News Flash

औचित्यभंगाची शिक्षा

इक्विफॅक्सच्या वरिष्ठ अधिकाऱ्यांनी कंपनीचे स्वत:कडले तब्बल २० लाख अमेरिकी डॉलर किमतीचे समभाग विकून टाकले!

औचित्यभंगाची शिक्षा
जेमील फार्शची

अमृतांशु नेरुरकर

लोकांची गोपनीय माहिती चोरली जाण्यामागे ‘इक्विफॅक्स’च्याच तीन चुका होत्या. कंपनी यातून वाचू शकली का?

नागरिकांच्या गोपनीय, संवेदनशील विदेचं व्यवस्थापन हेच ज्या कंपनीच्या अस्तित्वाचं मुख्य कारण होतं तिच्याकडून विदेच्या सुरक्षिततेसंदर्भात झालेल्या बेजबाबदारपणासाठी इक्विफॅक्सचा ‘केस स्टडी’ कुप्रसिद्ध आहेच पण या प्रकरणाला इतरही अनेक पैलू आहेत. विदासुरक्षा क्षेत्रात कोणत्याही संस्थेकडून तांत्रिक, व्यवस्थापकीय व धोरणात्मक स्वरूपातील टाळता येण्यासारख्या चुकांचं विश्लेषण करण्याच्या दृष्टीनंही ‘इक्विफॅक्स प्रकरण’ अभ्यासता येईल.

जरी इक्विफॅक्सनं माहितीचौर्याला आळा घालण्याचं सूतोवाच सप्टेंबर २०१७ मध्ये केलं असलं तरीही तिच्या डेटाबेसमधून साडेचौदा कोटी नागरिकांच्या गोपनीय व्यक्तिगत माहितीवर डल्ला मारण्याचं काम मे ते जुलै २०१७ असं तब्बल तीन महिने (नेमक्या दिवसांत सांगायचं तर ७६ दिवस!) बिनबोभाट सुरू होतं. कंपनीला त्याचा जराही सुगावा लागला नाही. माहिती चोरण्यासाठी सायबर हल्लेखोरांनी वापरलेलं तंत्र नावीन्यपूर्ण होतं. आंतरजालावरून विविध कंपन्यांच्या डेटाबेस, फाइल किंवा वेब सव्‍‌र्हर्सना चाचपण्याचे, त्यातले सुरक्षिततेच्या दृष्टीनं कच्चे दुवे ओळखण्याचे आणि या माहितीच्या मदतीने आत घुसण्यासाठी चोरवाट शोधून काढण्याचे प्रयत्न हॅकर मंडळींकडून सतत होत असतात. इक्विफॅक्स हल्लेखोरांनाही कंपनीच्या एका वेब सव्‍‌र्हरमध्ये असलेल्या असुरक्षिततेचा शोध लागला आणि मग सुरू झाली माहितीच्या अफरातफरीची एक निरंतर प्रक्रिया!

इक्विफॅक्सची वाद निराकरण (डिस्प्यूट रिझोल्यूशन) प्रणाली ज्या ‘अपॅची स्ट्रट्स’ नामक वेब सव्‍‌र्हरवर कार्यरत होती त्यात सुरक्षिततेच्या दृष्टीनं असलेल्या एका विशिष्ट त्रुटीचा फायदा हल्लेखोरांनी उचलला आणि त्या सव्‍‌र्हरवरल्या संपूर्ण माहितीचा ताबा मिळवला. कंपनीच्या दुर्दैवानं तिला या हल्ल्याची जबाबदारी अपॅचीवर ढकलता आली नाही. कारण अपॅचीकडून ही त्रुटी मार्च २०१७ मध्येच मिटवण्यात आली होती आणि अपॅची स्ट्रट्सची सुधारित आवृत्ती हा हल्ला होण्याच्या आधीपासून उपलब्ध होती. इक्विफॅक्सने मात्र बराच काळ आपल्याकडील अपॅची स्ट्रट्सची आवृत्ती ‘अपडेट’ केली नाही. आपल्या विदा व्यवस्थापन तंत्रज्ञानाला अद्ययावत न राखणं ही कंपनीची पहिली चूक!

या हल्ल्याची इक्विफॅक्सला चक्क तीन महिने खबर लागली नाही. यातून या बलाढय़ बहुराष्ट्रीय कंपनीतल्या माहिती तंत्रज्ञान विभागाचा कारभार किती भोंगळ होता आणि नागरिकांच्या गोपनीय माहितीच्या सुरक्षिततेचं गांभीर्य कंपनीला कितपत होतं याची जाणीव होते. अपॅची स्ट्रट्स वेब सव्‍‌र्हरमधल्या उपलब्ध चोरवाटेचा योग्य वापर करत हल्लेखोरांनी तब्बल ५१ डेटाबेस सव्‍‌र्हर्समध्ये प्रवेश मिळवला आणि नागरिकांच्या गोपनीय माहितीची (नाव, जन्मतारीख, पत्ता, सोशल सेक्युरिटी क्रमांक, अनुज्ञप्ती (लायसन्स) क्रमांक आदी) चोरी सुरू केली. इक्विफॅक्सच्या संगणक तंत्रज्ञांना संशय येऊ नये म्हणून शर्विलकांनी सर्व माहितीवर एकदम हात मारला नाही तर छोटय़ा हिश्शांमध्ये हे चौर्यकर्म ७६ दिवस चालू ठेवलं. इतके दिवस एवढय़ा मोठय़ा स्तरावर होत असलेल्या सायबर हल्ल्याचा अदमासही न घेता येणं ही इक्विफॅक्सची दुसरी चूक!

आणि जुलै २०१७च्या अखेरीस जेव्हा कंपनीला या हल्ल्याचा सुगावा लागला तेव्हापासून तो जाहीर करून स्वत:च्या चुकीची कबुली द्यायला इक्विफॅक्सनं दीड महिना घेतला. हा हल्ला का झाला असावा आणि अजून विदागळती होऊ नये यासाठी तात्पुरत्या स्वरूपाच्या कोणत्या उपाययोजना त्वरित राबवता येतील याचा निर्णय घ्यायच्या ऐवजी या हल्ल्यासाठी कोणाला जबाबदार धरता येईल आणि आपल्या भागधारकांना काय उत्तर द्यायचं यांसारख्या अनुत्पादक प्रश्नांवर विचारविनिमय करण्यात कंपनीनं बराच वेळ खर्च केला. हल्ल्याची बातमी जगजाहीर करण्याआधी इक्विफॅक्सच्या वरिष्ठ अधिकाऱ्यांनी कंपनीचे स्वत:कडले तब्बल २० लाख अमेरिकी डॉलर किमतीचे समभाग विकून टाकले! असंवेदनशीलतेचा एक प्रकारे कळसच गाठला जात होता.

ज्या व्यक्ती रूढार्थानं आपल्या ग्राहकही नाहीत अशांच्या गोपनीय माहितीची चोरी स्वत:च्या तांत्रिक आणि व्यवस्थापन शैथिल्यामुळे झाली असल्यानं इक्विफॅक्सकडून या व्यक्तींविषयी सहानुभूती दाखवली जाण्याची अपेक्षा होती. जेव्हा या हल्ल्याची कंपनीकडून अधिकृत वाच्यता केली गेली तेव्हा या हल्ल्यानं प्रभावित व्यक्तींपैकी अनेकांना इक्विफॅक्स नामक कंपनी अस्तित्वात आहे हेच माहीत नव्हतं. अशा अज्ञात कंपनीकडे आपली व्यक्तिगत माहिती आलीच कशी आणि या माहितीचा संचय करण्याचा अधिकार या कंपनीला कोणी दिला असा तार्किक प्रश्न त्यांना पडला.

आपल्या निष्काळजीपणाची जबाबदारी स्वीकारण्याचा किंवा उद्विग्न नागरिकांच्या रास्त प्रश्नांना समजून घेऊन त्यांना आश्वस्त करण्याचा कोणताही प्रयत्न इक्विफॅक्सनं केला नाही. उलट कंपनीनं साठवलेल्या (नागरिकांच्या) विदेची जर चोरी झाली तर त्याचं उत्तरदायित्व इक्विफॅक्सकडे कसं येत नाही हे आपल्या गोपनीयता धोरणाच्या काही अटींच्या आधारे पटवण्याचा केविलवाणा प्रयत्नही केला. पुष्कळ गदारोळ झाल्यावरही इक्विफॅक्स बधली नाही. या प्रकाराबद्दल नुकसानभरपाई म्हणून सायबर हल्ल्यानं प्रभावित झालेल्या व्यक्तींना ‘ठरावीक कालावधीसाठी पतनामांकनाची सेवा मोफत’ देण्याची तयारी दर्शवली. हा म्हणजे जखमेवर मीठ चोळण्यासारखा प्रकार होता. लोकांची संवेदनशील माहिती जी कंपनी सुरक्षित ठेवू शकली नाही तिच्याकडून होत असलेल्या अशा जुजबी उपायांनी कोणाचं समाधान होईल? इक्विफॅक्सनं घेतलेली हटवादी भूमिका आणि संवेदनशील प्रकरणाची केलेली अत्यंत अपरिपक्व हाताळणी यामुळे हे प्रकरण चिघळायला मदतच झाली. कंपनीकडून झालेली ही तिसरी मोठी चूक!

बरं झाल्या प्रकारानंतर विदा व्यवस्थापनाच्या धोरणात बदल करण्याच्या दृष्टीनं काही बोध इक्विफॅक्सनं घेतला होता का?- तर तसंही नाही. या प्रकरणाच्या वाच्यतेनंतर एका आठवडय़ाच्या आतच काही संगणक सुरक्षातज्ज्ञांनी इक्विफॅक्सच्या असुरक्षित; पण तोवर ‘सुदैवानं’ विदागळती न झालेल्या सव्‍‌र्हर्सची यादीच कंपनीला सादर केली होती.

केवळ तांत्रिकच नव्हे तर नियोजन, व्यवस्थापन, संभाषणकौशल्य अशा विविध आघाडय़ांवर सपशेल अपयशी ठरलेल्या इक्विफॅक्सची विश्वासार्हता रसातळाला जाणार होती हे तर उघडच होतं. पण प्रसारमाध्यमं, लोकप्रतिनिधी आणि नागरिकांच्या प्रचंड दबावामुळे अमेरिकेतल्या ग्राहक संरक्षणासंदर्भात धोरणं आखणाऱ्या ‘फेडरल ट्रेड कमिशन’ला (एफटीसी) या प्रकरणात लक्ष घालणं भाग पडलं आणि इक्विफॅक्सवर सॅनफ्रान्सिस्कोच्या न्यायालयात खटला गुदरण्यात आला. खटल्याच्या सुनावणीदरम्यान या हल्ल्याचे इतर तपशीलही बाहेर आले. उदाहरणार्थ, जवळपास दोन लाख लोकांच्या क्रेडिट कार्डाच्या माहितीचीही चोरी झाली होती. फक्त अमेरिकेतल्याच नव्हे तर ब्रिटनमधल्या दीड कोटी आणि कॅनडाच्या १९००० नागरिकांची व्यक्तिगत माहितीदेखील चोरण्यात आली होती.

इक्विफॅक्सकडून केवळ जनतेचाच नव्हे तर शासनाचाही विश्वासघात करण्यात आल्यामुळे केवळ काही वरिष्ठ अधिकाऱ्यांना बडतर्फ करणं आणि हल्ल्यामुळे प्रभावित झालेल्या व्यक्तींची नुकसानभरपाई करण्यासाठी दंड ठोठावणं एवढीच शिक्षा पुरेशी ठरणार नाही; तर पराकोटीच्या बेजबाबदार वर्तनासाठी कंपनीला मृत्युदंडच (कॉर्पोरेट डेथ पेनल्टी) ठोठावला गेला पाहिजे, असं आग्रही प्रतिपादन नागरिकांच्या बाजूने लढणाऱ्या वकिलांकडून करण्यात आलं. तर इक्विफॅक्सच्या वकिलांकडून, या प्रकरणाचं गांभीर्य जरी मोठं असलं तरीही यातील चूक धोरणात्मक नसून तांत्रिक आहे व ती कंपनीनं जाणूनबुजून केलेली नाही, त्यामुळे झाल्या प्रकाराला इक्विफॅक्सला संपूर्णपणे जबाबदार धरता येणार नाही असा युक्तिवाद केला गेला.

अखेरीस न्यायालयानं इक्विफॅक्सला तिचं कामकाज संपूर्णपणे बंद करण्याची शिक्षा सुनावली नाही. ७० कोटी अमेरिकी डॉलर्सचा दंड, काही वरिष्ठ अधिकाऱ्यांची उचलबांगडी आणि एफटीसीनं विदासुरक्षेसाठी लादलेले काही नवे निर्बंध एवढय़ावर तिची सुटका झाली. इक्विफॅक्सनंही मग त्वरित आपल्या माहिती तंत्रज्ञान विभागाचा प्रमुख म्हणून जेमील फार्शची या अत्यंत कुशल अधिकाऱ्याची नेमणूक केली. फार्शचीच्या नेतृत्वाखाली मात्र कंपनीनं आपला गतलौकिक परत मिळवण्याचा प्रामाणिक प्रयत्न केला. त्यानं सर्वप्रथम कंपनीला आपली विदा व्यवस्थापनातील बेपर्वाई जाहीरपणे मान्य करायला लावली आणि त्यानंतर एफटीसीच्या आदेशानुसार विदासुरक्षा संरचनेत तब्बल २० कोटी अमेरिकी डॉलर्सची गुंतवणूक करायला भाग पाडलं. या उपाययोजना कितीही महत्त्वपूर्ण असल्या तरीही त्या साडेचौदा कोटी अमेरिकी लोकांचा विश्वास पुन्हा संपादन करण्यास नक्कीच पुरेशा नव्हत्या. मोठमोठय़ा कंपन्या तसंच सर्वसामान्य नागरिकांचं पतनामांकन करणारी इक्विफॅक्स, आपल्या अकार्यक्षम व कालबाह्य विदासुरक्षा धोरणांनी स्वत:चीच पत मात्र साफ घालवून बसली होती.

लेखक माहिती व तंत्रज्ञान क्षेत्रातील ओपन सोर्स, विदासुरक्षा व गोपनीयता तसेच डिजिटल परिवर्तन या विषयांचे अभ्यासक आहेत.

amrutaunshu@gmail.com

लोकसत्ता आता टेलीग्रामवर आहे. आमचं चॅनेल (@Loksatta) जॉइन करण्यासाठी येथे क्लिक करा आणि ताज्या व महत्त्वाच्या बातम्या मिळवा.

First Published on September 6, 2021 1:43 am

Web Title: equifax data breach equifax three mistakes in consumers data breaches zws 70
Next Stories
1 विदासुरक्षेची ऐशीतैशी
2 गोपनीयतेचे बदलते प्राधान्यक्रम
3 गोपनीयता- अभ्यासाचा नवा दृष्टिकोन
Just Now!
X