டின் ஒட்டுமொத்த பொருளாதார உற்பத்தியைக் குறைக்கிறது.
ஆண்டுக்கு 7 முதல் 8 சதவீத மொத்த உள்நாட்டு உற்பத்தி வளர்ச்சியைத் தக்கவைத்துக் கொள்ள இலக்கு வைத்துள்ள ஒரு நாட்டிற்கு, கண்காணிக்கப்படாத டிஜிட்டல் தரவுக் கசிவுகள் ஒட்டுமொத்தத் தொழில்துறையையும் சீர்குலைக்க அனுமதிப்பது, இந்தியா தாங்கிக்கொள்ள முடியாத ஒரு பெரும் இழப்பாகும்.
தனியுரிமைச் சட்ட குறைபாடு
அரசாங்கங்களோ அல்லது நிறுவனங்களோ இந்தச் சாதனங்களுக்கு கட்டுப்பாடுகளை விதிக்க முயலும் போது, அவை பெரும்பாலும் சில குறிப்பிட்ட நலன் சார்ந்த குழுக்கள் மற்றும் தனிமனித உரிமை ஆர்வலர்களிடமிருந்து கடுமையான எதிர்ப்பை எதிர்கொள்கின்றன. ஒரு ஊழியரின் சொந்தச் சாதனம் (Personal device) என்பது அவருடைய தனிப்பட்ட சொத்து என்றும், அதைக் கண்காணிப்பது ஒருவரது தனிப்பட்ட உரிமையில் தேவையில்லாமல் தலையிடும் அல்லது ஊடுருவும் செயல் என்றும் வாதிடுகின்றனர்.
இருப்பினும், இந்த முழுமையான தனியுரிமைப் பாதுகாப்பு, நாட்டின் பாதுகாப்பிற்கும் பொருளாதார நிலைத்தன்மைக்கும் அச்சுறுத்தல் ஏற்படுத்தும் வகையில் எதிரி நாடுகளாலோ அல்லது சமூக விரோதிகளாலோ நாளுக்கு நாள் அதிகமாகத் தவறாகப் பயன்படுத்தப்பட்டு வருகிறது. தொழில்நுட்பத் திறன் கொண்ட தாக்குநர்கள் (Attackers), தங்களின் தனியுரிமைக்கான இந்த வாதங்களையே சாதகமாகப் பயன்படுத்திக் கொண்டு, யாரும் கண்காணிக்க முடியாத 'தற்காலிகப் பயன்பாட்டு' ரக (Burner) திறன்பேசிகளை மிகவும் பாதுகாப்பான மற்றும் முக்கியமான பணியிடங்களுக்குள் எடுத்துச் செல்கிறார்கள். ஊழியர்களின் சொந்தத் தனிப்பட்ட சாதனங்களைக் கண்காணிக்கக் கூடாது என்று நிறுவனங்கள் அறிவுறுத்தப்படுவதால், இந்தத் திறன்பேசிகள் அந்தப் பாதுகாப்பான வளாகங்களுக்குள்ளேயே யாருக்கும் தெரியாத மறைமுக இணைய இணைப்புகளாக மாறிவிடுகின்றன.
நிறுவனத்திற்கு உள்ளே இருப்பவர்களே ரகசியத் தரவுகளை எளிதாகப் புகைப்படம் எடுத்து, அவற்றை தங்களின் சொந்த தனிநபர் மேகக்கணிமை சேமிப்பகம் (Private cloud storage) பதிவேற்றிவிட முடியும். இந்தத் தரவுகள் அனைத்தும் அவர்களின் சொந்த திறன்பேசியின் இணைய அமைப்பு மூலமாக அனுப்பப்படுவதால், நிறுவனத்தின் பாதுகாப்புப் குழுவால் இந்தத் தரவுப் பரிமாற்றத்தைக் கண்டறியவோ, தடுக்கவோ அல்லது அது எங்குச் சென்றது என்று கண்காணிக்கவோ முடியாது.
இது ஒரு முக்கியமான கேள்வியை எழுப்புகிறது: தனிமனித தனியுரிமைக்கான உரிமை (Right to personal privacy), ஒரு நாட்டின் சொத்திலிருந்து முக்கியமான தரவுகளையும் பொருளாதார மதிப்பையும் இரகசியமாகத் திருடிச் செல்லக்கூடிய, அரசாங்கத்தால் கண்காணிக்கப்படாத ஒரு சாதனத்தை தங்களோடு எடுத்துச் செல்வதற்கான உரிமையையும் உள்ளடக்கியதா?
கண்காணிப்பிலிருந்து பாதுகாப்பு வரை
நாட்டின் முக்கியமான உள்கட்டமைப்புகளைப் பாதுகாப்பதற்காக, அரசாங்கம் ஒரு எளிய ஆனால் மிக முக்கியமான ஒழுங்குமுறை மாற்றத்தைக் கொண்டுவர வேண்டும். அதன்படி, அனைத்து முக்கியமான உள்கட்டமைப்பு நிறுவனங்களும் தங்களது வளாகத்திற்குள் பயன்படுத்தப்படும் தனிப்பட்ட மற்றும் தற்காலிக சாதனங்களுக்காக 'மத்தியக் கட்டுப்பாட்டு அணுகல் வலையமைப்பு' (Centrally Managed Access Network (CMAN)) எனப்படும் பிரத்யேக மற்றும் அதிவேகப் பாதுகாப்பு கொண்ட பெருநிறுவன வைஃபை (WiFi) வசதியை வழங்குவதைக் கட்டாயமாக்க வேண்டும்.
திறன்பேசிகளுக்கு நடைமுறைக்குச் சாத்தியமில்லாத தடைகளை விதிப்பதற்கோ அல்லது அவற்றால் ஏற்படும் ஆபத்துகளைக் கண்டுகொள்ளாமல் விடுவதற்கோ பதிலாக, நிறுவனங்கள் இந்தச் சாதனங்களை ஒரு நிர்வகிக்கப்படும் டிஜிட்டல் வலையமைப்புடன் இணைக்க வேண்டும். இது விமான நிலையத்தில் உள்ள உலோகத்தைக் கண்டறியும் கருவி (metal detector) அல்லது வங்கியின் பாதுகாப்புப் பெட்டக (Bank vault) அமைப்பு செயல்படுவதைப் போன்றதாகும். இத்தகைய நிர்வகிக்கப்படும் இணையதள அமைப்பு, ஒரு ஊழியரின் தனிப்பட்ட உரையாடல்களையோ அல்லது செய்திகளின் உள்ளடக்கங்களையோ கண்காணிக்காது.
மாறாக, இந்தத் தொழில்நுட்பம் ஒரு சாதனம் எந்த இணையதளத்துடன் அல்லது கணினி வழங்ககத்துடன் (Server) இணைக்க முயற்சிக்கிறது என்பதை மட்டுமே சரிபார்க்கிறது. உதாரணமாக, ஒரு வங்கியின் கருவூலத் துறைக்குள் (Treasury department) இருக்கும் ஒரு சாதனம், மற்றொரு நாட்டில் உள்ள தீங்கிழைக்கும் ஒரு சர்வருடன் இணைக்க முயன்றால், இந்த இணைய அமைப்பு அந்த இணைப்பைத் தடுத்து, பாதுகாப்புப் பிரிவினருக்கு உடனே எச்சரிக்கை செய்கிறது. இந்த அமைப்பினால் கிடைக்கும் நன்மைகள், இதனால் எழும் தனியுரிமை சார்ந்த கவலைகளைவிடப் பல மடங்கு அதிகம். மேலும், ஊழியர்களின் தனிப்பட்ட திறன்பேசிகளில் அவர்களது செயல்பாடுகளைக் கண்காணிக்கும் செயலிகளை கட்டாயமாக நிறுவச் சொல்லும் பல தற்போதைய நிறுவன நடைமுறைகளைவிட, இந்த முறை ஊழியர்களின் தனியுரிமையைச் சிறந்த முறையில் பாதுகாக்கிறது.
ஒரு நிர்வகிக்கப்பட்ட வலையமைப்பு மூலம், கண்காணிப்பு என்பது பணியிடம் மற்றும் அதன் குறிப்பிட்ட வரம்பிற்குள் மட்டுமே செயல்படும். பணியாளர் அந்த அலுவலக வளாகத்தைவிட்டு வெளியேறிய உடனேயே, அந்தச் சாதனத்தில் என்னென்ன செயல்பாடுகள் நடக்கின்றன என்பதை நிறுவனத்தால் பார்க்க முடியாது.
அந்நிய நேரடி முதலீட்டை தடையின்றி அனுமதித்தல்
பாதுகாப்பை மேம்படுத்துவதைத் தாண்டி, இந்த எளிய கொள்கை ஒரு மிகப்பெரிய பொருளாதார நன்மையையும் வழங்குகிறது. இது அந்நிய நேரடி முதலீட்டை (FDI) ஈர்க்கக்கூடியது. உலகளாவிய முதலீட்டாளர்கள் பொதுவாக ஆபத்துகள் அல்லது நஷ்டம் ஏற்படும் வாய்ப்புகள் குறித்து மிகவும் எச்சரிக்கையாக இருப்பார்கள். சர்வதேச நிறுவனங்களும் அரசாங்கங்களின் இறையாண்மை நிதி அமைப்புகளும் இந்தியாவின் உற்பத்தி, எரிசக்தி மற்றும் நிதித் தொழில்நுட்பம் ஆகிய துறைகளில் பில்லியன் கணக்கான டாலர்களை முதலீடு செய்யும்போது, 'இணையவழித் தாக்குதல்களில் இருந்து தப்பித்து மீளும் திறன்' (Cyber resilience) என்பது அவர்களின் முதலீட்டு முடிவுகளைத் தீர்மானிக்கும் ஒரு முக்கிய காரணியாக மாறியுள்ளது.
இந்தக் கொள்கையை ஏற்றுக்கொள்வதன் மூலம், இந்தியாவின் முக்கிய உள்கட்டமைப்புகள் அனைத்தும் "வடிவமைப்பிலேயே பாதுகாப்பானவை" என்பதை இந்தியா உலகிற்கு நிரூபிக்க முடியும். ஒரு கட்டாய டிஜிட்டல் பாதுகாப்பு எல்லையை உருவாக்குவது, வெளிநாட்டு முதலீட்டாளர்களுக்கு ஒரு பெரிய நம்பிக்கையைத் தரும்; அதாவது, அவர்களுடைய அறிவுசார் சொத்துக்கள், நிதி வழிமுறை அமைப்புகள் (Financial algorithms) மற்றும் விநியோகச் சங்கிலி வலையமைப்புகள் போன்றவை நிறுவனத்திற்குள்ளே இருக்கும் அச்சுறுத்தல்களிலிருந்தும், தரவு கசிவுகளிலிருந்தும் பாதுகாப்பாக இருப்பதை உறுதி செய்கிறது. இது எளிதாக வணிகம் செய்வதற்கான உலகளாவிய தரவரிசையில் இந்தியாவின் இடத்தை மேம்படுத்த உதவும். மேலும், ஒரு வலுவான இணையப் பாதுகாப்பை இந்தியாவின் தனித்துவமான போட்டியாளர்களைவிட கூடுதல் சாதகமாக மாற்றி, மற்ற நாடுகளுக்குச் செல்லவிருக்கும் பில்லியன் கணக்கான டாலர் வெளிநாட்டு நேரடி முதலீடுகளை (FDI) இந்தியாவை நோக்கி ஈர்க்கும் என்றும் எதிர்பார்க்கப்படுகிறது.
அடுத்தகட்ட நடவடிக்கை
அரசாங்கம் தற்போது நடைமுறையில் உள்ள சட்டங்களை உருவாக்கும் வழிமுறைகள் மூலமாகவே, உடனடியாக இந்த விஷயத்தில் நடவடிக்கை எடுக்க முடியும். சிறிய ஆனால் மிகவும் முக்கியமான மாற்றங்களை, வரவிருக்கும் 'டிஜிட்டல் இந்தியா சட்டம்' (Digital India Act) அல்லது மேம்படுத்தப்பட்ட தேசிய இணையப் பாதுகாப்பு வழிகாட்டுதல்களில் (National cybersecurity guidelines) சேர்த்துக் கொள்ள முடியும். முக்கியமான மற்றும் பாதுகாப்பான அரசு நிறுவனங்களின் உள்ளே இருக்கும் கம்பியில்லா இணையக் கட்டமைப்பை (Wireless network), நாட்டின் தேசியப் பாதுகாப்பு அமைப்பின் ஒரு பகுதியாகக் கருதுவதன் மூலம், அந்த வலையமைப்பில் நடக்கும் தரவுப் போக்குவரத்தைக் கண்காணிக்கவும் கட்டுப்படுத்தவும் தேவையான அடிப்படைத் தகுதியை அரசாங்கம் கட்டாயமாக்க முடியும்.
தகவல்கள் பரிமாறப்படும் பணியிடத்திலேயே தகவல்களின் பரிமாற்றத்தைத் துல்லியமாகக் கட்டுப்படுத்துவதன் மூலம், நாம் ஒரு வலுவான பாதுகாப்பு அமைப்பை உருவாக்க முடியும். இது அதற்கு மேல் உள்ள அனைத்துப் பாதுகாப்பையும் பலப்படுத்துகிறது. இந்த நடைமுறையானது, நிறுவனத்திற்குள்ளேயே இருந்து வரும் அச்சுறுத்தல்களைத் தடுக்கவும், வெளிநாட்டு எதிரிகள் தனிநபர்களின் திறன்பேசிகளைப் பயன்படுத்தி உளவு பார்ப்பதைத் தடுத்து நிறுத்தவும், இந்தியாவின் பொருளாதார உற்பத்தியைப் பாதுகாக்கவும் பெரிதும் உதவுகிறது.
நாம் எதை கவனிக்காமல் விடுகிறோமோ, அதை நம்மால் பாதுகாக்க முடியாது. தனிநபர் சாதனங்களிலிருந்து யாருக்கும் தெரியாமல் வெளியேறும் இந்த மறைமுகத் தரவுப் போக்குவரத்தை, ஒரு முறையான வலையமைப்புகளின் கட்டுப்பாட்டுக்குள் கொண்டுவருதன் மூலம், இந்தியாவின் மிகப்பெரிய டிஜிட்டல் பாதுகாப்பு இடைவெளிகளில் ஒன்றை நம்மால் சரிசெய்ய முடியும். டிஜிட்டல் எல்லைகளைக் கட்டுப்படுத்துவது என்பது இனி வெறும் தொழில்நுட்பம் சார்ந்த தேவை மட்டுமல்ல; அது இந்தியாவின் தேசியப் பொருளாதார இறையாண்மையின் ஒரு முக்கியக் காரணி ஆகும்.
கட்டுரையாளர், இந்திய அரசாங்கத்தின் முதன்மை அறிவியல் ஆலோசகர் அலுவலகத்தின் முன்னாள் அறிவியல் செயலாளர் ஆவார்.