Latest Marathi News- Breaking News Today | Read Marathi Batmya from Maharashtra, India ब्रेकींग मराठी न्यूज at https://loksatta.com/

अमृतांशु नेरुरकर

लोकांची गोपनीय माहिती चोरली जाण्यामागे ‘इक्विफॅक्स’च्याच तीन चुका होत्या. कंपनी यातून वाचू शकली का?

नागरिकांच्या गोपनीय, संवेदनशील विदेचं व्यवस्थापन हेच ज्या कंपनीच्या अस्तित्वाचं मुख्य कारण होतं तिच्याकडून विदेच्या सुरक्षिततेसंदर्भात झालेल्या बेजबाबदारपणासाठी इक्विफॅक्सचा ‘केस स्टडी’ कुप्रसिद्ध आहेच पण या प्रकरणाला इतरही अनेक पैलू आहेत. विदासुरक्षा क्षेत्रात कोणत्याही संस्थेकडून तांत्रिक, व्यवस्थापकीय व धोरणात्मक स्वरूपातील टाळता येण्यासारख्या चुकांचं विश्लेषण करण्याच्या दृष्टीनंही ‘इक्विफॅक्स प्रकरण’ अभ्यासता येईल.

जरी इक्विफॅक्सनं माहितीचौर्याला आळा घालण्याचं सूतोवाच सप्टेंबर २०१७ मध्ये केलं असलं तरीही तिच्या डेटाबेसमधून साडेचौदा कोटी नागरिकांच्या गोपनीय व्यक्तिगत माहितीवर डल्ला मारण्याचं काम मे ते जुलै २०१७ असं तब्बल तीन महिने (नेमक्या दिवसांत सांगायचं तर ७६ दिवस!) बिनबोभाट सुरू होतं. कंपनीला त्याचा जराही सुगावा लागला नाही. माहिती चोरण्यासाठी सायबर हल्लेखोरांनी वापरलेलं तंत्र नावीन्यपूर्ण होतं. आंतरजालावरून विविध कंपन्यांच्या डेटाबेस, फाइल किंवा वेब सव्‍‌र्हर्सना चाचपण्याचे, त्यातले सुरक्षिततेच्या दृष्टीनं कच्चे दुवे ओळखण्याचे आणि या माहितीच्या मदतीने आत घुसण्यासाठी चोरवाट शोधून काढण्याचे प्रयत्न हॅकर मंडळींकडून सतत होत असतात. इक्विफॅक्स हल्लेखोरांनाही कंपनीच्या एका वेब सव्‍‌र्हरमध्ये असलेल्या असुरक्षिततेचा शोध लागला आणि मग सुरू झाली माहितीच्या अफरातफरीची एक निरंतर प्रक्रिया!

इक्विफॅक्सची वाद निराकरण (डिस्प्यूट रिझोल्यूशन) प्रणाली ज्या ‘अपॅची स्ट्रट्स’ नामक वेब सव्‍‌र्हरवर कार्यरत होती त्यात सुरक्षिततेच्या दृष्टीनं असलेल्या एका विशिष्ट त्रुटीचा फायदा हल्लेखोरांनी उचलला आणि त्या सव्‍‌र्हरवरल्या संपूर्ण माहितीचा ताबा मिळवला. कंपनीच्या दुर्दैवानं तिला या हल्ल्याची जबाबदारी अपॅचीवर ढकलता आली नाही. कारण अपॅचीकडून ही त्रुटी मार्च २०१७ मध्येच मिटवण्यात आली होती आणि अपॅची स्ट्रट्सची सुधारित आवृत्ती हा हल्ला होण्याच्या आधीपासून उपलब्ध होती. इक्विफॅक्सने मात्र बराच काळ आपल्याकडील अपॅची स्ट्रट्सची आवृत्ती ‘अपडेट’ केली नाही. आपल्या विदा व्यवस्थापन तंत्रज्ञानाला अद्ययावत न राखणं ही कंपनीची पहिली चूक!

या हल्ल्याची इक्विफॅक्सला चक्क तीन महिने खबर लागली नाही. यातून या बलाढय़ बहुराष्ट्रीय कंपनीतल्या माहिती तंत्रज्ञान विभागाचा कारभार किती भोंगळ होता आणि नागरिकांच्या गोपनीय माहितीच्या सुरक्षिततेचं गांभीर्य कंपनीला कितपत होतं याची जाणीव होते. अपॅची स्ट्रट्स वेब सव्‍‌र्हरमधल्या उपलब्ध चोरवाटेचा योग्य वापर करत हल्लेखोरांनी तब्बल ५१ डेटाबेस सव्‍‌र्हर्समध्ये प्रवेश मिळवला आणि नागरिकांच्या गोपनीय माहितीची (नाव, जन्मतारीख, पत्ता, सोशल सेक्युरिटी क्रमांक, अनुज्ञप्ती (लायसन्स) क्रमांक आदी) चोरी सुरू केली. इक्विफॅक्सच्या संगणक तंत्रज्ञांना संशय येऊ नये म्हणून शर्विलकांनी सर्व माहितीवर एकदम हात मारला नाही तर छोटय़ा हिश्शांमध्ये हे चौर्यकर्म ७६ दिवस चालू ठेवलं. इतके दिवस एवढय़ा मोठय़ा स्तरावर होत असलेल्या सायबर हल्ल्याचा अदमासही न घेता येणं ही इक्विफॅक्सची दुसरी चूक!

आणि जुलै २०१७च्या अखेरीस जेव्हा कंपनीला या हल्ल्याचा सुगावा लागला तेव्हापासून तो जाहीर करून स्वत:च्या चुकीची कबुली द्यायला इक्विफॅक्सनं दीड महिना घेतला. हा हल्ला का झाला असावा आणि अजून विदागळती होऊ नये यासाठी तात्पुरत्या स्वरूपाच्या कोणत्या उपाययोजना त्वरित राबवता येतील याचा निर्णय घ्यायच्या ऐवजी या हल्ल्यासाठी कोणाला जबाबदार धरता येईल आणि आपल्या भागधारकांना काय उत्तर द्यायचं यांसारख्या अनुत्पादक प्रश्नांवर विचारविनिमय करण्यात कंपनीनं बराच वेळ खर्च केला. हल्ल्याची बातमी जगजाहीर करण्याआधी इक्विफॅक्सच्या वरिष्ठ अधिकाऱ्यांनी कंपनीचे स्वत:कडले तब्बल २० लाख अमेरिकी डॉलर किमतीचे समभाग विकून टाकले! असंवेदनशीलतेचा एक प्रकारे कळसच गाठला जात होता.

ज्या व्यक्ती रूढार्थानं आपल्या ग्राहकही नाहीत अशांच्या गोपनीय माहितीची चोरी स्वत:च्या तांत्रिक आणि व्यवस्थापन शैथिल्यामुळे झाली असल्यानं इक्विफॅक्सकडून या व्यक्तींविषयी सहानुभूती दाखवली जाण्याची अपेक्षा होती. जेव्हा या हल्ल्याची कंपनीकडून अधिकृत वाच्यता केली गेली तेव्हा या हल्ल्यानं प्रभावित व्यक्तींपैकी अनेकांना इक्विफॅक्स नामक कंपनी अस्तित्वात आहे हेच माहीत नव्हतं. अशा अज्ञात कंपनीकडे आपली व्यक्तिगत माहिती आलीच कशी आणि या माहितीचा संचय करण्याचा अधिकार या कंपनीला कोणी दिला असा तार्किक प्रश्न त्यांना पडला.

आपल्या निष्काळजीपणाची जबाबदारी स्वीकारण्याचा किंवा उद्विग्न नागरिकांच्या रास्त प्रश्नांना समजून घेऊन त्यांना आश्वस्त करण्याचा कोणताही प्रयत्न इक्विफॅक्सनं केला नाही. उलट कंपनीनं साठवलेल्या (नागरिकांच्या) विदेची जर चोरी झाली तर त्याचं उत्तरदायित्व इक्विफॅक्सकडे कसं येत नाही हे आपल्या गोपनीयता धोरणाच्या काही अटींच्या आधारे पटवण्याचा केविलवाणा प्रयत्नही केला. पुष्कळ गदारोळ झाल्यावरही इक्विफॅक्स बधली नाही. या प्रकाराबद्दल नुकसानभरपाई म्हणून सायबर हल्ल्यानं प्रभावित झालेल्या व्यक्तींना ‘ठरावीक कालावधीसाठी पतनामांकनाची सेवा मोफत’ देण्याची तयारी दर्शवली. हा म्हणजे जखमेवर मीठ चोळण्यासारखा प्रकार होता. लोकांची संवेदनशील माहिती जी कंपनी सुरक्षित ठेवू शकली नाही तिच्याकडून होत असलेल्या अशा जुजबी उपायांनी कोणाचं समाधान होईल? इक्विफॅक्सनं घेतलेली हटवादी भूमिका आणि संवेदनशील प्रकरणाची केलेली अत्यंत अपरिपक्व हाताळणी यामुळे हे प्रकरण चिघळायला मदतच झाली. कंपनीकडून झालेली ही तिसरी मोठी चूक!

बरं झाल्या प्रकारानंतर विदा व्यवस्थापनाच्या धोरणात बदल करण्याच्या दृष्टीनं काही बोध इक्विफॅक्सनं घेतला होता का?- तर तसंही नाही. या प्रकरणाच्या वाच्यतेनंतर एका आठवडय़ाच्या आतच काही संगणक सुरक्षातज्ज्ञांनी इक्विफॅक्सच्या असुरक्षित; पण तोवर ‘सुदैवानं’ विदागळती न झालेल्या सव्‍‌र्हर्सची यादीच कंपनीला सादर केली होती.

केवळ तांत्रिकच नव्हे तर नियोजन, व्यवस्थापन, संभाषणकौशल्य अशा विविध आघाडय़ांवर सपशेल अपयशी ठरलेल्या इक्विफॅक्सची विश्वासार्हता रसातळाला जाणार होती हे तर उघडच होतं. पण प्रसारमाध्यमं, लोकप्रतिनिधी आणि नागरिकांच्या प्रचंड दबावामुळे अमेरिकेतल्या ग्राहक संरक्षणासंदर्भात धोरणं आखणाऱ्या ‘फेडरल ट्रेड कमिशन’ला (एफटीसी) या प्रकरणात लक्ष घालणं भाग पडलं आणि इक्विफॅक्सवर सॅनफ्रान्सिस्कोच्या न्यायालयात खटला गुदरण्यात आला. खटल्याच्या सुनावणीदरम्यान या हल्ल्याचे इतर तपशीलही बाहेर आले. उदाहरणार्थ, जवळपास दोन लाख लोकांच्या क्रेडिट कार्डाच्या माहितीचीही चोरी झाली होती. फक्त अमेरिकेतल्याच नव्हे तर ब्रिटनमधल्या दीड कोटी आणि कॅनडाच्या १९००० नागरिकांची व्यक्तिगत माहितीदेखील चोरण्यात आली होती.

इक्विफॅक्सकडून केवळ जनतेचाच नव्हे तर शासनाचाही विश्वासघात करण्यात आल्यामुळे केवळ काही वरिष्ठ अधिकाऱ्यांना बडतर्फ करणं आणि हल्ल्यामुळे प्रभावित झालेल्या व्यक्तींची नुकसानभरपाई करण्यासाठी दंड ठोठावणं एवढीच शिक्षा पुरेशी ठरणार नाही; तर पराकोटीच्या बेजबाबदार वर्तनासाठी कंपनीला मृत्युदंडच (कॉर्पोरेट डेथ पेनल्टी) ठोठावला गेला पाहिजे, असं आग्रही प्रतिपादन नागरिकांच्या बाजूने लढणाऱ्या वकिलांकडून करण्यात आलं. तर इक्विफॅक्सच्या वकिलांकडून, या प्रकरणाचं गांभीर्य जरी मोठं असलं तरीही यातील चूक धोरणात्मक नसून तांत्रिक आहे व ती कंपनीनं जाणूनबुजून केलेली नाही, त्यामुळे झाल्या प्रकाराला इक्विफॅक्सला संपूर्णपणे जबाबदार धरता येणार नाही असा युक्तिवाद केला गेला.

अखेरीस न्यायालयानं इक्विफॅक्सला तिचं कामकाज संपूर्णपणे बंद करण्याची शिक्षा सुनावली नाही. ७० कोटी अमेरिकी डॉलर्सचा दंड, काही वरिष्ठ अधिकाऱ्यांची उचलबांगडी आणि एफटीसीनं विदासुरक्षेसाठी लादलेले काही नवे निर्बंध एवढय़ावर तिची सुटका झाली. इक्विफॅक्सनंही मग त्वरित आपल्या माहिती तंत्रज्ञान विभागाचा प्रमुख म्हणून जेमील फार्शची या अत्यंत कुशल अधिकाऱ्याची नेमणूक केली. फार्शचीच्या नेतृत्वाखाली मात्र कंपनीनं आपला गतलौकिक परत मिळवण्याचा प्रामाणिक प्रयत्न केला. त्यानं सर्वप्रथम कंपनीला आपली विदा व्यवस्थापनातील बेपर्वाई जाहीरपणे मान्य करायला लावली आणि त्यानंतर एफटीसीच्या आदेशानुसार विदासुरक्षा संरचनेत तब्बल २० कोटी अमेरिकी डॉलर्सची गुंतवणूक करायला भाग पाडलं. या उपाययोजना कितीही महत्त्वपूर्ण असल्या तरीही त्या साडेचौदा कोटी अमेरिकी लोकांचा विश्वास पुन्हा संपादन करण्यास नक्कीच पुरेशा नव्हत्या. मोठमोठय़ा कंपन्या तसंच सर्वसामान्य नागरिकांचं पतनामांकन करणारी इक्विफॅक्स, आपल्या अकार्यक्षम व कालबाह्य विदासुरक्षा धोरणांनी स्वत:चीच पत मात्र साफ घालवून बसली होती.

लेखक माहिती व तंत्रज्ञान क्षेत्रातील ओपन सोर्स, विदासुरक्षा व गोपनीयता तसेच डिजिटल परिवर्तन या विषयांचे अभ्यासक आहेत.

amrutaunshu@gmail.com