Published : 23 Jul 2024 06:18 AM
Last Updated : 23 Jul 2024 06:18 AM
தகவல் தொழில்நுட்ப உலகம் இதுவரை சந்தித்திராத பாதிப்பு எனச் சொல்லப்படும் வகையில் மிகப் பெரும் தடுமாற்றத்தை வர்த்தக நிறுவனங்களும் அமைப்புகளும் எதிர்கொண்டு மீண்டதைச் சமீபத்தில் பார்த்தோம்.
விமான சேவைகளை முடக்கி, மருத்துவமனை சிகிச்சைகளைச் சிக்கலுக்குள்ளாக்கி, தகவல் தொழில்நுட்பம் சார்ந்தவர்களை இன்னும் பல விதங்களில் பரிதவிக்கவைத்த ‘கிரவுட்ஸ்டிரைக்’ (CrowdStrike) பாதிப்புக்கான காரணங்கள், எதிர்காலப் பாதுகாப்பு நடவடிக்கைகள் பற்றி வல்லுநர்களும் நிறுவனங்களும் விவாதித்துக்கொண்டிருக்கின்றனர். ஒரு பிழையான மேம்படுத்தல் (‘அப்டேட்’) இணைய உலகையே ஸ்தம்பிக்க வைத்திருக்கிறது. கூடவே, அனைத்துத் தரப்பினருக்கும் முக்கியப் பாடங்களைக் கற்றுத்தந்திருக்கிறது அல்லது நினைவூட்டியிருக்கிறது.
என்ன நடந்தது? - ஜூலை 19ஆம் தேதி ஆஸ்திரேலியாவில் தொடங்கி உலகின் பல நாடுகளில் உள்ள விண்டோஸ் கணினிகள் முடங்கின. கிளவுட் மூலம் சைபர் பாதுகாப்பு சேவை அளிக்கும் ‘கிரவுட்ஸ்டிரைக்’ நிறுவனம் வழங்கிய ‘அப்டேட்’டில் ஏற்பட்ட ஒரு பிழை, இதற்குக் காரணமாக அமைந்தது. இது சைபர் தாக்குதல் அல்ல என்றும் கூறப்பட்டது. மைக்ரோசாப்ட் நிறுவனத்தின் விண்டோஸ் கணினிகளே பாதிக்கப்பட்டாலும், வைரஸ் தடுப்பு சேவையின் பிழையான அப்டேட்டால் இது நிகழ்ந்தாகச் சொல்லப்பட்டது. கணினிகளை இயக்க மாற்று வழியும் முன்வைக்கப்பட்டது.
ஒரு பிழையான அப்டேட் இவ்வளவு பெரிய பாதிப்பை ஏற்படுத்திய நிலையில், அத்தகைய பிழை எப்படி அனுமதிக்கப்பட்டது, பிழையை முன்னதாகவே கண்டறிய சோதனை செய்யப்படவில்லையா என்றெல்லாம் கேள்விகள் எழுப்பப்படுகின்றன. சேவை வழங்கிய நிறுவனம் கட்டாயமாக இந்தக் கேள்விகளுக்குப் பதில் சொல்லியாக வேண்டும்.
முக்கியப் பாடங்கள்: நிறுவனங்களை நோக்கிய இந்தக் கேள்விகள் உணர்த்தும் முக்கியப் பாடம், சேவைகளை வெளியிடும் முன் தீவிரமான சோதனையைச் செயல்படுத்த வேண்டும் என்பதே. அப்டேட் போன்ற சேவையை மொத்தமாக வெளியிடுவதற்குப் பதிலாக, முதல் கட்டமாக ஒரு சில கணினிகளில் மட்டும் வெளியிட்டு, அதன் பிறகு படிப்படியாக வெளியிட்டிருக்க வேண்டும் என்பது இன்னொரு பாடம். இப்படிச் செய்திருந்தால், ஒரே நேரத்தில் இவ்வளவு மோசமான பாதிப்பு ஏற்பட்டிருக்காது.
இன்னொரு முக்கியப் பாடம், முக்கிய அப்டேட்களை, வெள்ளிக்கிழமைகளில் வெளியிடக் கூடாது என்னும் மிக எளிய விஷயமாகும். ஏனெனில், வார இறுதி என்பதால் பெரும்பாலான நிறுவனங்களில் குறைவான ஊழியர்களே இருப்பார்கள். இப்படியான அசாத்தியமான சூழலில், நிலைமைக்கு ஏற்பத் துரிதமாகச் செயல்பட்டுச் சரிசெய்ய அவர்களால் முடியாமல் போனது. இதனால் பாதிப்பு வார இறுதி முழுவதும் நீடித்தது.
இனி இதைவிடப் பொதுவான கேள்விகளைப் பார்க்கலாம். இந்த அப்டேட் ‘கிளவுட்’ மூலம் வெளியிடப்பட்டதே பிரச்சினைக்குக் காரணம். அப்படியென்றால், நம்முடைய கணினிகளுக்கு ஏன் அப்டேட்டுகள் தேவைப்படுகின்றன? அவற்றை மூன்றாம் தரப்பு நிறுவனங்கள் இணையம் வழியே வெளியிட ஏன் அனுமதிக்கிறோம்?
‘ஏனெனில், இணைக்கப்பட்ட யுகத்தில் இருக்கிறோம்’ என்பது இந்தக் கேள்விகளுக்கான பதில். இங்கு கிரவுட்ஸ்டிரைக் நிறுவனம் பற்றிக் குறிப்பிட வேண்டும். இது ஒரு சைபர் பாதுகாப்பு நிறுவனம். 2011இல் ஆரம்பிக்கப்பட்ட இந்த அமெரிக்க நிறுவனம், சைபர் பாதுகாப்புப் பிரிவில் மிகப்பெரிய அளவில் வளர்ந்தது. பெரும்பாலான முன்னணித் தொழில்நுட்ப நிறுவனங்கள் உள்ளிட்ட நூற்றுக்கணக்கான நிறுவனங்களுக்கு இணையத் தாக்குதல் தடுப்புச் சேவையை இது வழங்குகிறது.
சைபர் பாதுகாப்பு: அதாவது, வர்த்தக நிறுவனங்கள் பயன்படுத்தும் கணினி அமைப்புகள், வெளிப்புறத் தாக்குதலுக்கு உள்ளாகாமல் பாதுகாக்கும் சேவையை கிரவுட்ஸ்டிரைக் நிறுவனம் அளிக்கிறது. வைரஸ் தடுப்பு முதல் ஹேக்கர் தாக்குதல் பாதுகாப்பு வரை இவர்கள் வழங்கும் சேவையில் அடங்கும். இதை உறுதிசெய்வதற்காக, அடிக்கடி பாதுகாப்பு அமைப்பை அப்டேட் மூலம் இது புதுப்பிக்கிறது.
ஆக, சைபர் பாதுகாப்புக்காக வழங்கப்பட்ட ஓர் அப்டேட், வர்த்தக நிறுவனங்களை எல்லாம் முடக்கியது என்பது கொஞ்சம் முரண்நகைதான். இதன் தொடர்ச்சியாக, அப்டேட்களை இன்னும் சிறப்பாகக் கையாள முடியாதா என்னும் கேள்வியைக் கேட்கலாம். இதைவிட முக்கியமான கேள்விகளும் இருக்கின்றன.
இந்தக் கேள்விகளைப் பார்க்கும் முன், இந்த நிகழ்வு கற்றுத்தந்துள்ள முக்கியப் பாடத்தைப் பார்க்கலாம். அது சைபர் பாதுகாப்பில் நாம் தடுப்பில் கவனம் செலுத்தும் அளவுக்கு மீட்சியில் கவனம் செலுத்துவது இல்லை என்பதாகும். இது வர்த்தகங்களுக்கும் பொருந்தும், தனிநபர்களுக்கும் பொருந்தும்.
பொதுவாக, சைபர் பாதுகாப்பு என்பது மூன்று அடுக்குகளைக் கொண்டுள்ளதாகக் கருதப்படுகிறது: முதல் அடுக்கு, கணினிகளை/அமைப்புகளை ஊடுருவலில் இருந்து பாதுகாப்பது. இரண்டாவது அடுக்கு: அத்துமீறல் நிகழ்ந்தால், நம் தகவல்கள் அந்நியர்கள் கையில் சிக்காமல் பாதுகாப்பது. மூன்றாவது அடுக்கு: எதிர்பாராத விதமாகத் தாக்குதல் அல்லது பிரச்சினை நிகழ்ந்தால், நமக்கான தகவல்களை அணுக வழி செய்திருக்கிறோமா என்பது.
முதல் இரண்டு அடுக்குகளிலும் நாம் கவனம் செலுத்தினாலும், மூன்றாவது அடுக்கில் கோட்டை விடுகிறோம் என்பதையே கிரவுட்ஸ்டிரைக் - விண்டோஸ் பாதிப்பு உணர்த்தியுள்ளது. அதாவது, தகவல் தொழில்நுட்ப அமைப்புகளுக்குப் பிரச்சினை ஏற்படும்போது, அலுவலகப் பணிகள் முடங்காமல் தொடரும் வகையில் தகவல்களை அணுக வழி செய்யப்பட்டிருக்கிறதா என்பது முக்கியக் கேள்வி.
மாற்று வழி: ஏதோ பிரச்சினை ஏற்பட்டு நிறுவனக் கணினிகள் முடங்கிவிட்டன. அதற்காக நிறுவனச் செயல்பாடும் முடங்க வேண்டுமா? மாற்று வழி அல்லது திட்டம் இருக்க வேண்டும் அல்லவா? இதைத்தான் அவசர காலத் தயார் நிலை என்கின்றனர். ஒரு கணினி பாதிக்கப்பட்டாலும், முக்கியத் தகவல்களை அணுக இன்னொரு கணினி அல்லது வேறு ஒரு அமைப்பில் தகவல்களை வைத்திருக்க வேண்டும் என்கின்றனர். விமான சேவைகள், மருத்துவமனைகளில் இத்தகைய மீட்சி அல்லது தயார் நிலையில் இருப்பது மிக முக்கியம்.
இந்தத் தயார் நிலை பெரும்பாலும் சைபர் பாதுகாப்பு தொடர்புடையது என்றாலும், தகவல் தொழில்நுட்ப சேவைகளுக்காக ஒற்றைமயமாக்கப்பட்ட பெரிய நிறுவனத்தைச் சார்ந்திருக்கும் சிக்கல்களையும் அது உணர்த்துகிறது. எல்லாவிதத் தகவல் தொழில்நுட்ப சேவைகளுக்கும் ஒரே நிறுவனத்தை நாடும்போது, ஒரு சின்ன பிழை என்றாலும், எல்லாவற்றையும் பாதிக்கிறது.
அதே போல, ஒரே வகைக் கணினிகளைச் சார்ந்திருப்பதில் உள்ள சிக்கலையும் உணர்த்துகிறது. இந்தப் பிரச்சினை விண்டோஸ் கணினிகளை மட்டுமே பாதித்திருக்கிறது. எனில், ஏன் ஒரு மாற்றுவழிக்காகக்கூட லினக்ஸ் கணினிகளைப் பயன்படுத்தவில்லை என்னும் கேள்வியும் எழுகிறது.
தொழில்நுட்ப உலகில், பெரிய நிறுவனங்கள் மேலும் மேலும் விரிவடைந்துகொண்டிருக்கின்றன. இந்நிலையில், வர்த்தக நிறுவனங்களில் நிலவும் ஏகபோகம் என்பது செலவு குறைவானது, நம்பகமானது என்பது பெரிய நிறுவனங்களை வாடிக்கையாளர்கள் நாட வைப்பதற்கான காரணங்களாகச் சொல்லப்படுகிறது.
அதே நேரம், நம்முடைய டிஜிட்டல் கட்டமைப்புக்காக ஒற்றை நிறுவனத்தைச் சார்ந்திருப்பதில் உள்ள இடர்களை உண்மையிலேயே நாம் அறிந்திருக்கிறோமா எனச் சிந்திக்க வேண்டும். இவை எல்லாம் வல்லுநர்கள், வாடிக்கையாளர்கள் இன்னமும் ஆழமாக விவாதிக்க வேண்டிய கேள்விகள்.
எதிர்காலப் பாடம்: இந்தப் பிரச்சினைக்கு இன்னொரு பரிமாணமும் இருக்கிறது. இந்தப் பிரச்சினை பெரும் பாதிப்பை ஏற்படுத்தியிருந்தாலும், நடந்தது சைபர் தாக்குதல் அல்ல என்பது அரசு அமைப்புகளுக்கு ஆறுதலாக அமைந்துள்ளது. ஏனெனில், இந்தப் பாதிப்புக்கு உளவாளிகளோ, ஹேக்கர்களோ காரணமாக இருந்தால், அவர்கள் இதை எப்படிச் செய்தனர் என்னும் கேள்வியும், இனி என்ன நடக்குமோ என்ற அச்சமும் ஏற்பட்டிருக்கும்.
ஏற்கெனவே, புவி அரசியல் சதுரங்கத்தில் எதிரி நாடுகள் சைபர் தாக்குதலை ஓர் ஆயுதமாகக் கையில் எடுக்கலாம் என்ற அச்சம் இருக்கிறது. இந்தப் பின்னணியில், ஒரு பிழையான அப்டேட் பல்வேறு நாடுகளை நிலைகுலைய வைப்பதற்கான சாத்தியம் உள்ளது, தீய நோக்கம் கொண்ட உளவாளிகள், ஹேக்கர்களுக்கான ஆயுதமாக இது அமையக்கூடும் என்கிற கருத்துகள் இறையாண்மை மிக்க நாடுகளைக் கவலை கொள்ள வைத்திருக்கின்றன. இவற்றுக்கு உறுதியான தீர்வு காணச் சர்வதேசச் சமூகம் முன்வர வேண்டும்!
- தொடர்புக்கு: enarasimhan@gmail.com
Sign up to receive our newsletter in your inbox every day!
WRITE A COMMENT