विदासुरक्षेची ऐशीतैशी

नागरिकांची इतकी गोपनीय व संवेदनशील माहिती हाताळणाऱ्या इक्विफॅक्सला मात्र या माहितीस सुरक्षित राखता आलं नाही

‘इक्विफॅक्स’ मुख्यालयाची इमारत

अमृतांशु नेरुरकर amrutaunshu@gmail.com
आपली ‘एअर इंडिया’ असो की अमेरिकेत पुस्तकं विकणारी ‘बार्न्‍स अ‍ॅण्ड नोबल’.. विदा-दरोडय़ांचे प्रसंग अनेक कंपन्यांवर आले आहेत; पण पतमानांकन ठरवणाऱ्या बलाढय़ कंपनीतली विदाचोरी अधिकच गंभीर, ती का?

आपले दैनंदिन क्रियाकलाप नियमित सुरू राहावेत यासाठी आपली काही वैयक्तिक स्वरूपाची व गोपनीय माहिती विविध यंत्रणांना द्यावीच लागते. उदाहरणार्थ, सरकारी नियमांनुसार काही शासकीय सेवांचे लाभ पदरात पडून घ्यायचे असतील तर खासगी विदा सरकारी यंत्रणांना देण्यावाचून पर्याय नसतो. जर मला माझं ‘आधार ओळखपत्र’ बनवायचं असेल तर माझी बायोमेट्रिक स्वरूपाची माहिती (बोटांचे ठसे, बुबुळांचा आलेख आदी) सरकारला देणं भाग आहे. जर एखाद्या संस्थळावर कोणताही ई-व्यवहार करायचा असेल तर त्या संस्थळाला वित्तीय स्वरूपाची माहिती (क्रेडिट कार्ड किंवा इंटरनेट बँकिंगचे तपशील) पुरवणं अनिवार्य असतं. त्याचबरोबर काही डिजिटल सेवांचा उपभोग घेण्यासाठी संबंधित डिजिटल सेवापुरवठादार संस्थळाला (समाजमाध्यमं, डिजिटल वृत्तपटलं किंवा ओटीटी माध्यमं वगैरे) आपण स्वत:हून आपली व्यक्तिगत स्वरूपाची माहिती पुरवतो.

शासकीय नियम किंवा न्यायालयीन आदेशांच्या अधीन राहून असो किंवा स्वेच्छेनं दिली गेलेली असो, ज्या सरकारी किंवा खासगी संस्थेला आपण वैयक्तिक माहिती पुरवतो, त्या माहितीस सुरक्षित आणि गोपनीय ठेवण्याची जबाबदारी ही साहजिकच संबंधित संस्थेची असते. वेगवेगळ्या देशांत या संदर्भात अस्तित्वात असलेल्या कायद्यांबरहुकूम प्रत्येक संस्थेने आपली विदासुरक्षा व गोपनीयतेची धोरणं आखणं तर अपेक्षित असतंच पण त्याचबरोबर या धोरणांची प्रभावी अंमलबजावणी होण्यासाठी स्वत:ला तांत्रिकदृष्टय़ा सक्षम बनवणं व सतत अद्ययावत ठेवणंही अपेक्षित असतं. अशा सर्व कायदेशीर व तांत्रिक उपायानंतरही जर विदागळती (डेटा लीकेज) किंवा माहितीचौर्याचं प्रकरण उघडकीस आलं, तर त्यातून त्या संस्थेकडून निष्काळजीपणाने होत असलेलं विदेचं गैरव्यवस्थापन तर दिसतंच; पण विश्वासाला तडा गेल्यामुळे संस्थेचा नावलौकिक धुळीस मिळू शकतो.

गेल्या दशकभरात अशी कित्येक प्रकरणं उघडकीस आली आहेत. अमेरिकेतील विख्यात पुस्तकविक्रेता कंपनी ‘बार्न्‍स अ‍ॅण्ड नोबल’च्या तब्बल ६३ पुस्तकालयांमधून ग्राहकांच्या क्रेडिट कार्डसंबंधांतील गोपनीय माहितीच्या चोरीचं प्रकरण २०१२ मध्ये प्रकाशझोतात आलं होतं. त्यानंतर दोनच वर्षांनी अशाच स्वरूपाचं प्रकरण घराच्या नूतनीकरणाशी संबंधित वस्तू विकणाऱ्या ‘द होम डेपो’ कंपनीसोबत घडलं होतं, ज्यात जवळपास साडेपाच कोटी ग्राहकांच्या क्रेडिट आणि डेबिट कार्डच्या माहितीची चोरी झाली होती. २०१५ मध्ये इंग्लंडची अग्रगण्य प्रवासी विमानकंपनी ‘ब्रिटिश एअरवेज’नं नियमित प्रवास करणाऱ्या (फ्रीक्वेन्ट फ्लायर्स) प्रवाशांची माहिती चोरीला गेली होती. आपल्या ‘एअर इंडिया’बाबतीतही असाच प्रकार यंदाच्या मेमध्ये उघडकीस आला होता.

ग्राहकांच्या गोपनीय माहितीची अफरातफर झाल्याने वरील सर्व प्रकरणं गंभीर आहेत यात शंकाच नाही. या कंपन्या माहिती तंत्रज्ञान किंवा डिजिटल क्षेत्रात नाहीत म्हणून काही या प्रकरणाचं गांभीर्य कमी होत नाही. उलट यातून संबंधित कंपन्यांच्या विदासुरक्षा धोरणातील त्रुटी आणि तांत्रिक शैथिल्यही दिसून येतं. त्या त्या देशाच्या कायद्यानुसार कंपनीला तिच्या अधिकारी वर्गावर कारवाई करणं, तिच्या ग्राहकांना नुकसानभरपाई देणंही बंधनकारक असतं.

असं असलं तरीही एक गोष्ट मात्र निश्चितपणे सांगता येईल की वापरकर्त्यांची किंवा ग्राहकांची माहिती गोळा करणं हे या कंपन्यांचं मुख्य काम नाही. ग्राहकाशी कोणताही व्यवहार करताना अशा माहितीचा आपोआपच संचय कंपनीकडे होत जातो. किंबहुना ग्राहकाला या कंपन्यांबरोबर व्यवहार करायचा असेल तर स्वत:ची वैयक्तिक माहिती पुरवण्याशिवाय पर्यायच नसतो. दुसरी महत्त्वाची बाब ही की अशा माहितीचौर्याच्या प्रकरणानंतर या कंपन्यांची सेवा घ्यायची की नाही हे ठरवण्याचं पूर्ण स्वातंत्र्य ग्राहकाला आहे. मला बार्न्‍स अँड नोबलच्या गोपनीयता धोरणांवर व विदासुरक्षेच्या तांत्रिक क्षमतेवर भरवसा नसेल तर मी त्यांच्या दुकानात रोख व्यवहार करू शकतो किंवा अ‍ॅमेझॉनसारख्या त्यांच्या प्रतिस्पर्ध्याच्या संस्थळावरूनही पुस्तक खरेदी करू शकतो.

पण एखाद्या कंपनीच्या अस्तित्वाचा मूळ उद्देशच जर नागरिकांची गोपनीय वित्तीय माहिती गोळा करण्याचा असेल व नागरिकांची परवानगी असो अथवा नसो, त्यांच्याबद्दलच्या या माहितीचा संचय करण्याचा अधिकार शासकीय अधिसूचनेनुसार त्या कंपनीला मिळाला असेल, आणि अशा पार्श्वभूमीवर माहितीचौर्याचं एखादं प्रकरण या कंपनीबाबतीत घडलं तर मात्र त्या प्रकरणाचं गांभीर्य कैक पटींनी वाढतं. विदासुरक्षा आणि गोपनीयतेचे विविध पैलू समजून घेण्यासाठी अशा प्रकरणांना अभ्यासणं महत्त्वाचं आहे. म्हणूनच २०१७ साली अमेरिकेतल्या ‘इक्विफॅक्स’ नामक कंपनीत घडलेल्या आणि विदा व्यवस्थापनातल्या गबाळेपणाचा मेरुमणी म्हणून गाजलेल्या प्रकरणाचा ऊहापोह करणं इथे अप्रस्तुत ठरणार नाही.

इक्विफॅक्स ही व्यक्ती आणि कंपन्यांचं पतनामांकन करणारी अमेरिकेतील एक बलाढय़ बहुराष्ट्रीय कंपनी. अमेरिकेत कंपन्यांबरोबरच व्यक्तींच्या पतनामांकनालाही फार महत्त्व दिलं जातं. पतनामांकन हे व्यक्तीच्या वित्तीय व्यवहारांचं सखोल विश्लेषण करून तिला देण्यात आलेलं एक प्रकारचं ‘रेटिंग’ आहे. तुम्ही वेगवेगळ्या कारणांसाठी (घर किंवा गाडी खरेदी, मुलांचं शिक्षण आदी) पतपुरवठा करणाऱ्या विविध संस्थांकडून घेतलेल्या कर्जाची किंवा क्रेडिट कार्डाचा वापर करून खर्च केलेल्या रकमेची परतफेड कशी करता त्यानुसार तुमचा एक ‘क्रेडिट स्कोअर’ तयार होत असतो, त्यावरच तुमचं पतनामांकन ठरत असतं. तुम्ही जर वेळच्या वेळी कर्जाचे हप्ते भरत असाल, देणी चुकवत असाल तर तुमचा क्रेडिट स्कोअर सकारात्मक (‘धन’ किंवा पॉझिटिव्ह) येईल. त्याउलट जर कर्जाचे हप्ते भरण्यात तुमच्याकडून हलगर्जी होत असेल तुमचा क्रेडिट स्कोअर नकारात्मक (‘ऋण’ किंवा निगेटिव्ह) येण्याची शक्यता वाढेल. पतपुरवठा करणाऱ्या संस्थांना त्यांची संभाव्य गिऱ्हाईकं कर्ज देण्यास लायक आहेत का, असल्यास किती प्रमाणात आणि किती टक्के व्याजावर कर्ज देणं सुरक्षित असेल हे निर्णय घेताना हा क्रेडिट स्कोअर पुष्कळ कामी येतो.

आजघडीला जगभरातील जवळपास ८० कोटी व्यक्तींचं आणि साडेआठ कोटी उद्योगधंद्यांचं पतनामांकन इक्विफॅक्सकडून केलं जातं. इक्विफॅक्सबरोबर ‘एक्सपीरियन’ आणि ‘ट्रान्सयुनियन’ या तीनच कंपन्यांची (ज्यांना ‘बिग थ्री’ असंही म्हटलं जातं) या क्षेत्रात मक्तेदारी आहे (यातली ‘ट्रान्सयुनियन’ ही भारतातल्या ‘सिबिल’च्या अनेक संस्थापकांपैकी एक). इथे एक गोष्ट लक्षात घ्यायला हवी की पतनामांकन किंवा क्रेडिट स्कोअर ही काही स्थिर संख्या नाही. कोणाही व्यक्तीनं केलेल्या प्रत्येक वित्तीय व्यवहाराबरोबर ती बदलत राहाते. म्हणूनच पतनामांकनाला अद्ययावत ठेवण्यासाठी इक्विफॅक्सला व्यक्तीच्या वित्तीय व्यवहारांचे बारीकसारीक तपशील एकत्रित करावे लागतात आणि त्यांचं अविरत विश्लेषण करावं लागतं.

नागरिकांचे वित्तीय व्यवहार गोपनीय असतात आणि काही ठरावीक संस्था सोडल्या (उदा. विक्रेता, ज्या खात्यातून पैसे जातात किंवा जिचं क्रेडिट कार्ड वापरलं जातंय ती बँक तसंच मध्यवर्ती बँक, आयकर खातंसारख्या वैधानिक संस्था) तर अशा व्यवहारांचे तपशील इतरत्र कुठेही उघड केले जात नाहीत. नागरिकांचीही त्यासाठी परवानगी नसते. पण पतनामांकन ठरवण्यासाठी मात्र वित्तीय व्यवहाराचा प्रत्येक तपशील इक्विफॅक्ससारख्या क्रेडिट रेटिंग देणाऱ्या कंपनीलाही उपलब्ध होतो आणि बऱ्याचदा नागरिकांना या गोष्टीचा पत्ताही नसतो. क्रेडिट स्कोअरनुसार नागरिकांची पत ठरत असल्यानं आणि त्यानुसार त्यांना कितपत/ किती व्याजदरानं कर्जपुरवठा होऊ शकतो हे ठरत असल्यामुळे, या स्कोअरचं वर्गीकरणही अत्यंत गोपनीय माहिती म्हणूनच केलं जातं.

नागरिकांची इतकी गोपनीय व संवेदनशील माहिती हाताळणाऱ्या इक्विफॅक्सला मात्र या माहितीस सुरक्षित राखता आलं नाही. अमेरिकेतील तब्बल साडेचौदा कोटी नागरिकांच्या (म्हणजे जवळपास ५० टक्के नागरिक) गोपनीय वित्तीय माहितीची कंपनीच्या डेटाबेस सव्‍‌र्हर्समधून चोरी झाल्याचं इक्विफॅक्सनं सप्टेंबर २०१७ मध्ये जाहीर केलं आणि जगभरात एकच गदारोळ माजला. विशेष म्हणजे अशा गोपनीय विदेचा संचय आणि विश्लेषण हेच इक्विफॅक्सचं ‘बिझनेस मॉडेल’ असूनही तिच्याकडून हलगर्जी घडली.

हा सायबर हल्ला कसा झाला, इक्विफॅक्सचं नेमकं काय चुकलं, हा संवेदनशील विषय कंपनीने परिपक्वतेनं हाताळला का, या गुन्ह्यची योग्य सजा इक्विफॅक्सला मिळाली का आणि गोपनीयतेच्या दृष्टिकोनातून या प्रकरणापासून आपण काय बोध घेऊ शकतो याचा ऊहापोह पुढल्या लेखात.

लेखक माहिती व तंत्रज्ञान क्षेत्रातील ओपन सोर्स, विदासुरक्षा व गोपनीयता तसेच डिजिटल परिवर्तन या विषयांचे अभ्यासक आहेत.

 

Loksatta Telegram लोकसत्ता आता टेलीग्रामवर आहे. आमचं चॅनेल (@Loksatta) जॉइन करण्यासाठी येथे क्लिक करा आणि ताज्या व महत्त्वाच्या बातम्या मिळवा.

Web Title: Equifax data breach cyber attack on equifax zws

ताज्या बातम्या