"انٹیل پروسیسرز کی حفاظتی خامی ایک بہت سنگین حقیقت ہے، خاص طور پر اس طریقہ کار میں: ایسی کمزور مصنوعات کو مارکیٹ میں رکھنا کیسے ممکن ہے؟"۔ مظاہر کی وضاحت کے لیے سائبر جرائم اور سائبر سیکورٹی، چھوڑنا آخری سنسنی خیز کیس کے بعد سے 2017 کے بعد جس میں صرف سال کی پہلی ششماہی میں (اور صرف تصدیق شدہ کیسز کی گنتی) سائبر حملوں میں عالمی سطح پر 8,35 فیصد اضافہ ہوا، یہ ہے گیبریل فاگیولیانفارمیشن سیکیورٹی اینڈ پرائیویسی آبزرویٹری کے سائنسی ڈائریکٹر پولیٹینکنو دی میلانو, Clusit کے صدر (اطالوی ایسوسی ایشن فار انفارمیشن سیکیورٹی) اور P4I کے سی ای او، ڈیجیٹل360 گروپ کی مشاورتی کمپنی۔ "خود کو کیسے بچایا جائے؟ ہمیشہ دستیاب اپ ڈیٹس کو ڈاؤن لوڈ کرنا اور ہمیں مزید مطلع کرنا۔ ٹوبیگی کے الفاظ میں، ہیکرز ناقابل تسخیر سامورائی نہیں ہیں۔"
آئیے سب سے حالیہ کیس سے آغاز کرتے ہیں: تین آئی ٹی کمپنیاں جیسے انٹیل، ایم ڈی اور آرم کے "ناکام" پروسیسرز، جو اربوں پی سی کو ہیکر کے حملوں سے بے نقاب کر سکتے ہیں۔ واقعی کیا ہوا؟
"سب سے پہلے، آئیے فوراً ایک چیز واضح کر دیں: اس معاملے میں یہ حملوں کا نہیں، بلکہ تکنیکی نظام کی کمزوری کا تھا۔ سیکیورٹی کی ایک بڑی خامی نے پوری دنیا میں اربوں آلات کے ٹکڑے کیے ہیں، یہ سب حال ہی میں تیار کیے گئے ہیں، جس سے IT آلات میں موجود کمپنیوں اور افراد کے ڈیٹا کو خطرہ لاحق ہے۔ اگر دنیا میں بے ایمان لوگ نہ ہوتے تو ممکنہ طور پر کچھ بھی نہیں ہو سکتا تھا، لیکن بدقسمتی سے ایسا نہیں ہے اور اس لیے اہم اور وسیع خطرات کو خارج از امکان نہیں رکھا جا سکتا۔ تاہم، سب سے سنگین پہلو تکنیکی نہیں بلکہ طریقہ کار ہے: اس طرح کے سنگین خطرات کے ساتھ مصنوعات کو مارکیٹ میں رکھنا ان کاروں کو فروخت کرنے کے مترادف ہے جو عام بارش کی صورت میں بھی بریک نہیں لگتی ہیں۔ تحقیق، ڈیزائن اور ترقی میں اس مسئلے کو کیسے نظر انداز کیا جا سکتا تھا؟"
سب سے زیادہ حساس ہدف کون ہیں اور وہ اپنی حفاظت کیسے کر سکتے ہیں؟
"کوئی بھی، کیونکہ سائبر کرائم آپریشنز، آتے ہیں۔ میلویئر al فشنگ جو سب سے زیادہ پھیلے ہوئے ہیں، بڑی تعداد میں کھیلیں۔ اربوں لوگ مارے جاتے ہیں، شاید کسی کو خاص طور پر نشانہ بنائے بغیر، اس امید پر کہ کوئی اس کا شکار ہو جائے گا۔ ظاہر ہے کہ بوڑھوں کو خطرہ ہوتا ہے، لیکن متضاد طور پر نوجوان لوگ بھی جو الیکٹرانک ٹولز کا زیادہ استعمال کرتے ہیں اور عملی استعمال میں زیادہ تجربہ کار ہونے کے باوجود اکثر کم توجہ دیتے ہیں کیونکہ وہ عمل سے پہلے عدم اعتماد اور سوچنے کی طرف کم مائل ہوتے ہیں۔ مشورہ یہ ہے کہ آپریٹنگ سسٹم سے لے کر براؤزر تک تمام دستیاب اپ ڈیٹس کو ہمیشہ ڈاؤن لوڈ کریں، اور پھر مزید معلومات حاصل کریں۔ یہ بھی عوام کا کام ہونا چاہیے: اب وقت آگیا ہے کہ کمپیوٹر سائنس کی تعلیم کو مستقل بنیادوں پر اسکولوں میں داخل کیا جائے۔
Clusit (اطالوی ایسوسی ایشن فار انفارمیشن سیکیورٹی) کی رپورٹ اس بات پر روشنی ڈالتی ہے کہ سائبر کرائم کے خطرات اب بھی بنیادی طور پر اس معاشی نقصان سے جڑے ہوئے ہیں جو وہ متاثرین کو پہنچ سکتے ہیں۔ خطرات کی مختلف اقسام کیا ہیں؟
"75% معاملات میں، سائبر کرائمین اپنے متاثرین کو پیسے بٹورنے کے مقصد سے نشانہ بناتے ہیں۔ تاہم، صرف ایک چھوٹی سی حد تک، یہ الیکٹرانک ادائیگی کے نظام میں دخل اندازی کے ذریعے ہوتا ہے، جو آج کل تیزی سے محفوظ ہو رہے ہیں، جبکہ زیادہ تر وہ دھوکہ دہی پر کھیلتے ہوئے ای میل کے ذریعے کیے جانے والے گھوٹالے ہیں۔ مثال کے طور پر، مجھے نائیجیریا کے گھوٹالے کا معاملہ یاد ہے، بلکہ دوسرے بھی جو 2017 میں فیشن بن گئے تھے۔ یہی وجہ ہے کہ میں مزید معلومات کی ضرورت پر اصرار کرتا ہوں۔ پھر سائبر دھونس، تصویر کو نقصان، ذاتی ڈیٹا کی چوری، شناخت کی چوری ہے۔ اور جاسوسی۔"
یہاں، 2017 میں سائبر جاسوسی بہت بڑھ گئی ہے، جو رشیا گیٹ جیسے معاملات کے ساتھ سرخیوں میں پہنچ گئی ہے: کیا یہ سائبر کرائم کا نیا محاذ بن سکتا ہے؟
"یہ کہنا مشکل ہے کہ آیا یہ ایک نیا غالب رجحان ہوگا۔ یقینی طور پر معلوم کیسز میں ایک سال میں 126% اضافہ ہوا ہے، چاہے وہ اب بھی عددی طور پر کل میں سے چند ہی ہوں، حالانکہ رشیا گیٹ کی طرح بہت اہم ہیں۔ تاہم، مجھے یقین ہے کہ یہ عمل نہ صرف جغرافیائی سیاسی دائرے میں بلکہ کارپوریٹ میں بھی غیر منصفانہ مسابقت کے ایک آلے کے طور پر پھیلنا جاری رکھ سکتا ہے۔"
عام طور پر ہیک کے پیچھے کون ہوتا ہے؟
"پوری دنیا سے مجرمانہ تنظیمیں، جو اب اسے آمدنی کا ایک یقینی اور خاطر خواہ ذریعہ بناتی ہیں۔ پھر تنہا بھیڑیے، اور یہاں تک کہ کچھ ریاستیں، جیسے روس اور چین، چاہے وہ قدرتی طور پر اس سے انکار کر دیں۔"
تکنیکی خامیوں کی طرف لوٹنا، جو کہ سائبر کرائم کی حمایت کر سکتے ہیں: بہت سے لوگ سلیکون ویلی کے بڑے ناموں پر اس معاملے پر انتہائی سطحی رویہ اپنانے کا الزام لگاتے ہیں۔ متفق ہیں؟
"میں یہ نہیں کہوں گا کہ مکمل طور پر نظر انداز کیا گیا ہے، لیکن نقطہ نظر جو تھوڑا سا ہلکا پھلکا ہوتا ہے کبھی کبھی ایسا لگتا ہے کہ اگر منسلک آلات کے بڑے پیمانے پر پھیلاؤ مسئلہ کو نہ صرف سلیکون ویلی کے بڑے ناموں کے گھر میں لے آئے بلکہ ان تمام کمپنیوں کی جو مصنوعات اور خدمات کی معلومات اور ٹیلی میٹیکی تخلیق کرتی ہیں یا ان کی وصولی کے لیے پوچھتی ہیں۔ کیا وہ مزید کر سکتے ہیں؟ یقینی طور پر ہاں، لیکن مجھے لگتا ہے کہ وہ کریں گے: بیداری میں اضافہ ہو رہا ہے، میڈیا کی توجہ کا بھی شکریہ کہ حال ہی میں سامنے آنے والے مسلسل کیسز موصول ہو رہے ہیں۔
Clusit ڈیٹا اس کے بجائے یہ بتاتا ہے کہ یہ بالکل یورپ ہے جو سائبر حملوں کا شکار ہے۔ کیوں، اور وہ اس مسئلے کو کیسے حل کرنے کی کوشش کر رہا ہے؟
"یورپ میں زیادہ متاثرین ہیں لیکن یہ معمول کی بات ہے، کیونکہ اٹلی سمیت کچھ ممالک شمالی امریکہ کے مقابلے کمپیوٹرائزیشن میں تاریخی تاخیر کا شکار ہیں لیکن نہ صرف۔ کمپیوٹرائزیشن کا مطلب کمپیوٹر کلچر بھی ہے اور اس میں ہم پیچھے ہیں، چاہے اہم اقدامات ہی کیوں نہ کیے جا رہے ہوں۔ یورپی پارلیمنٹ میں زیر بحث قانون سازی (جسے سائبرسیکیوریٹی ایکٹ کہا جاتا ہے) کو ENISA، یورپی ایجنسی برائے نیٹ ورک اور انفارمیشن سیکیورٹی کو مضبوط بنانا چاہیے، اور مصنوعات اور خدمات کے لیے IT سیکیورٹی سرٹیفیکیشن کے نامیاتی فریم ورک کی طرف لے جانا چاہیے۔ یہ ایک اچھا قدم ہے۔"
یہ اٹلی ہے؟
"بہتر ہو رہا ہے۔ سب سے پہلے، عوام کی توجہ میں اضافہ ہوا ہے: سبکدوش ہونے والی حکومت نے سائبر تحفظ اور معلومات کے تحفظ کے لیے نئے قومی منصوبے کی منظوری دے دی ہے۔ عوامی انتظامیہ کے لیے کم از کم ICT حفاظتی اقدامات جنہیں AgID (ایجنسی برائے ڈیجیٹل اٹلی) نے حالیہ مہینوں میں اپنایا ہے وہ بھی اچھی کارکردگی کا مظاہرہ کر رہے ہیں۔ میں نے ہمیشہ یقین کیا ہے کہ اطالوی پبلک ایڈمنسٹریشن آئی ٹی کے بنیادی ڈھانچے اور ایپلی کیشنز کی تنظیم کے لحاظ سے بہت زیادہ بکھری ہوئی ہے جس کے نتیجے میں آئی ٹی کے اخراجات اور خطرات میں اضافہ ہوتا ہے۔ اس کے بجائے، میں سمجھتا ہوں کہ بنیادی ڈھانچے اور ایپلی کیشنز کے نظم و نسق کو مرکزی بنانا مناسب ہوگا تاکہ معقولیت، لاگت کی بچت اور زیادہ سیکورٹی کی اجازت دی جا سکے۔ درحقیقت، اس میں کوئی شک نہیں کہ صرف وہ کھلاڑی جو بڑے پیمانے کی اہم معیشتوں پر اعتماد کر سکتے ہیں مناسب سرمایہ کاری کر سکتے ہیں: ذرا دنیا کے سب سے اہم کلاؤڈ کمپیوٹنگ پلیٹ فارمز، جیسے ڈراپ باکس کے بارے میں سوچیں۔ کوئی بھی نجی فرد، فری لانسر یا یہاں تک کہ کوئی بھی SME یا بڑا ادارہ سلامتی کے لیے اتنی بڑی اور مسلسل سرمایہ کاری کا متحمل نہیں ہو سکتا۔ آؤٹ سورسنگ اور ایگریگیشن سسٹم کو زیادہ محفوظ اور موثر بناتے ہیں۔ کسی بھی صورت میں، راستہ درست ہے، یہاں تک کہ اگر مجھے خدشہ ہے کہ وسائل ختم ہو سکتے ہیں: PA کو محفوظ بنانے کے لیے اربوں کی ضرورت ہے۔"
اس کے بجائے کارپوریٹ سطح پر؟
"اعلیٰ سطح پر، یعنی سب سے بڑی کمپنیوں میں، مجھے یقین ہے کہ کمپیوٹر سیکیورٹی کا مسئلہ اب ایجنڈے پر ہے۔ دوسری طرف، SMEs، پیچھے ہیں. موضوع یہ ہے کہ آئی ٹی سیکیورٹی میں سرمایہ کاری بہت کم ہے: 66 میں اٹلی میں آئی سی ٹی (انفارمیشن اینڈ کمیونیکیشن ٹیکنالوجیز) کے اخراجات 2016 بلین تھے۔ میلان پولی ٹیکنک نے اندازہ لگایا ہے کہ ان 66 بلین میں سے 1 بلین سے بھی کم سیکیورٹی کے لیے مختص کیے گئے تھے، یعنی 1,5 % (GDP کا 0,05%): بہت کم۔ آخر کار، ہم میں سے کون یہ جانتے ہوئے کہ کارخانہ دار نے 100 میں سے صرف ایک وسیلہ اس کی وشوسنییتا کے لیے وقف کیا ہے کار خریدنے کے لیے ہم پر بھروسہ کرے گا؟"
آخر میں، ایک اشتعال: ہم نے تکنیکی وقفے کے بارے میں بات کی ہے، یہاں تک کہ اٹلی میں، لیکن بعض اوقات یہ بالکل وسیع علاقوں میں ٹیکنالوجی کا پھیلاؤ ہوتا ہے جو زیادہ خطرے کا تعین کرتا ہے۔ درحقیقت، کلزٹ رپورٹ میں خطرے کے عوامل میں سمارٹ ورکنگ، چیزوں کا انٹرنیٹ اور انڈسٹری 4.0 بھی شامل ہے…
"یہ جسمانی ہے، کیونکہ یہ حملے کی سطح کو بڑھاتا ہے، لیکن ٹیکنالوجی کو شیطانی نہیں بنایا جانا چاہیے۔ یہ ایسا ہی ہے جیسے گاڑی میں ہونے والے حادثات سے بچنے کے لیے، ہم گاڑی میں واپس چلے جاتے ہیں۔ یہ یقینی طور پر کمپنیوں پر منحصر ہے کہ وہ مصنوعات کو تیزی سے محفوظ بنائیں اور یہ عوام پر منحصر ہے کہ وہ قوانین کا تعین کریں اور شہریوں کی تعلیم میں اپنا حصہ ڈالیں۔ لیکن بدقسمتی سے ہمیشہ مسائل رہیں گے، جیسا کہ ہر چیز میں: لاپرواہی، لاعلمی، غلط معلومات کی وجہ سے۔ ہمیں ثقافت اور خطرات کی سمجھ کی ضرورت ہے اور اس لیے یہ سمجھنے کی صلاحیت کی ضرورت ہے کہ اپنی بھلائی کے لیے، بلکہ دوسروں کے لیے بھی کہاں رکنا بہتر ہے۔"
