फग्गिओली (पोलिमी): "हैकर अजेय समुराई नहीं हैं"

"इंटेल प्रोसेसर का सुरक्षा दोष एक बहुत ही गंभीर तथ्य है, विशेष रूप से विधि में: इस तरह के कमजोर उत्पादों को बाजार में कैसे लाया जा सकता है?"। घटना की व्याख्या करने के लिए cybercrime और साइबर सुरक्षा, छोड़ना पिछले सनसनीखेज मामले के बाद से 2017 के बाद, जिसमें केवल वर्ष की पहली छमाही में (और केवल पुष्ट मामलों की गिनती करते हुए) वैश्विक स्तर पर साइबर हमलों में 8,35% की वृद्धि हुई, यह है गेब्रियल फागियोली, सूचना सुरक्षा और गोपनीयता वेधशाला के वैज्ञानिक निदेशक मिलान की पॉलिटेक्निक, क्लूसिट (सूचना सुरक्षा के लिए इतालवी संघ) के अध्यक्ष और डिजिटल4 समूह की सलाहकार कंपनी P360I के सीईओ। “हम अपनी सुरक्षा कैसे करें? हमेशा उपलब्ध अपडेट डाउनलोड करना और हमें अधिक जानकारी देना। टोबैगी के शब्दों में, हैकर अजेय समुराई नहीं हैं।"

आइए सबसे हालिया मामले से शुरू करें: इंटेल, एएमडी और आर्म जैसे तीन आईटी दिग्गजों के "विफल" प्रोसेसर, जो हैकर के हमलों के लिए अरबों पीसी को उजागर कर सकते हैं। असल में क्या हुआ था?

"सबसे पहले, एक बात तुरंत स्पष्ट कर दें: इस मामले में यह हमलों का सवाल नहीं था, बल्कि तकनीकी प्रणाली की भेद्यता का था। एक प्रमुख सुरक्षा दोष में दुनिया भर में अरबों उपकरण शामिल हैं, उन सभी का हाल ही में उत्पादन किया गया है, जो आईटी उपकरणों में निहित कंपनियों और व्यक्तियों के डेटा को जोखिम में डालते हैं। यदि दुनिया में बेईमान लोग नहीं होते तो संभावित रूप से कुछ भी नहीं हो सकता था, लेकिन दुर्भाग्य से ऐसा नहीं है और इसलिए महत्वपूर्ण और व्यापक खतरों से इंकार नहीं किया जा सकता है। हालांकि, सबसे गंभीर पहलू तकनीकी नहीं बल्कि व्यवस्थित है: ऐसी गंभीर कमजोरियों वाले उत्पादों को बाजार में रखना उन कारों को बेचने के बराबर है जो सामान्य बारिश की स्थिति में भी ब्रेक नहीं लगाती हैं। अनुसंधान, डिजाइन और विकास में इस समस्या की अनदेखी कैसे की जा सकती थी?"।

सबसे संवेदनशील लक्ष्य कौन हैं और वे अपनी सुरक्षा कैसे कर सकते हैं?

"कोई भी, क्योंकि साइबर क्राइम ऑपरेशन, चलो मैलवेयर al फ़िशिंग जो सबसे अधिक व्यापक हैं, बड़ी संख्या में खेलते हैं। अरबों लोग प्रभावित होते हैं, शायद किसी विशेष व्यक्ति को लक्षित किए बिना, इस उम्मीद में कि कोई इसके झांसे में आ जाएगा। जाहिर तौर पर बुजुर्ग जोखिम में हैं, लेकिन विरोधाभासी रूप से युवा लोग भी जो इलेक्ट्रॉनिक उपकरणों का अधिक उपयोग करते हैं और व्यावहारिक उपयोग में अधिक अनुभवी होने के बावजूद, अक्सर कम ध्यान देते हैं क्योंकि वे कार्रवाई से पहले अविश्वास और प्रतिबिंब के प्रति कम इच्छुक होते हैं। सलाह यह है कि ऑपरेटिंग सिस्टम से ब्राउज़र तक सभी उपलब्ध अपडेट हमेशा डाउनलोड करें, और फिर अधिक जानकारी प्राप्त करें। यह भी जनता का एक कार्य होना चाहिए: कंप्यूटर विज्ञान शिक्षा के लिए स्थायी आधार पर स्कूलों में प्रवेश करने का समय आ गया है।

क्लूसिट (इतालवी एसोसिएशन फॉर इंफॉर्मेशन सिक्योरिटी) की रिपोर्ट पर प्रकाश डाला गया है कि साइबर अपराध के जोखिम अभी भी मुख्य रूप से पीड़ितों को होने वाली आर्थिक क्षति से जुड़े हैं। विभिन्न प्रकार के जोखिम क्या हैं?

“75% मामलों में, साइबर अपराधी पैसे निकालने के उद्देश्य से अपने पीड़ितों को निशाना बनाते हैं। हालांकि, केवल कुछ हद तक, यह इलेक्ट्रॉनिक भुगतान प्रणालियों में घुसपैठ के माध्यम से होता है, जो आज तेजी से सुरक्षित हैं, जबकि ज्यादातर वे ईमेल के माध्यम से किए गए घोटाले हैं, धोखे पर खेल रहे हैं। उदाहरण के लिए, मुझे नाइजीरियाई घोटाले का मामला याद है, लेकिन अन्य मामले भी जो 2017 में फैशन बन गए थे। यही कारण है कि मैं अधिक जानकारी की आवश्यकता पर जोर देता हूं। फिर साइबरबुलिंग, छवि क्षति, व्यक्तिगत डेटा की चोरी, पहचान की चोरी है। और जासूसी। ”

इधर, 2017 में साइबर जासूसी बहुत बढ़ गई है, रशियागेट जैसे मामलों के साथ सुर्खियों में आ गई है: क्या यह साइबर अपराध का नया मोर्चा बन सकता है?

"यह कहना मुश्किल है कि क्या यह एक नई प्रमुख प्रवृत्ति होगी। निश्चित रूप से ज्ञात मामलों में एक वर्ष में 126% की वृद्धि हुई है, भले ही वे अभी भी कुल संख्या में से कुछ हैं, हालांकि रूसगेट की तरह बहुत महत्वपूर्ण हैं। हालांकि, मुझे विश्वास है कि अनुचित प्रतिस्पर्धा के एक साधन के रूप में न केवल भू-राजनीतिक क्षेत्र में बल्कि कॉर्पोरेट क्षेत्र में भी यह प्रथा फैलना जारी रख सकती है।

आमतौर पर हैक के पीछे कौन होता है?

"दुनिया भर से आपराधिक संगठन, जो अब इसे आय का एक निश्चित और पर्याप्त स्रोत बनाते हैं। फिर अकेला भेड़िये, और यहां तक ​​​​कि रूस और चीन जैसे कुछ राज्य, भले ही वे स्वाभाविक रूप से इससे इनकार करते हों"।

तकनीकी खामियों की ओर लौटते हुए, जो तब साइबर अपराध का पक्ष ले सकती हैं: कई सिलिकॉन वैली में बड़े नामों पर इस मुद्दे पर बहुत सतही रवैया अपनाने का आरोप लगाते हैं। सहमत होना?

"मैं यह नहीं कहूंगा कि पूर्ण उपेक्षा है, लेकिन दृष्टिकोण जो थोड़े हल्के-फुल्के होते हैं, कभी-कभी अस्तित्व में प्रतीत होते हैं, भले ही जुड़े उपकरणों का बड़े पैमाने पर प्रसार घर में न केवल सिलिकॉन वैली में बड़े नामों की समस्या लाता है, बल्कि यह भी उन सभी कंपनियों की जो सूचनाओं और टेलीमैटिक्स उत्पादों और सेवाओं की प्राप्ति के लिए बनाती हैं या मांगती हैं। क्या वे और कर सकते थे? निश्चित रूप से हाँ, लेकिन मुझे लगता है कि वे करेंगे: जागरूकता बढ़ रही है, मीडिया के ध्यान के लिए भी धन्यवाद कि हाल ही में सामने आए लगातार मामले मिल रहे हैं"।

क्लुसिट डेटा इसके बजाय कहता है कि यह ठीक यूरोप है जो साइबर हमलों के प्रति संवेदनशील है। क्यों और कैसे वह समस्या को ठीक करने की कोशिश कर रहा है?

"यूरोप में अधिक पीड़ित हैं लेकिन यह सामान्य है, क्योंकि उत्तरी अमेरिका की तुलना में इटली समेत कुछ देश कंप्यूटरीकरण में ऐतिहासिक देरी से पीड़ित हैं, लेकिन न केवल। कम्प्यूटरीकरण का अर्थ कंप्यूटर संस्कृति भी है, और इसमें हम पीछे हैं, भले ही महत्वपूर्ण कदम उठाए जा रहे हों। यूरोपीय संसद (साइबर सुरक्षा अधिनियम कहा जाता है) में चर्चा के तहत कानून को ईएनआईएसए, नेटवर्क और सूचना सुरक्षा के लिए यूरोपीय एजेंसी को मजबूत करना चाहिए, और उत्पादों और सेवाओं के लिए आईटी सुरक्षा प्रमाणन के एक जैविक ढांचे का नेतृत्व करना चाहिए। यह एक अच्छा कदम है।"

यह इटली है?

"अच्छा होता जा रहा है। सबसे पहले, जनता का ध्यान बढ़ा है: निवर्तमान सरकार ने साइबर सुरक्षा और सूचना सुरक्षा के लिए नई राष्ट्रीय योजना को मंजूरी दे दी है। हाल के महीनों में AgID (एजेंसी फॉर डिजिटल इटली) द्वारा अपनाए गए लोक प्रशासनों के लिए न्यूनतम आईसीटी सुरक्षा उपाय भी अच्छा कर रहे हैं। मेरा हमेशा से यह मानना ​​रहा है कि आईटी इन्फ्रास्ट्रक्चर और अनुप्रयोगों के संगठन के संदर्भ में इटली का लोक प्रशासन बहुत खंडित है, जिसके परिणामस्वरूप आईटी लागत और जोखिम में वृद्धि हुई है। इसके बजाय, मुझे लगता है कि युक्तिकरण, लागत बचत और अधिक सुरक्षा की अनुमति देने के लिए बुनियादी ढांचे और अनुप्रयोगों के प्रबंधन को केंद्रीकृत करना उचित होगा। वास्तव में, इसमें कोई संदेह नहीं है कि केवल वे खिलाड़ी जो बड़े पैमाने की महत्वपूर्ण अर्थव्यवस्थाओं पर भरोसा कर सकते हैं, पर्याप्त रूप से निवेश करने में सक्षम हैं: ड्रॉपबॉक्स जैसे दुनिया के सबसे महत्वपूर्ण क्लाउड कंप्यूटिंग प्लेटफॉर्म के बारे में सोचें। कोई भी निजी व्यक्ति, फ्रीलांसर या यहां तक ​​कि कोई एसएमई या बड़ा उद्यम सुरक्षा के लिए इतना बड़ा और निरंतर निवेश नहीं कर सकता है। आउटसोर्सिंग और एकत्रीकरण सिस्टम को अधिक सुरक्षित और कुशल बनाते हैं। किसी भी मामले में, रास्ता सही है, भले ही मुझे डर हो कि संसाधन खत्म हो सकते हैं: पीए को सुरक्षित करने के लिए अरबों की जरूरत है"।

इसके बजाय कॉर्पोरेट स्तर पर?

"उच्च स्तर पर, यानी सबसे बड़ी कंपनियों में, मेरा मानना ​​है कि कंप्यूटर सुरक्षा का मुद्दा अब एजेंडे में है। दूसरी ओर एसएमई पिछड़ रहे हैं। विषय यह है कि आईटी सुरक्षा में निवेश बहुत कम है: 66 में इटली में आईसीटी (सूचना और संचार प्रौद्योगिकी) खर्च 2016 अरब था। मिलान पॉलिटेक्निक का अनुमान है कि इन 66 अरब में से 1 अरब से भी कम सुरक्षा के लिए आवंटित किया गया था, यानी 1,5 % (जीडीपी का 0,05%): बहुत कम। आखिरकार, हममें से कौन यह जानकर कि निर्माता ने अपनी विश्वसनीयता के लिए 100 में से केवल एक संसाधन समर्पित किया है, कार खरीदने के लिए हम पर भरोसा करेगा?"।

अंत में, एक उत्तेजना: हमने इटली में भी तकनीकी अंतराल के बारे में बात की है, लेकिन कभी-कभी यह कभी-कभी व्यापक क्षेत्रों में प्रौद्योगिकी का प्रसार होता है जो अधिक जोखिम निर्धारित करता है। वास्तव में, क्लुसिट रिपोर्ट में खतरे के कारकों में स्मार्ट वर्किंग, इंटरनेट ऑफ थिंग्स और उद्योग 4.0 भी शामिल हैं ...

"यह शारीरिक है, क्योंकि यह हमले की सतह को बढ़ाता है, लेकिन प्रौद्योगिकी का प्रदर्शन नहीं किया जाना चाहिए। यह ऐसा है जैसे कार में दुर्घटनाओं से बचने के लिए हम वापस गाड़ी में चलने के लिए जाते हैं। यह निश्चित रूप से कंपनियों पर निर्भर है कि वे उत्पादों को तेजी से सुरक्षित बनाएं और यह जनता पर निर्भर है कि वे नियम निर्धारित करें और नागरिकों की शिक्षा में योगदान दें। लेकिन दुर्भाग्य से हमेशा समस्याएं होंगी, जैसा कि सभी चीजों में होता है: लापरवाही, अज्ञानता, गलत सूचना के कारण। हमें संस्कृति और जोखिमों की समझ की आवश्यकता है और इसलिए यह समझने की क्षमता है कि खुद के भले के लिए और दूसरों के लिए भी कहां रुकना सबसे अच्छा है।"