இணையப் பாதுகாப்பு – 2

இணையப் பாதுகாப்பு – பகுதி 2

மு.முருகானந்தம்

- - - - - - - - - - - - - - - -

• இக்கட்டுரைத் தொடரின் முதற்பகுதியை வாசித்திருப்பீர்கள். இணைய வெளிப் பாதுகாப்புப் பற்றிய புரிதலுடன் இந்தியாவின் இணைய வெளிப் பாதுகாப்புப் பற்றி இவ்விரண்டாம் பகுதியில் காண்போம்.

தேசிய இணையவெளிப் பாதுகாப்புக் கொள்கை – 2013

• இந்தியாவின் முதலாவது இணையப் பாதுகாப்புக் கொள்கை இதுவேயாகும்.
• இக்கொள்கை 2013-ல் மின்னணு மற்றும் தகவல் தொழில்நுட்பத் துறையால் வடிவமைக்கப்பட்டது. 2016-ல் இத்துறையானது ‘மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகமாக (MEITY-Ministry of Electronics and Information Technology) மேம்படுத்தப்பட்டது.

கொள்கையின் நோக்கம்

• குடிமக்கள் / வணிகச் சமூகம் / அரசாங்கச் செயல்பாட்டுக்கு பாதுகாப்பான இணையவெளியைக் கட்டமைத்தல்.
• இந்நோக்கத்தினை அடைய பின்வரும் இலக்குகள் உதவுகின்றன.

1. பாதுகாப்பான இணையவெளிச் சூழலை உருவாக்குதல், இணையப் பாதுகாப்பு செயல்பாடுகளுக்கு தொடர்புடையவற்றை வழிப்படுத்துதல்.
2. பாதுகாப்புக் கொள்கை வடிவமைப்புக்கான கட்டமைப்பை உருவாக்குதல், உலகத்தர பாதுகாப்பு முறைகளை ஊக்குவித்தல்.
3. இணையவெளி ஒழுங்குமுறை அமைப்பை வலுப்படுத்துதல்,
4. 24 ᳵ 7 மணி நேரமும் தகவல்தொழில்நுட்பக் கட்டமைப்பு சார்ந்த தகவல்களைச் சேகரிக்க அமைப்பை உருவாக்குதல், தாக்குதலின் போது எதிர்வினையற்ற உத்திகளை வகுத்தல், “முக்கிய தகவல் கட்டமைப்புப் பாதுகாப்புக்கான தேசிய மையம்” (NCIIPC – National Critical Information Infrastructure Protection Centre) ஆனது இதற்காகவே உருவாக்கப்பட்டது.
5. நமது தேவைகளைப் பூர்த்தி செய்ய தேவையான பாதுகாப்பு நுட்பங்களை உள் நாட்டிலேயே வடிவமைத்தல்.
6. அடுத்த 5 ஆண்டுகளில் [2013-ன் படி] இணைய பாதுகாப்புத் திறனுடைய 5,00,000 வல்லுநர்களை உருவாக்குதல்.
7. முறையான பாதுகாப்பு வழிமுறைகளை நிறுவும் வணிக நிறுவனங்களுக்கு பணபலன் அளித்தல்.
8. உரிய சட்டங்களின் மூலம் இணையக் குற்றங்கள் தடுப்பு / புலனாய்வு / தண்டனைகளை முறைப்படுத்துதல்.
9. திறன்மிகுந்த அரசு மற்றும் தனியார் கூட்டுறவுகளை ஏற்படுத்தி பாதுகாப்பு ஒத்துழைப்பு மற்றும் ஒருங்கிணைப்பை வலுவாக்குதல்.
10. தனிநபர் விழிப்புணர்வினை வளர்த்தெடுத்தல்.

• இந்தக் கொள்கையைச் செயல்படுத்த நிறுவப்பட்டுள்ள பாதுகாப்புக் கட்டமைப்பைப் பற்றி அடுத்த பத்தியில் காண்போமா..?

இந்திய இணையவெளிப் பாதுகாப்பு அமைப்புகள்

1. தேசிய இணைய ஒருங்கிணைப்பு மையம் [National Cyber Coordination Centre – NCCC]
2. கணினி அவசரகால நடவடிக்கைக் குழு – இந்தியா [Computer Emergency Response Team India – CERT In]
3. தேசிய முக்கிய தகவல் கட்டமைப்பு பாதுகாப்பு மையம் [National Critical Information Infrastructure Protection Centre– NCIIPC]
4. இணையவெளி ஒழுங்குமுறை மேல்முறையீட்டுத் தீர்ப்பாயம் [The Cyber Regulations Appellate Tribunal].
5. தேசியத் தொழில்நுட்ப ஆராய்ச்சி மையம் [National Technical Research Organisation - NTRO]
6. நேத்ரா [NETRA – Network Traffic Analysis]
7. மத்தியக் கண்காணிப்பு அமைப்பு [Central Monitoring System – CMS ]
8. மத்திய உள்துறை அமைச்சகத்தின் இணைய மற்றும் தகவல் பாதுகாப்புப் பிரிவு [Cyber and Information Security Division, Ministry of Home Affairs - CIS].

1. NCCC - “இணையத்தைக் கண்காணித்தல்”

1. இது தகவல் தொழில்நுட்பச் சட்டம் – 2000 பிரிவு 69B-ன் படி செயல்படுகின்றது. இது மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகத்தின் கீழ் [MEITY - Ministry of Electronics and Information Technology] செயல்படுகின்றது.
2. இது இணைய வெளிப் பாதுகாப்பு மற்றும் கண்காணிப்புக்கான அமைப்பாகும்.
3. இந்தியாவின் இணையத் தாக்குதலைக் கண்காணிக்கின்ற முதலாவது அடுக்கு இதுவாகும். இது அரசு மற்றும் தனியாரின் பாதுகாப்பு அம்சங்களையும் கண்காணிக்கின்றது.
4. நம் நாட்டிற்குள் உள்ள அனைத்து ‘இணையச்சேவை வழங்குநர்களுடனும் [Internet Service Provider]’ இது தொடர்பிலுள்ளது. இணையத்தைச் சதா கண்காணித்து, ஏதேனும் தாக்குதலுக்கான அறிகுறியைக் கண்டால் ‘இணையச் சேவை வழங்குநரை’ எச்சரிக்கின்றது.

1. இது மின்னணு தகவல் தொழில்நுட்ப அமைச்சகத்தின் கீழ் இயங்குகின்றது.
2. இணையவெளி தாக்குதல் குறித்த தகவல்களை சேகரித்து ஆராய்கின்றது.
3. இணைய தாக்குதல் குறித்து முன்னறிவிப்பு & எச்சரிக்கைகளை செய்கின்றது.
4. இணையத் தாக்குதல் நிகழ்வின் போது அவசரகால நடவடிக்கைகளை மேற்கொள்கின்றது.
5. அவசரகால நடவடிக்கைகளை ஒருங்கிணைக்கின்றது.
6. இணையவெளியில் செயல்படுகின்ற எல்லோருக்கும், விதிமுறைகள் / அறிவுரைகள் / முன்தடுப்பு / பதில்வினை போன்றவற்றை CERT-In பரப்புகின்றது. அதாவது பாதுகாப்புக்கு “எதை, எங்கு, எப்போது, எப்படிச் செய்ய வேண்டுமென” முன்கூட்டியே தெரிவித்து உரிய சமயத்தில் செயல்படுகின்றது.

1. இவ்வமைப்பு தகவல் தொழில்நுட்பச் சட்டம் 2000-ன் படி நிறுவப்பட்டது ஆகும். இது தகவல் தொடர்பு அமைச்சகத்தின் கீழ் [Ministry of Communications] செயல்படுகின்றது.
2. ஒரு காலத்தில் புறாவின் காலில் தகவல் அனுப்புவார்கள். பகை மன்னன் புறாவைச் சாப்பிட்டு விடுவான். இது புறாக்காலத்தின் தகவல் கட்டமைப்பு மற்றும் அக்கட்டமைப்பு மீதான தாக்குதலைக் குறிக்கின்றது.
3. பின்னர் அஞ்சல் காலக் கட்டமைப்பில் அஞ்சல்காரர் தாக்கப்பட்டு தகவல் திருடப்பட்டது. இப்போது இணையவெளிக்காலம். மனிதனும் மனிதனுக்குத் தேவையான எல்லாமும் இணையவெளிக் கட்டமைப்பில் ஒருங்கிணைக்கப் படுகின்றது. இந்தக் கட்டமைப்பின் முக்கியத் தகவல்களை NCIIPC பாதுகாக்கின்றது.
4. மேற்கண்ட முதன்மைக் கட்டமைப்பின் முக்கியத் தகவல்களைப் பாதுகாக்க எல்லா நடவடிக்கைகளையும் ஒருங்கிணைக்கின்றது. திட்டமிடுதல், உத்திகளைக் கண்டறிதல், ஆராய்ச்சி மேம்பாடு, பயிற்சி, விதிகள் மற்றும் தகவல் பகிர்வு போன்றவற்றில் பணியாற்றுகின்றது.

• இது தகவல் தொழில்நுட்பச் சட்டம் – 2000-ன் படி நிறுவப்பட்ட இணையவெளிச் சிக்கல்களுக்கான தீர்ப்பாயமாகும். இது உரிமை வழக்கு விதிகள் – 1908-ன்படி செயல்படுகின்றது. உரிமையியல் விதிகள் பொருந்தினாலும் ‘இயற்கை நீதி’யின் (Natural Justice) படியே இது செயல்படுகின்றது.

• இது பிரதமர் அலுவலகத்தின் ‘தேசியப் பாதுகாப்பு ஆலோசகரின் ’ கீழ் செயல்படும் இணையவெளிப் பாதுகாப்புத் தொழில்நுட்பங்கள் குறித்த ஆராய்ச்சி மையமாகும்.
• இது 2004-ல் நிறுவப்பட்டது. இணையவெளிப் பாதுகாப்பிற்கான மறைகுறியீட்டியல் [Cryptology] துறைக்கென ஆசியாவிலேயே முதன்முறையாக நிறுவப்பட்ட “தேசிய மறைகுறியீட்டியல் ஆராய்ச்சி மற்றும் மேம்பாட்டுக் கல்வி நிலையம்” [NICRD- National Institute of Cryptology Research and Development] ஆனது இந்த மையத்தின் கீழ் செயல்படுகின்றது.

• நேத்ரா என்றால் ‘கண்’ என்று பொருள்படும். இணையத்தினூடாக நடைபெறுகின்ற தகவல் தொடர்புகளைக் கண்காணித்து ஊறு விளைவிக்கும் தகவல்களை தானாகவே இது சேமிக்கின்றது.
• இது பாதுகாப்பு ஆராய்ச்சி மற்றும் மேம்பாட்டு நிறுவனத்தால் [DRDO- Defence Research and Development Organisation ] உருவாக்கப்பட்டுள்ளது.
• ஸ்கைப், டிவிட்டர், மின்னஞ்சல் போன்றவற்றை ஊடுருவி பாதுகாப்புக்கு அச்சுறுத்தலான தகவல்களைத் தொகுக்கிறது.

1. மத்தியக் கண்காணிப்பு அமைப்பு

• இது மத்திய அரசின் மின்னணுப் புலனாய்வுக் கண்காணிப்பு அமைப்பாகும்.
• இது உரையாடல் மற்றும் சமூக ஊடக உரையாடல்கள் போன்றவற்றை உள்துறை அமைச்சகத்தின் பாதுகாப்பு அமைப்புகள் பயன்படுத்த உதவுமாறு வடிவமைக்கப்பட்டு வருகின்றது.

இணைய வெளிப்பாதுகாப்புத் திட்டங்கள்

• இணையவெளி என்ற சொல் நமக்குப் புதிது. அதுபோலத் தான் அரசுக்கும் புதிதேயாகும்! புதிதாக விரிவடையும் இவ்வெளியில் அரசு மெதுவாக / படிப்படியாக பாதுகாப்பினை உருவாக்கி வருகின்றது.
• 2014-ல் ‘தேசிய இணையவெளிப் பாதுகாப்பு ஒருங்கிணைப்பாளர்’ என்ற பொறுப்பு உருவாக்கப்பட்டது. 2016-ல் லெஜியன் [Legion] என்ற ஊடுருவிகளின் [Hacker] தாக்குதலுக்குப் பின்னர் முதன் முறையாக ‘முதன்மை தகவல் பாதுகாப்பு அலுவலர் – Chief Information Security Officer - CISO’ நியமிக்கப்பட்டார். அண்மையில் “சைபர் ஸ்வச்தா கேந்திரா” என்ற மையம் உருவாக்கப்பட்டது.
• இம்மையம் CERT-In ஆல் தொடங்கப்பட்டிருக்கிறது. இது பாட்நெட் [Botnet] மற்றும் தீம்பொருள்களைக் கண்டறிந்து தூய்மையாக்கவும் அவற்றைக் கட்டுப்படுத்தவும் ஒருங்கிணைக்கவும் ஆவண செய்கின்றது. பாதுகாப்புக்கான நான்கு கருவிகளை இம்மையம் உருவாக்கியுள்ளது.

1. “யு.எஸ்.பி. பிரதிரோத்” (USB Pratirodh):

• இது ஒருவரது கணினியில் அனுமதியின்றி மற்றொருவர் பென் டிரைவ் மற்றும் கழற்றத்தக்க வன்தட்டு (Hard disk) போன்றவற்றைப் பயன்படுத்துவதைத் தடுக்கின்றது.

2. சாம்வித் (Samvid):

• இது ஒரு விண்டோஸ் செயலி (APP) ஆகும். முன்னரே அனுமதிக்கப்பட்ட கோப்புகளை மட்டுமே திறந்து செயல்படுத்த அனுமதிக்கின்றது. இதனை நிறுவுவதன் மூலம் [Install] வைரஸ் போன்ற தவறான கோப்புகள் செயல்படுவது தடுக்கப்படக்கூடும்.

3. எம்-கவச் (M-Kavach):

• இது ஆண்டிராய்டு மொபைல் பாதுகாப்புக்கானது ஆகும். தகவல் திருட்டு, புளூடூத் மற்றும் வைஃபையைத் திருட்டுத்தனமாகப் பயன்படுத்துதல், தேவையற்ற குறுஞ்செய்தி மற்றும் தேவையற்ற அழைப்புகளிலிருந்து பாதுகாக்கின்றது.

4. தேடுபொறி ஜேஎஸ் கார்டு (Browser JS Guard):

• ஒருவர் தீங்கிழைக்கும் வலைதளத்தில் நுழைவதனைத் தடுக்கின்றது.

பன்னாட்டு ஒத்துழைப்பு அமைப்புகள்

• உலகளாவிய இணையவெளி பாதுகாப்பு ஒத்துழைப்புக்காக இந்த அமைப்புகள் ஏற்படுத்தப்பட்டுள்ளன.

1. ஐ.நா. இணைய ஆளுகை மன்றம்
2. ஆசியா பசுபிக் செர்ட் [AP CERT]
3. ஐரோப்பிய மன்றம்: புத்தபெஸ்ட் வழக்காற்றின்படி (convention) செயல்படுகிறது.
4. ஐ.நா.வின் பன்னாட்டு தொலைத் தொடர்புச் சங்கம்
5. உலக இணையவெளி மாநாடு

தனிநபர் பாதுகாப்பு வழிகள்

• தேசத்தின் பாதுகாப்புக் கொள்கைகள் மற்றும் திட்டங்களைக் கண்டோம். தனிமனிதர்களாக நாம் எவ்வாறு இணையவெளியில் பாதுகாப்பாக உலவ வேண்டும் என்பதும் முக்கியமானதல்லவா ...? அவற்றைக் காண்போம்.

1)  கடவுச் சொல்: யாரிடமும் பகிரக்கூடாது. யூகிக்க முடியாததாக இருக்க வேண்டும். அடிக்கடி மாற்ற வேண்டும்.

2)  வி.பி.என் பாதுகாப்பு: திறன் பேசியில் (ஸ்மார்ட் போன்) விபின் (VPN) மென்பொருளை நிறுவினால் ஊடுருவிகளிடமிருந்து நமது தகவலையும் கருவியையும் பாதுகாக்கலாம்.

3)  லாக் அவுட் (log out): நாம் கணினி வலைதளத்தினைப் பயன்படுத்தாத போது வெளியேறிவிட வேண்டும்.

4) மின்னஞ்சலில் எச்சரிக்கையோடிருக்க வேண்டும். தேவையற்றவர்க்கு முகவரியைத் தருவதோ அல்லது தேவையற்ற அஞ்சலைத் திறக்கவோ கூடாது.

5) தரவிறக்கம்: எதைத் தரவிறக்கினாலும் நம்பகத்தன்மையைச் சோதித்துவிட்டுத் தரவிறக்கி வைரஸ் ஸ்கேனரால் சோதித்து பின்னர் பயன்படுத்த வேண்டும்.

6) தரவுப் பாதுகாப்பு: இது உங்களது அனைத்துத் தரவுகளையும் நகலெடுத்துப் பாதுகாக்கவும் உதவுகிறது.

7) தொடர் மேம்பாடு (update): நமது செயலிகளை (APPS) உரிய இடைவெளியில் மேம்படுத்திக் கொள்ள வேண்டும்.

8) இணைய உறவு: இணையத்தில் முகநூல் போன்றவற்றில் அறியா நபருடன் உறவாடும் போது நமது இரகசியத் தகவலை கொட்டிவிடக் கூடாது. கவனத்தோடு உறவாட வேண்டும்.

9) குழந்தைகளைக் கண்காணித்தல்: வீட்டுக்கு வெளியே விளையாடப் போனால் ஆபத்து எனக்கூறி கணினி அறிதிறன் பேசியினைக் கையில் தந்து வீட்டினுள் குழந்தைகளை அமர வைக்கிறோம். ஆனால் அவர்கள் யாருமற்ற இணையவெளியில் தன்னந்தனியாக புளூவேலில் விளையாடலாம். ஆக பெற்றோர் குழந்தைகளை இணையவெளியிலும் கண்காணிக்க வேண்டும்.

முடிவாக..,

• இணைய வெளிப்பாதுகாப்பு குறித்த அடிப்படைகளையும் அதற்கான இந்தியாவின் நடவடிக்கைகளையும் தனிமனித முன்னெச்சரிக்கை வழிகளையும் இத்தொழில் நுட்பத் தொடரில் கண்டோம்.
• தேர்வுக்காக மட்டுமின்றி வாழ்வுக்காகவும் இணையவெளிப் பாதுகாப்பினைக் கற்றுத் தெளிய வேண்டும் என்பதே இக்கட்டுரையின் நோக்கமாகும்.

- - - - - - - - - - - - - - - -