25 June 2017

News Flash

डिजिटायझेशनच्या वाटेवर आयटी ऑडिटबाबत सरकारचीच अनास्था!

आयटी सुरक्षा हा आज जगासमोरचा काळजीचा विषय आहे, हे रॅन्समवेअर व्हायरसमुळे सिद्ध झाले आहे.

सुहास जोशी | Updated: June 2, 2017 1:04 AM

आयटी सुरक्षा हा आज जगासमोरचा काळजीचा विषय आहे, हे रॅन्समवेअर व्हायरसमुळे सिद्ध झाले आहे. आयटी सिक्युरिटी ऑडिटकडे गांभीर्याने पाहायची गरजही त्यामुळे अधोरेखित झाली आहे.

रॅन्समवेअर व्हायरसने जगभर धुमाकूळ घातल्यानंतर माहिती व तंत्रज्ञानाचा वापर आणि त्यातून निर्माण होणारे धोके यावर पुन्हा एकदा चर्चा झडू लागल्या. संगणकीय जालामध्ये वावरताना नेमकी काय काळजी घ्यायला हवी, कोणती यंत्रणा वापरायला हवी अशा उपायांची यादी सर्वत्र फिरू लागली. माहिती तंत्रज्ञानाशी निगडित सुरक्षा उपाय जरी योजले असले तरी त्यातूनही काही वेळा धोक्यांना सामोरे जावेच लागते. त्याकडे पाहताना एका अत्यंत महत्त्वाच्या विषयाला अनेकदा बगल दिल्याचे आपल्याकडे वारंवार दिसून येते. ते म्हणजे आयटी सिक्युरिटी ऑडिट. आपण आपल्या आस्थापनेसाठी वापरत असलेल्या माहिती तंत्रज्ञान यंत्रणेचे ‘सुरक्षा लेखा परीक्षण’, ठरावीक काळानंतर न चुकता करणे हे म्हणजेच आयटी सिक्युरिटी ऑडिट. त्यासाठी आंतरराष्ट्रीय स्तरावर मान्यता असलेल्या पद्धती, परिमाणं वापरली जातात. आपल्याकडे आपण ही पद्धती कशी आणि किती प्रभावीपणे वापरतो यावर आपल्या संभाव्य धोक्यांची तीव्रता कमी-जास्त होत असते. म्हणूनच या काहीशा दुर्लक्षित विषयाचा प्राथमिकतेने विचार करायला हवा.

पण त्यापूर्वी सायबर हल्ला म्हणजे काय हे थोडे जाणून घ्यावे लागेल. सायबर हल्ल्यामागे अनेक हेतू असतात. पहिला हेतू हा थेट दोन राष्ट्रांमधील वैर हा असू शकतो. एखाद्या राष्ट्राने ठरवून दुसऱ्या राष्ट्रामध्ये अनागोंदी माजेल अशी परिस्थिती इंटरनेटच्या माध्यमातून निर्माण करणे. दुसऱ्या देशाच्या सरकारी वेबसाइट हॅक करणे, त्यातील माहिती गायब करणे. जेणे करून त्या देशात गदारोळ माजावा. दुसरा हेतू एखाद्याच्या विषयी बदनामीकारक वाईट गोष्टी प्रसृत करणे. ही विकृतीच म्हणावी लागेल. म्हणजे जाणीवपूर्वक एखादा प्रलोभनाचा मेल एकाच वेळी असंख्य लोकांना पाठवायचा आणि त्यातील विषाणूच्या माध्यमातून त्यांच्या संगणकाचे बारा वाजवायचे. तिसरा हेतू म्हणजे एखाद्या सायबर हल्ल्याच्या कृत्यासाठी मोठय़ा प्रमाणात इतरांचे संगणक वापरायचे. म्हणजे तुम्हाला एखादा प्रलोभनात्मक ई-मेल पाठवला आणि तो तुम्ही उघडला की त्यातून संगणकाचा ताबा घ्यायचा आणि तुमच्या संगणकाद्वारे एखादे गैरकृत्य करायचे. कधी ते एका संगणकाआधारे असते किंवा अनेक. चौथा प्रकार म्हणजे एखाद्या ई-मेलच्या माध्यमातून तुमच्या संगणकातील माहिती चोरून तिचा आर्थिक वापर करायचा. यात बँकेचे खाते वापरणे किंवा डेबिट/क्रेडिट कार्डाच्या माहितीआधारे खरेदी करणे वगैरे गोष्टी येतात. पाचवा प्रकार जो नुकताच रॅन्समवेअरमुळे आपण अनुभवला. एखादा संगणक हॅक करून त्यातील सर्व माहितीवर ताबा मिळवायचा आणि ती माहिती पुन्हा देण्यासाठी पैसे मागायचे. हा प्रकार म्हणजे अपहरणाचेच दुसरे रूप आहे. हे ढोबळ प्रकार म्हणता येतील. यामध्ये संगणकाच्या जागी मोबाइलचा वापरदेखील होऊ शकतो.

या सर्व पाश्र्वभूमीवर तुमचा संगणक किंवा तुम्ही ज्या संगणकीय जाळ्याशी जोडलेले आहात त्याची सुरक्षा हा अत्यंत महत्त्वाचा विषय होऊ शकतो. त्यासाठी आयटी सिक्युरिटी ऑडिट थोडक्यात समजून घ्यावे लागेल. यासंदर्भात आयटी सिक्युरिटी तज्ज्ञ मनोज पुरंदरे सांगतात, ‘हे काम साधारण दोन पातळ्यांवर चालते. एक म्हणजे सातत्याने पाळत ठेवणे. आणि दुसरे म्हणजे आपल्या यंत्रणेत घडलेल्या घटनांचे परिणाम तपासणे, अनुमान काढणे.’ मनोज पुरंदरे सांगतात की, भारतात कार्यरत असणाऱ्या माहिती तंत्रज्ञान क्षेत्रातील काही आंतरराष्ट्रीय कंपन्यांनी रिझर्व बँक ऑफ इंडियाला आयटी सिक्युरिटीच्या संदर्भात काही महत्त्वाच्या शिफारसी केल्या होत्या. त्याआधारे २०१६ मध्ये रिझर्व बँकेने दहा मार्गदर्शक तत्त्वांचा अंतर्भाव असलेली ‘इन्फर्मेशन सिक्युरिटी पॉलिसी’ जाहीर केली आहे. त्यामध्ये सातत्याने पाळत ठेवण्यासाठी ‘सिक्युरिटी ऑपरेशन सेंटर’ उभारणे, आयटी आर्किटेक्चर, नेटवर्क आणि डेटाबेस सुरक्षा, ग्राहकांची माहिती, संकटसमयी करावयाचे व्यवस्थापन आपल्या संस्थेत निर्माण झालेल्या अडचणी ताबडतोब ‘सेंटर इन्फर्मेशन रिपोर्ट’कडे नोंदवणे, आपण एखाद्या परिस्थितीचा मुकाबला करण्यास तयार आहोत ही पातळी दर्शविणारे निर्देशक, आस्थापनेची रचना, सुरक्षासंबंधी जनजागृती कार्यक्रम या घटकांचा समावेश होतो. रिझव्‍‌र्ह बँकेने एक नियंत्रक संस्था म्हणून ही मार्गदर्शक प्रणाली जाहीर केली आहे. पण हे यापूर्वीच व्हायला हवे होते. कारण गेल्या दहा वर्षांत संगणक आणि इंटरनेटशी आपल्यापैकी प्रत्येकजण येनकेनप्रकारेण जोडलेला आहे. पण ते जोडण्यापूर्वी आपण अशी काळजी घ्यावी अशी सवय आपल्याला मुळातच नसल्याचे त्यातून जाणवते असे म्हणता येईल.

याबाबतीत मनोज पुरंदरे सांगतात की, रिझव्‍‌र्ह बँकेच्या या मार्गदर्शक तत्त्वांचा आधार जर घेतला तर काही प्रश्न उपस्थित करता येतात ज्या आधारे आपण आपली कंपनी कशी सुरक्षित करत आहोत हे आपल्या लक्षात येऊ शकते. आपल्या कंपनीच्या उद्योगाची धोरणं काय आहेत आणि त्यानुसार ती कंपनी सायबर धोके किती घेतेय? स्वीकारलेला धोका आपल्याला झेपणारा आहे? या जोखमीबद्दल त्या कंपनीला सल्ला देणाऱ्याची शैक्षणिक पात्रता, अनुभव इ. आणीबाणीच्या प्रसंगी कंपनीची मालमत्ता तो कशा आणि किती प्रकारे पुनस्र्थापित करू शकतो? मनोज पुरंदरे सांगतात की, बहुतांशपणे या क्षेत्राशी निगडित कंपन्या या चार प्रश्नांचा विचार करतात. पण त्यापुढील महत्त्वाचे दोन प्रश्न फारसे चर्चिले जात नाहीत आणि हीच आयटी सिक्युरिटी ऑडिटबाबतची त्रुटी म्हणावी लागेल. त्या कंपनीच्या माहिती तंत्रज्ञानाच्या व्यवस्थेवर अन्य कोणत्या प्रकारे हल्ला होऊ शकतो हे त्यातून स्पष्ट होते का आणि ते वाचवण्यासाठीचे परवडण्याजोगे आणि सोयीस्कर उपाय कोणते, हेच ते दोन प्रश्न. मनोज पुरंदरे सांगतात की पहिल्या चार प्रश्नांकडे कॉर्पोरेट कंपन्यादेखील लक्ष देतात. पण पुढील दोन प्रश्नांचा अभ्यासच होत नाही. अगदी सरकारदेखील याचा कधी ठामपणे विचार करत नाही.

या अनुषंगाने प्रगत देशातील यंत्रणा त्यांची आयटी सिक्युरिटीची रचना यामध्ये नेमकं काय वेगळं असतं, याबाबतीत मनोज पुरंदरे सांगतात की त्यांच्याकडे स्वयंप्रेरित आणि सहयोगपूर्ण दृष्टिकोनातून कार्यवाही हे दोन महत्त्वाचे घटक असतात. या दोन घटकांमुळे एकूणच त्यांच्या आयटी सिक्युरिटीमध्ये खूप फरक पडतो. तुलनेने आपल्याकडे या दोन्ही घटकांचा विचार खूप कमी केला जातो. सरकारी पातळीवर पाहिले असता स्वयंप्रेरित यंत्रणा कार्यरत नाही. पण नासकॉमच्या माध्यमातून डीएससीआय (डेटा सिक्युरिची काऊन्सिल ऑफ इंडिया) सारखे उपक्रम हाती घेतले आहेत. पण ते सध्यातरी प्राथमिक टप्प्यावरच आहेत असे म्हणावे लागेल. तसेच आयटी क्षेत्रात कार्यरत असणाऱ्या कंपन्या सोडल्या तर अन्यत्र आपण जे सहा प्रश्न वर विचारले त्याबाबतीत शेवटच्या दोन प्रश्नांकडे फारसे गांभीर्याने पाहिलेच जात नाही. आयटीबाहेरील इतर कंपन्या विक्री आणि पगार यावर भर देतात. पण आयटी सिक्युरिटीसाठी स्वतंत्र निधीची व्यवस्था करायची तयारी नसते. त्यामुळे एकाच निधीमध्ये संगणक खरेदी आणि सिक्युरिटी या दोन्हीचा अंतर्भाव होतो. इतकेच नाही तर अगदी स्थानिक पातळीवर कार्यरत असणाऱ्या छोटय़ा यंत्रणा यातर अधिकृत परवाना असलेली सॉफ्टवेअर्सदेखील खरेदी करत नाहीत. किंबहुना अशी सॉफ्टवेअर्स खरेदी करण्यामागचे फायदे नेमकेपणाने त्यांच्यापर्यंत पोहचलेले नाहीत ही उणीव मनोज पुरंदरे अधोरेखित करतात. याचं अगदी नजीकच्या काळातील उदाहरण म्हणजे सध्या झालेल्या रॅन्समवेअर व्हायरसला प्रतिबंध करण्यासाठी मायक्रोसॉफ्टने त्यांच्या वेबसाइटवर ११ एप्रिलचा पॅच (सॉफ्टवेअरमधील त्रुटीवर मात करणारी प्रणाली) जारी केला होता. आणि विशेष म्हणजे मायक्रोसॉफ्टने विंडोज एक्सपी या प्रणालीचा आधार बंद केला असला तरी त्यासाठी देखील वेगळा पॅच जारी केला होता. पण मुळातच जर एखाद्याने विंडोज प्रणालीची परवाना आवृत्ती घेतली नसेल तर त्याला या पॅचबद्दल काहीही कळणं अशक्य होतं. तसेच विंडो एक्सपीचा सपोर्ट बंद केल्यानंतरदेखील अनेकांनी अजूनही पुढील आवृत्ती वापरण्यास सुरुवात केलेली नाही.

थोडक्यात हा आपल्या मानसिकतेचाच भाग म्हणावे लागेल. माहिती तंत्रज्ञानतज्ज्ञ निरंजन कऱ्हाडे याबद्दल सांगतात की, आपल्याकडील जुगाड संस्कृती किंवा जो होगा देखा जायेगा अशा दृष्टिकोनामुळे आपण या सर्वापासून लांब असतो. त्यामध्ये किंमत परवडण्यापेक्षा त्याचं महत्त्वच आपल्याला कळत नाही. त्यामुळे आपल्याकडे आयटी, आर्थिक, दूरसंचार या क्षेत्रांतील कंपन्या सोडल्यास लघू व मध्यम उद्योगांमध्ये याबाबत जागरूकताच नसल्याचे ते नमूद करतात. जागरूकता नसण्याचे प्रमाण ७५ टक्क्य़ाएवढे असावी अशी भीती ते व्यक्त करतात. प्रतिबंधात्मक उपाय अशी आपली भूमिका नसते. किंबहुना अशी जागरूकताही नियमांपेक्षा स्वयंप्रेरणेने येणे गरजेचे असल्याचे ते सांगतात. त्यासाठी शालेय पातळीवरच किमान दहावीच्या टप्प्यावर तरी आयटी सिक्युरिटीबद्दल किमान मूलभूत शिक्षण देण्याची गरज ते अधोरेखित करतात.

अर्थात भारतीय मानसिकता हे यामागे कारण असले तरी एक मात्र नक्की की अधिकृत सॉफ्टवेअर्सची खरेदी आणि ती नियमितपणे अपडेट करण्यासाठीचा खर्च थोडा अधिकच आहे. तो प्रतिबंधात्मक खर्च आहे हे जरी मान्य केले तरी हा खर्च करावा ही जागरूकता आपल्याकडे नाही. अगदी परवाच्या रॅन्समवेअरच्या अनुषंगाने विचार केला तर विंडोज एक्सपी प्रणालीच्या जागी अनेकांनी विंडोज सेव्हन किंवा एट या आवृत्तीचा वापर केला नाही. परिणामी केवळ त्यामुळेदेखील (यात अगदी पोलीस खात्याचादेखील समावेश आहे) अनेकांना त्याचा फटका बसला आहे. आज आपल्याकडे अगदी छोटय़ा छोटय़ा पातळीवरदेखील संगणक आणि इंटरनेटच्या जाळ्याचा वापर करून कामं होताना दिसतात. अगदी साधं उदाहरण घ्यायंचं तर काही शहरातील प्रवासी कंपन्यांची विभिन्न कार्यालयेदेखील एकमेकांशी जोडलेली असतात. अशा वेळी आपल्याला आयटी सिक्युरिटी ऑडिट ही संकल्पना माहीतच नसेल तर आपण भविष्यात होणाऱ्या हल्ल्याला तोंड कसे देणार हे सध्यातरी अनुत्तरितच आहे.

पण मग अशा वेळी आयटी सिक्युरिटी ऑडिट हे बंधनकारक असावे का असा एक प्रश्न हमखास उपस्थित होतो. याबाबत बरीच मतभिन्नता तज्ज्ञांमध्येदेखील दिसून येते. सायबर सिक्युरिटी तज्ज्ञ आणि वकील प्रशांत माळी सांगतात, ‘‘आपल्या आयटी अ‍ॅक्ट २००८ मधील कलम ४३ अ नुसार रिझनेबल सिक्युरिटी पॅ्रक्टिसेसचा वापर करायला हवा असे नमूद केले आहे. तसेच आर्थिक देवघेव व्यवहार करणाऱ्या कंपन्यांसाठी ऑडिट आवश्यक आहे. सरकारी आस्थापनांना कॅगमध्येच आयटी ऑडिटचा समावेश आहे.’’ अर्थात कायद्यातील या तरतुदी सांगताना ते एका महत्त्वाच्या मुद्दयाकडे लक्ष वेधतात. ते सांगतात की, आपल्याकडे ऑडिट हा नंतर केलेला विचार असतो. आपण ‘रिव्हर्स इंजिनीअरिंग’ करून ऑडिटचा विचार करतो. ऑडिट अनुकूल होण्यासाठी आपण सल्लागार नेमतो. त्यामुळे केवळ ऑडिटमध्ये उत्तीर्ण होण्यासाठी आपली सारी धडपड असते. पण सायबर सिक्युरिटी अंगी बाणवण्याची मूलभूत मानसिकता त्यामध्ये दिसून येत नाही. त्यामुळे हे ऑडिट म्हणजे परीक्षणसूचीवर बरोबर किंवा चूक या खुणा करण्यापुरते ठरते. आपल्या ऑडिटमध्ये प्रात्यक्षिकाचा तुटवडा असतो. इतकेच नाही तर किमान तांत्रिक पदवीधर असेल तरच त्याला आयटी सिक्युरिटी ऑडीटींगची परीक्षा देता येईल असा नियम नाही. त्यामुळे तंत्रज्ञानाशी निगडित नसणारे आयटी ऑडिटरची पात्रता मिळवतात आणि ऑडिट करतात तेव्हा ते केवळ सोपस्कार या पद्धतीत मोडते.

म्हणजेच आज ऑडिट करण्याची काही क्षेत्रांमध्ये मानसिकता आली आहे, पण त्याच्या कार्यवाहीमध्ये अजूनही केवळ एक प्रक्रिया पूर्ण करणे हाच भाग दिसून येतो. त्यामुळेच स्थानिक पातळ्यांवर अशा प्रकारचे काम करणाऱ्यांना पुरेसा मेहनतानादेखील दिला जात नसल्याचे या क्षेत्रातील तज्ज्ञ सांगतात.

आयटी कायद्यातील सिक्युरिटी संदर्भातील तरतुदींबद्दलदेखील खरे तर ऊहापोह होणे गरजेचे आहे. माहितीसाठय़ाचे संरक्षण करण्यातील त्रुटींमुळे झालेल्या नुकसानभरपाईबद्दलच्या कलमामध्ये हा संदर्भ येतो. स्वतंत्रपणे केवळ आयटी सिक्युरिटी ऑडिटच्या बाबतीत तसे भाष्य येथे आढळत नाही. एक सावधानता म्हणून आधीच करावयाची उपाययोजना म्हणून आयटी सिक्युरिटी ऑडिट ही संकल्पना असावी हे त्यातून थेट अभिप्रेत होताना दिसत नाही. पण मग कायद्यानेच असे बंधन घालण्याची गरज निर्माण होते का? याबाबत आयटी तज्ज्ञ व ज्येष्ठ उद्योजक दीपक घैसास सांगतात, ‘‘कायदा करून, बंधन घालून अशा गोष्टी साध्य होत नाहीत. आपल्याकडील कायदे पुरेसे आहेत, पण त्याची अंमलबजावणी करणारी यंत्रणा सक्षम नाही. ऑडिट बंधनकारक करण्याचा कायदा केला की त्यातील पळवाटा शोधण्याकडे आपला कल असतो. त्यामुळे मुख्यत: आयटी सिक्युरिटी हा आपल्या जगण्याचा घटक व्हायला हवा.

दुसऱ्या एका महत्त्वाच्या मुद्दय़ाकडे ते लक्ष वेधतात. केवळ सुरक्षेच्या उपाययोजना केल्या म्हणून निवांत बसता येणार नाही. कारण आज कोणतेही सॉफ्टवेअर १००टक्के नुकसान प्रतिबंधक नसते. सुरक्षेचे उपाय केल्यानंतरदेखील काही घटना घडली तर त्यानंतर आपण काय करतो हेदेखील तितकेच महत्त्वाचे आहे. प्रगत राष्ट्रांमध्ये अशा वेळी काय करावे याची निर्धारित व्यवस्थापन कार्यप्रणाली (स्टँडर्ड ऑपरेटिंग प्रोसिजर) असते. तशी यंत्रणा आपल्याकडे नाही. आज आपल्याकडे बँकिंग क्षेत्रात आयटी सिक्युरिटीच्या संदर्भात घडलेल्या घटनांचे रिपोर्टिग पोलिसांकडे होण्याचे प्रमाण कमी असल्याचे ते नमूद करतात. अगदी साधं उदाहरण द्यायचं तर प्रगत राष्ट्रांमध्ये क्रेडीट/डेबिट कार्ड एटीएमवर वापरताना तीन वेळा चूक झाली तर लगेच पोलीस एटीएमच्या दारात येतात. अशी यंत्रणा, व्यवस्था आज आपल्याकडे दिसत नाही.

दीपक घैसास आपल्या एकंदरीतच मनोवृत्तीवर भाष्य करतात. त्यासाठी सोशल रिइंजिनीअरिंग हा शब्द वापरतात. आयटी सिक्युरिटीच्या दृष्टीने विचार करताना आपले सोशल रिइंजिनीअरिंग होण्याची गरज ते व्यक्त करतात. अगदी छोटय़ा छोटय़ा बाबतीतदेखील आपण जागरूक नसल्याचे ते दाखवून देतात. त्याचे मूळ कारण हे सिक्युरिटीबाबतची जागरूकताच आपल्यामध्ये नसल्याचे ते नमूद करतात. अगदी रहदारीमध्येदेखील एखाद्या ठिकाणी पोलीस नसेल बिनदिक्कत सिग्नल तोडण्याची आपली मनोवृत्ती असते. आपण त्या सिग्नल यंत्रणेशी निगडित नसतो तर पोलिसाशी निगडित असतो. तसेच आयटी सिक्युरिटीबद्दल आपला दृष्टिकोन आहे. त्यामुळे आयटी सिक्युरिटी ही वैयक्तिक, सामाजिक गरज आहे हे जोपर्यंत लक्षात घेत नाही तोपर्यंत कायदा करून काहीही होणार नाही हेच ते वारंवार अधोरेखित करतात.

थोडक्यात काय तर आज आपल्याकडे आयटी कायदा आहे, सिक्युरिटीबद्दल प्रशिक्षण देणाऱ्या संस्था आहेत, त्याचे लेखा परीक्षण करणाऱ्या यंत्रणादेखील आहेत, पण मुळात आपल्या मानसिकतेत बदल होत नाही तोपर्यंत हे सर्व असण्याला काहीही अर्थ नाही. आज आपण झपाटय़ाने डिजिटायजेशनकडे निघालो आहोत. आपली सारी माहिती येनकेन कारणाने अनेक ठिकाणी आपण दिलेली असते. अशावेळी आपली माहिती सुरक्षित आहे याबद्दलची ग्वाही आपल्याला ना सरकार देते ना खाजगी यंत्रणा.

आपल्याकडे मध्यंतरी उत्पादनाच्या दर्जासाठी आयएसआय मानांकनाचा आग्रह धरावा याबाबत सरकारनेच खूप मोठी जनजागृती केली होती. सोन्याच्या दागिन्यांबाबतही हॉलमार्कबाबत असाच प्रचार झाला होता. सर्वसामान्य ग्राहकाला त्यातून आश्वस्त करण्याची ती एक व्यवस्था आहे. तशी व्यवस्था आजतरी आयटी सिक्युरिटीसंदर्भात कोठेही दिसत नाही. आपला माहितीसाठा सुरक्षित असण्याबद्दलची आश्वासकता निर्माण करायची असेल तर आपोआपच आयटी सिक्युरिटी ऑडिटची जाणीव नव्याने होऊ शकते.
सुहास जोशी – response.lokprabha@expressindia.com
@joshisuhas2

First Published on June 2, 2017 1:04 am

Web Title: digitization it audit disinterested government
  1. No Comments.