ஓர் அமைதியான சைபர் தாக்குதல்; இலங்கை அரசு மீளப்போவது எப்படி?
பல நவீன குற்றங்களைப் போலவே, இதுவும் எந்தவொரு சலசலப்பும் இன்றி மிகவும் அமைதியாகவே தொடங்கியது. எவ்வித எச்சரிக்கை மணிகளும் ஒலிக்கவில்லை; அமைதியான இரவைக் குலைக்கும் அவசர தொலைபேசி அழைப்புகளும் இருக்கவில்லை.
அதற்குப் பதிலாக, இலங்கை திறைசேரியின் அமைதியான கணினி கட்டமைப்புக்குள் ஒரேயொரு மின்னஞ்சல் வந்து சேர்ந்தது. அது திறக்கப்பட்டது; அதைவிட மிக முக்கியமான விடயம் என்னவென்றால், அது நம்பப்பட்டது.
அந்த நம்பிக்கைக்குக் கொடுக்கப்பட்ட விலை 2.5 மில்லியன் டொலர்கள் (சுமார் 80 கோடி ரூபாய்) ஆகும்.
இந்தக் கொடுப்பனவானது, ஓர் அசாதாரணமான விடயம் அல்ல. அரசாங்கங்கள் தொடர்ச்சியாகத் தமது கடன் தவணைகளைச் செலுத்தி வருகின்றன. அவுஸ்திரேலிய நிதி நிறுவனம் ஒன்றுக்குச் செலுத்த வேண்டியிருந்த இந்த குறிப்பிட்ட கடன் தொகையும், அரசாங்கத்தின் கொடுக்கல் வாங்கல் ஆவணங்களில் இருந்த மற்றுமொரு சாதாரண கொடுப்பனவு மாத்திரமே. இவ்வாறான கொடுக்கல் வாங்கல்களைக் கையாளும் கட்டமைப்பானது பிழைகள் ஏற்படாத வகையில் வடிவமைக்கப்பட்டிருந்தது. ஒவ்வொரு கொடுப்பனவும் மிகவும் அவதானமாகத் தயாரிக்கப்பட்ட நடைமுறைகளின் ஊடாகவே மேற்கொள்ளப்பட்டன. அங்கு அதிகாரிகளின் பல நிலைகள், கையொப்பங்கள் மற்றும் முறையான சோதனைகள் காணப்பட்டன. இது வெறும் நம்பிக்கையின் அடிப்படையில் மாத்திரம் அன்றி, மீண்டும் மீண்டும் செய்யப்படும் உறுதிப்படுத்தல்களின் அடிப்படையில் இயங்கும் ஒரு கட்டமைப்பாகும்.
அல்லது, அவ்வாறுதான் அது தோற்றமளித்தது.
இந்தச் சம்பவம் கவலையளிப்பதற்குக் காரணம் பணம் காணாமல் போனது மாத்திரமல்ல, அது காணாமல் போன விதம் தான். இது எந்தவொரு தொழில்நுட்பக் கோளாறினாலோ அல்லது வங்கிப் பிழையினாலோ நடந்தது அல்ல. இது மிகவும் திட்டமிடப்பட்டு, அந்தச் செயல்பாட்டுடன் எவ்விதத்திலும் தொடர்பற்ற ஒரு தரப்பினரால் வேறு திசைக்கு மாற்றப்பட்டுள்ளது.
தற்போது வௌியாகியுள்ள உத்தியோகபூர்வ விளக்கத்தின்படி, சைபர் குற்றவாளிகள் திறைசேரியின் மின்னஞ்சல் கட்டமைப்புக்குள் நுழைந்து, செய்திகளை மாற்றி, கொடுக்கல் வாங்கலின் போது போலி வங்கி விபரங்களை உட்புகுத்தியுள்ளனர். மேலோட்டமாகப் பார்க்கும் போது இது மிகவும் எளிமையான ஒரு டிஜிட்டல் மோசடியாகத் தோன்றலாம். ஆனால், அந்தப் பணம் செல்ல வேண்டிய பாதையை ஆராயும் போது, அந்த எளிமை மறைந்து விடுகிறது.
ஏனெனில், இது ஒரே ஒரு கட்டத்தில் நடக்கும் கொடுக்கல் வாங்கல் அல்ல.
திறைசேரியிலிருந்து பணம் வௌியேறுவதற்கு முன்னதாக, அது ஒரு படிநிலை அமைப்பின் (Hierarchy) ஊடாகக் கீழ்நோக்கிப் பாய வேண்டும். அங்கீகாரம் பெறுவது மிக உயர்மட்டத்தில் இருக்கும் திறைசேரிச் செயலாளரிடமிருந்து தொடங்குகிறது. பின்னர் அது பணிப்பாளர்கள், மேலதிக பணிப்பாளர்கள், உதவிப் பணிப்பாளர்கள் ஊடாகச் சென்று இறுதியில் கொடுப்பனவு ஆலோசனைகளைத் தயாரித்து அனுப்பும் அதிகாரிகளைச் சென்றடைகிறது. அதனுடனும் அந்தச் செயல்முறை முடிவடைவதில்லை. அது மீண்டும் வேறொரு திணைக்களத்துக்குச் சென்று மற்றுமொரு முறை சோதிக்கப்பட்டு உறுதிப்படுத்தப்பட வேண்டும்.
ஏதோ ஒன்று தவறாக இருக்கிறது என்பதை உணர்வதற்கு 13 சந்தர்ப்பங்கள் இருந்தன. அந்தச் செயல்பாட்டை நிறுத்துவதற்கு 13 வாய்ப்புகள் இருந்தன. அப்படியிருந்தும், மாற்றப்பட்ட அந்த அறிவுறுத்தல்கள் எவ்விதத் தடங்கலும் இன்றி அந்த அனைத்து நிலைகளையும் கடந்து சென்றன.
இது நடந்த விதத்தைப் புரிந்துகொள்ள வேண்டுமானால், இது திடீரென ஏற்பட்ட ஒரு கட்டமைப்புச் சிதைவு என்ற கருத்திலிருந்து விடுபட்டு, மிக மெதுவாகவும் இரகசியமாகவும் நடந்த ஒன்று எனச் சிந்திக்க வேண்டும். தோற்றமளிக்கும் விதத்தில் இந்தத் தாக்குதல் ஒரு கணத்தில் நடந்தது அல்ல. இது காலப்போக்கில் விரிவடைந்த ஒன்றாகும். முதலாவது ஒழுங்கீனம் 2026 ஜனவரியில் கண்டறியப்பட்ட போதிலும், இந்த மோசடியான செயல் 2025இன் இறுதியிலேயே ஆரம்பமாகியதாக நம்பப்படுகிறது. அந்த இடைவெளியானது வெறும் கண்டுபிடிப்பதில் ஏற்பட்ட தாமதம் மாத்திரமல்ல; அது அந்தச் சிஸ்டம் பாதுகாப்பற்றுக் கிடந்த காலமாகும்.
அந்தக் காலப்பகுதியில், இந்தத் திட்டத்தை வழிநடத்திய நபர் வெறும் கட்டமைப்புக்குள் நுழைவதை மாத்திரம் செய்யவில்லை. அவர் அவதானித்துக் கொண்டிருந்தார். கற்றுக்கொண்டிருந்தார். அதற்கேற்பத் தன்னை மாற்றிக்கொண்டிருந்தார்.
பலவந்தத்தின் அடிப்படையில் அல்லாமல், பழக்கவழக்கத்தின் அடிப்படையில் இயங்கும் ஒரு விசேட வகை சைபர் குற்றம் இது. ஒரு கட்டமைப்பை (System) முடக்குவதற்குப் பதிலாக, அது அந்தக் கட்டமைப்பைக் கற்றுக்கொள்கிறது. யார் யாருடன் தொடர்பு கொள்கிறார்கள், அவர்கள் பயன்படுத்தும் மொழி என்ன, அங்கீகாரம் எவ்வாறு வழங்கப்படுகிறது மற்றும் கொடுக்கல் வாங்கல்கள் பொதுவாக எப்போது நிகழ்கின்றன என்பதை அது கற்றுக்கொள்கிறது. காலப்போக்கில், அது அந்த நடத்தைகளை எவ்வளவு துல்லியமாகப் பிரதிபலிக்கிறது என்றால், உண்மையான கொடுக்கல் வாங்கலுக்கும் போலிக்கும் இடையிலான வித்தியாசத்தைக் கண்டறிய முடியாமல் போகிறது.
இங்கு நிகழ்ந்ததும் அதுவே என்றால், அந்தப் போலி கொடுப்பனவுகளைச் செய்யத் தூண்டிய மின்னஞ்சலானது நம்பகமானது மாத்திரமல்ல, அது அந்தச் சந்தர்ப்பத்திற்குப் பொருத்தமானதாகவும் இருந்தது. அது சரியான நேரத்தில், சரியான வடிவத்தில் மற்றும் சரியான தன்மையுடன் வந்தது. அது சந்தேகத்தை ஏற்படுத்தவில்லை, ஏனெனில் அது மற்றைய அனைத்து செய்திகளையும் போலவே தோற்றமளித்தது.
இருப்பினும், மிகவும் ஆழமான ஒரு கேள்வி எஞ்சியுள்ளது.
ஒரு மின்னஞ்சல் செய்தி ஏன் இவ்வளவு முக்கியமானது?
சர்வதேச நிதி விவகாரங்களில், குறிப்பாக அரசாங்கங்கள் அல்லது முக்கிய நிறுவனங்களுக்கு இடையிலான கொடுக்கல் வாங்கல்களில், கொடுப்பனவு அறிவுறுத்தல்கள் அடிக்கடி மாறுவதில்லை. அவை முறையான ஒப்பந்தங்களின் அடிப்படையில் அமைந்தவை. வங்கி கணக்கு விபரங்கள் முன்கூட்டியே தீர்மானிக்கப்பட்டவை மற்றும் பல்வேறு வழிகளில் உறுதிப்படுத்தப்பட்டவை. அவை சாதாரண மின்னஞ்சல் செய்திகளால் மாற்றப்படுவது மிகவும் அரிது. ஒரு மின்னஞ்சல் எவ்வளவு உண்மையானதாகத் தோன்றினாலும், ஏற்கனவே உள்ள உத்தியோகபூர்வ அறிவுறுத்தல்களைப் புறக்கணித்துச் செயல்படும் அதிகாரம் அதற்கு இருந்திருக்கக் கூடாது.
அப்படியிருந்தும், அந்தப் பதின்மூன்று நிலைகளில் எங்கோ ஓரிடத்தில் அது நிகழ்ந்துள்ளது.
சிலவேளை இதற்கான விடை தாக்குதல் நடத்தியவர்களின் திறமையில் அல்லாமல், அந்த கட்டமைப்பிலேயே ஏற்பட்ட பலவீனத்தில் இருக்கலாம். நடைமுறைகள் எவ்விதத் தடங்கலும் இன்றி மீண்டும் மீண்டும் பின்பற்றப்படும் போது, அவை பாதுகாப்பு நடவடிக்கைகளை விடவும் 'பழகிப்போன சடங்குகள்' போல மாறிவிடக்கூடும். உறுதிப்படுத்துதல் என்பது ஓர் எதிர்பார்ப்பாக மாத்திரமே எஞ்சுகிறது. அங்கீகாரம் வழங்குவது ஒரு பழக்கமாக மாறுகிறது. பல சோதனை நிலைகள் இருப்பதனால், "முன்னர் இருந்தவர்கள் இதைச் சரியாகச் சோதித்திருப்பார்கள்" என்ற மௌனமான நம்பிக்கை உருவாகிறது.
பொறுப்புக்கூறலுக்கும் ஊகங்களுக்கும் இடையில் உள்ள அந்த இடைவெளியே, தவறுகள் நிகழ்வதற்கான வாயிலைத் திறந்து விடுகிறது.
இந்தக் கதையின் மற்றுமொரு சுவாரசியமான திருப்பம் என்னவென்றால், இந்தியாவுக்குச் செய்யப்பட வேண்டிய மற்றுமொரு கொடுப்பனவின் போதும் இவ்வாறானதொரு முயற்சி மேற்கொள்ளப்பட்டமை கண்டறியப்பட்டுள்ளது. முதல் முறையைப் போலன்றி, இந்த முயற்சி தோல்வியடைந்தது. அந்த வித்தியாசம் மிகவும் முக்கியமானது. ஏதோ ஒன்று அல்லது யாரோ ஒருவர் அந்தத் தாக்குதல் முறையை முறியடித்துள்ளார். ஒரு குறிப்பிட்ட விபரத்தின் மீது கவனம் செலுத்தப்பட்டது; ஒரு கேள்வி கேட்கப்பட்டது. இம்முறை அந்தச் சங்கிலித் தொடர் எவ்விதத் தடையுமின்றி நகர்வதற்கு அனுமதிக்கப்படவில்லை.
குற்றவியல் விசாரணைகளில் வெற்றிகளை விடவும், தோல்வியடைந்த முயற்சிகளின் ஊடாகவே பல உண்மைகள் வௌிப்படுவதாகக் கூறப்படுகிறது. மிகவும் நேர்த்தியாகத் திட்டமிடப்பட்ட குற்றங்கள் மிகக் குறைவான தடயங்களையே விட்டுச் செல்கின்றன. ஆனால், தோல்வியடைந்து முறியடிக்கப்பட்ட ஒரு குற்ற முயற்சி, அதன் ஆரம்பம் மற்றும் பின்னணியை வௌிச்சத்துக்குக் கொண்டு வரும். அந்த இரண்டாவது முயற்சியின் போது என்ன மாற்றம் நிகழ்ந்தது என்பதை விசாரணை அதிகாரிகள் கண்டறிந்தால், முதல் மோசடியை அவிழ்ப்பதற்கான திறவுகோலை அவர்கள் கண்டறிய முடியும்.
தற்போது, இது தொடர்பான பொறுப்புக்கூறல் மற்றும் ஒழுக்காற்று நடவடிக்கைகள் ஆரம்பிக்கப்பட்டுள்ளன. சில அதிகாரிகளுக்கு எதிராக நடவடிக்கைகள் எடுக்கப்பட்டுள்ளதுடன், அவர்களின் தீர்மானங்கள் கேள்விக்குள்ளாக்கப்பட்டு வருகின்றன. இருப்பினும், தனிநபர்கள் மீது மாத்திரம் கவனம் செலுத்துவது முழுமையான சித்திரத்தைத் தவறவிடச் செய்துவிடும். இவ்வாறான சிக்கலான கட்டமைப்புகளின் தோல்வி என்பது ஒரு தனிப்பட்ட நபரின் தவறு மாத்திரம் அல்ல. அது நடைமுறைகள், கலாசாரம் மற்றும் எதிர்பார்ப்புகள் ஆகியவற்றினூடாக அமைதியாகக் கட்டியெழுப்பப்பட்ட ஒரு ஒட்டுமொத்த விளைவாகும்.
அத்துடன், அந்த அமைப்பிற்குள் நுழையும் விதம் (Access) குறித்த ஒரு கேள்வியும் எழுகிறது.
தாக்குதல் நடத்தியவர்கள் வெறும் செய்திகளை மாத்திரம் இடைமறிக்கவில்லை; அவர்கள் அந்த உரையாடலின் ஓர் அங்கமாகவே மாறினார்கள். அவர்கள் ஆவணங்களை அனுப்பி வைத்தார்கள்; கேள்விகளுக்குப் பதிலளித்தார்கள். அவர்கள் அந்த உரையாடலுக்குள் நுழைந்திருந்த அந்த நம்பகமான முறையைப் பார்க்கும் போது, இது வெறும் வௌியிலிருந்து வந்த தாக்குதல் என்று மாத்திரம் கருத முடியாது. அந்த அணுகல் வசதியை அவர்கள் இரகசியக் குறியீடுகளைத் (Passwords) திருடியதன் மூலம் பெற்றார்களா, நீண்டகால அவதானிப்பின் மூலம் பெற்றார்களா அல்லது அந்த அமைப்பிற்கு மிகவும் நெருக்கமான ஏதோ ஒன்றின் மூலம் பெற்றார்களா என்பது இன்னும் ஒரு விடை தெரியாத கேள்வியாகவே உள்ளது.
இந்த மோசடி கண்டறியப்பட்ட போதே, பணம் ஏற்கனவே பல்வேறு இடங்களுக்குச் சென்றிருந்தது. இவ்வாறான சந்தர்ப்பங்களில் பணம் ஓரிடத்தில் தங்கியிருப்பதில்லை. அது துண்டு துண்டாகப் பிரிக்கப்பட்டு, எல்லைகளைக் கடந்து, அதன் ஆரம்பத்தை மறைப்பதற்காக உருவாக்கப்பட்ட பல அடுக்குக் கணக்குகளின் ஊடாகப் பயணிக்கிறது. அந்தப் பணத்தை மீண்டும் மீட்டெடுப்பது என்பது காலத்துடனான ஒரு போட்டியாகும். ஒவ்வொரு பணப்பரிமாற்றமும் ஒரு தடையத்தை (Trace) விட்டுச் சென்றாலும், படிப்படியாக அந்தத் தடயங்கள் மறைந்து போகின்றன.
இது சர்வதேச அளவில் ஒருங்கிணைக்கப்பட்ட ஒரு நடவடிக்கையின் ஒரு பகுதியாக இருக்கலாம் என அதிகாரிகள் தெரிவித்துள்ளனர். அது உண்மையானால், இது ஒரு தனிமைப்படுத்தப்பட்ட சம்பவம் அல்ல; இது ஒரு பெரிய வலையமைப்பின் ஒரு பகுதி மாத்திரமே. அவர்கள் உலகின் பிற நிறுவனங்களையும் இதேபோல் சோதித்திருக்கலாம் அல்லது வெற்றிகொண்டிருக்கலாம்.
இருப்பினும், இந்தக் கதை எவ்வளவு சிக்கலானதாக இருந்தாலும், அதன் மையம் மிகவும் எளிமையானது.
தவறுகளைத் தடுப்பதற்காக உருவாக்கப்பட்ட ஒரு கட்டமைப்பு, தன்னையே ஏமாற்றிக்கொள்ள இடமளித்தது. இது பலவந்தமாக உடைக்கப்பட்ட ஒன்று அல்ல; இது ஒரு தூண்டுதல் (Deception).
மிகவும் கவலையளிக்கும் விடயமும் அதுவே. ஏனெனில் உண்மையான பலவீனம் என்பது ஒரு மென்பொருள் குறியீடோ (Software code) அல்லது பாதுகாப்புச் சுவரோ (Firewall) அல்ல. அது, அதையும் தாண்டிய ஒரு மானுடவியல் சார்ந்த விடயம். அதாவது, இந்தத் கட்டமைப்பு ஒருபோதும் தோல்வியடையாது என்ற அந்த அதீத நம்பிக்கையே மிகப்பெரிய பலவீனமாகும்.
எமது சொந்தத் தவறால் ஏற்பட்ட அந்தச் சிறிய துவாரத்தின் ஊடாக 2.5 மில்லியன் டொலர்கள் நழுவிச் சென்றன.
