اے ۔آئی نے صرف سیکیورٹی بہتر نہیں کی، سائبر حملوں کو بھی زیادہ مہلک بنا دیا ہے ، عمران کمال
تعارف
عمران کمال ،انفارمشن سیکیورٹی پروفشنل اور سائبر سیکیو رٹی کنسلٹنٹ ہیں۔ انہوں نے اسلام آبا دکی ایک نجی یونورسٹی سے انفارمشن سیکیورٹی میں ایم ایس کیا ہے۔اندرونِ اور بیرونِِ ملک مختلف اداروں سے منسلک رہے۔ مختلف نوعیت کی پشہ ورانہ ٹریننگز اور سرٹیکفیکیٹس حاصل کر چکے ہیں۔ بہترین پشہ ورانہ کارکردگی کی بنازد پر بہت سے ایوارڈ ز بھی اپنے نام کر رکھے ہیں۔
سوال : سائبر سیکیورٹی بظاہر ایک مشکل سبجیکٹ دکھائی دیتا ہے۔ آپ اس طرف کیسے مائل ہوئے؟
جواب: اس کی شروعات ہوئیں دو ہزار تین میں ، جب میں طالب ِ علم تھا۔ میرا شوق اور رجحا ن سائبر سیکیورٹی کی طرف تھا۔ خود سے وائرس بنا کر دوستوں میں شئیر کرتا تھا۔ اْس وقت چونکہ پاکستان میں سائبر سیکیورٹی کے حوالے سے اتنی آگہی نہیں تھی اور نہ ہی مواقع تھے، تو پھر میں ڈیٹا نیٹ ورکنگ کی طرف چلا گیا۔ تیرہ چودہ سال ڈیٹا نیٹ ورکنگ ، ٹیلی کمیونیکیشن ، ڈیفینسیو سیکیورٹی میں کام کرنے کے بعد میں نے سوچا کہ مجھے اپنے شوق کو فالو کرنا چاہیے۔ تو پھر میں نے اور میرے ہم خیا ل دوستوں نے سوچا کہ کیوں نے ہم سائبر سیکیورٹی سلوشنز اور اس کی خدمات کی فراہمی کا آغاز کریں۔
ہم نے یہ محسوس کیا تھا کہ مختلف سرکاری اداروں میں، آئی ٹی ڈیپارٹمینٹس خواہ وہ سرکاری اداروں کے ہیں یا ٹیلی کام سیکٹر کے یا ہسپتالوں کے وہاں سائبر سیکیورٹی کی اتنی آگہی نہیں ہے ، جتنی ہونی چاہیے۔ عمومی طور یہ تصو رہے کہ اگرکسی ادارے میں ایک بھی آئی ٹی سے منسلک فرد موجود ہے تو اسی کو سمجھا جاتا ہے کہ وہ سپرمین ہے اور سارے کام وہی کرے گا۔ لیکن حقیقت میں ایسا نہیں ہوتا۔ وہ فرد سسٹم نیٹ ورک کا ہو سکتا ہے، سسٹم ایڈمن ہو گا ، ڈیفینسو پرسن ہو سکتا ہے۔ لیکن سائبر سیکیورٹی کے لیے ایک مائنڈ سیٹ یا مہارت چاہیے ہوتی ہے۔ سیکیورٹی سلوشنز چاہیے ہوتے ہیں۔ اس لیے ہم مختلف اداروں کیلیے خدمات فراہم کر رہے ہیں۔
سوال: عام فہم الفاظ میں بتائیں کہ انفارمیشن سیکیورٹی اور سائبر سیکیورٹی سے کیا مراد ہے؟
جواب: انفارمیشن سیکیورٹی ایک جامع اصطلاح ہے۔جس کے تحت سائبر سیکیورٹی آتی ہے۔ ا نفارمیشن سیکیورٹی بذاتِ خود کیا چیز ہے۔ اس سے مراد آپ کا ڈیٹا اور انفارمیشن ہے ،آپ کا نام، آپ کی ذاتی معلومات ،جو خواہ ڈیجیٹل فارم میں ہو یا نان ڈیجیٹل فارم میں ہو ، وہ آپ کے پاس محفوظ رہیں۔ آپ چاہتے ہیں کہ آپ کے علاوہ کوئی اس کوآپ کی مرضی کے بغیر نہ دیکھے۔
سائبر سیکیورٹی یہ ہے کہ آپ کچھ ٹولز استعمال کرتے ہیں یا کچھ سلوشنز (Solutions) استعمال کرتے ہیں جس کی وجہ سے آپ کا جتنا بھی Digital Asset ہے مثلاً آپ کا موبائل فون، لیپ ٹاپ کمپیوٹرز ، نیٹ ورک انفراسٹرکچر ، مختلف اپلیکیشنز ہیں، ڈیٹا فلو (Flow)کر رہے ہیں، ڈیٹا سٹور ہو رہا ہے، پراسس ہور ہا ہے، اس کو کیسے محفوظ بنایا جائے۔ آپ یہ سمجھیں کہ آپ اپنے Gadgets کو لاک لگا ر ہے ہیں، الارم لگار ہے ہیں، تو یہ عمل سائبر سیکیورٹی کہلاتا ہے۔
سوال: آج کل ہر فرد موبائل استعمال کر رہا ہے، مختلف اپلیکیشنز استعمال کر رہاہے، ای میل کررہا ہے، میسیجز کر رہا ہے، تو اس طرح تو ہر فرد سائبر حملے کی زد میں ہے۔
جواب: جب سمارٹ فونز کا دور نہیں تھا تو اْس وقت سائبر سیکیورٹی کا اتنا خطرہ نہیں تھا۔ جیسے جیسے ٹیکنالوجی میں جدت اور بہتری آئی تو پلان یہ تھا کہ ورک سٹیشنز پر پی سی کو ری پلیس (Replace)کر دیا جائے۔ جو کام آپ کمپیوٹر پر کیا کرتے تھے اب وہ کام فون پر کر رہے ہیں۔ تو نئی نئی اپلیکیشنز آ گئیں، سروسز فون پر شفٹ ہو گئیں۔ آ پ اِس کو سارا دن استعمال کرتے ہیں۔ اْس زمانے میں کمپیوٹرز وغیرہ دفاتر تک محدود تھے یا لیپ ٹاپ گھروں میں ہوا کرتے تھے۔ اب یہ چوبیس گھنٹے آپ کے پاس ہوتے ہیں۔ اس میں نہ صرف دفتر کا کام اور معلومات ہوتی ہیں بلکہ آپ کی اپنی ذاتی چیزیں بھی ہوتی ہیں ، میسیجز اور تصاویر وغیرہ۔ جب یہ سب کچھ فون میں ہے اور آپ کافون انٹر نیٹ سے منسلک ہے۔ تو رِسک فیکٹر شروع ہوتا ہے۔ آپ کو محتاط ہونا پڑتا ہے کہ آپ کے فون میں جو ڈیٹا پڑا ہواہے وہ محفوظ ہو۔
آ پ نے اس رِ سک کو سمجھنا ہے مثلاً آپ ائیر پورٹ پر جاتے ہیں وہاں مختلف بوتھ لگے ہوتے ہیں جو مفت چارجِنگ کی سہولت دے رہے ہوتے ہیں۔ تولوگ جلدی جلدی جاتے ہیں اور اپنے فون چارجِنگ پر لگا دیتے ہیں۔ ہم سائبر سیکیورٹی کی فیلڈ میں اس کو Juice Jacking Attack کہتے ہیں۔ کوئی فرد وہاں پر فون چارجِنگ پر لگا دیتا ہے اور وہ مطمئن ہو جاتا ہے کہ فون چارج ہو ر ہا ہے مگر وہاں موجود کیبلز چارجِنگ بوتھ کے ساتھ نہیں لگی ہوتیں وہ پیچھے کے Attacker کے لیپ ٹاپ کے ساتھ جڑی ہوتی ہیں۔تو وہ مختلف Tools کو استعمال کر کے موبائل فون کو ہیک کر لیتے ہیں اور وہاں سے ڈیٹا لے لیتا ہے۔ اور وہ ڈیٹا آپ کا پرائیویٹ ڈیٹا ہے جو آپ کے خلاف استعمال ہو سکتا ہے۔
سوال : عوامی مقامات پر دستیاب فری انٹرنیٹ کو کیسے استعمال کریں؟
جواب: عوامی مقامات پر دستیاب انٹر نیٹ مثلاً کافی شاپ، ہوائی اڈے وغیرہ۔ لوگوں میں ڈیٹا کو محفوظ رکھنے کے حوالے سے اتنی آگہی نہیں ہے ۔صرف یہ دیکھنے کے لیے کہ آیا لوگوں کو اس کی آگہی ہے یا نہیں آپ کسی بھی جگہ پر Free Wi Fi لکھ دیں تو لوگ بغیر سوچے سمجھے اس کو استعمال کرنا شروع کر دیتے ہیں۔
یہ فری تو ہے لیکن انہیں یہ بالکل پتہ نہیں ہوتا کہ کون اس کو فراہم کر رہا ہے ، کون اس کوکنٹرول کر رہا ہے اور ڈیٹا وہاں پر فلو ہو رہا ہوتا ہے۔ تو آپ کا ڈیٹا لیا جاسکتا ہے۔ ہم یہ تجویز کرتے ہیں کہ آپ وہ انٹرنیٹ استعمال نہ کریں۔ لیکن بہت مجبوری ہے تو پھرآپ کے پاس و ی پی این ہونا چاہیے اس کو استعمال کریں تاکہ آپ کی انٹرنیٹ ایکٹوٹی اس کے ذریعے Encrypted ہو کر گزرے۔ کیونکہ اگر کوئی Attacker کہیں بیٹھا ہوا ہے تو اس کے پاس ٹریفک Format Readableمیں نہیں پہنچے گی، انکریپڈڈ فارمیٹ میں جائے گی تاکہ اْس کو اِسے Decode کرنے میں مشکلات آئیں۔
سوال: ای میل کے ذریعے بھی بہت سے Threat یا پرکشش ملازمت ،لاٹری یا آپ کی کسی پروگرام یا ملازمت کے لیے سیلکشن کی ای میل آتی ہیں۔ یہ کیسے ممکن ہوتا ہے اور اس کو کیسے کنٹرول کیا جائے؟
جواب : اس کو ہم تیکنیکی طور پر Phishing Attack کہتے ہیں۔ ہوتا یہ ہے کہ وہ ( ممکنہ ہیکر/ گروپ آف ہیکرز)آپ کو ایک ای میل بنا کر دیتے ہیں جو بڑا حقیقی ہوتا ہے۔اور وہ آپ کو قائل کرنے کی کوشش کرتے ہیں کہ آپ کی کوئی لاٹری نکل آئی ہے۔یا آپ نے کسی اکاؤنٹ پر جا کر کچھ ایکٹوٹی کی تھی اب وہ اکاؤنٹ لاک ہونے والا ہے۔تو آپ ہم سے رجوع کریں۔
ان کے پاس ای میلز بنے ہوتے ہیں تو وہ لوگوں کو بھیجتے ہیں۔ اس قسم کی ای میلز کا سب سے بڑا خطرہ یہ ہوتا ہے کہ وہ صرف ورک اسٹیشن پر کام نہیں کرتا یا لیپ ٹاپ پر بلکہ اگر اس ای میل کو اپنے موبائل فون پر بھی کھولا جائے تو وہاں پر بھی کام کرتا ہے۔کیونکہ وہ آپ کو کچھ Links یا فائلز بھجوائیں گے۔ Links زیادہ تر Malicious یعنی نقصاندہ اورخطرناک نوعیت کے ہوتے ہیں۔ اب ہمارے جو سئینئر سیٹیزن ہوتے ہیں وہ ان لِنکس کی تصدیق نہیں کرتے وہ ان کو کلِلک کرتے ہیں یا ہمارے نوجوان ہیں وہ بھی ان لِنکس کو نہیں دیکھتے اور ان کو تجسس کی وجہ سے کلِک کر دیتے ہیں۔ آج کل Scams ہوتے ہیں ۔مخصوص قومی دنوں کی آمد کے حوالے سے آفرز آتی ہیں یا فوڈ آئیٹم کی خریدار ی کے حوالے سے آپ کو کچھ کہا جاتا ہے۔ یا آپ کو فری آئی فون چاہیے تو اس مخصوص لنک پر جائیں اور اپنے آپ کو رجسڑ کروائیں تو یہ Scam ہوتا ہے۔
اگر آپ اس لنک کا غورسے تجزیہ کریں تو وہ آپ کو کہیں اور لے جائے گا۔ تو یہ ایک طرح کی Clown Website ہوتی ہے اس پروڈکٹ کی۔ تو ایک عام آدمی اس کو نہیں سمجھ سکتا جب تک وہ پورا URL نہ پڑھ لے ۔ اور سمجھ لے کہ آیا یہ ایک درست لنک ہے بھی کہ نہیں۔ پھر اس پراپنی انفارمیشن دے۔ اکثر Phishing Attack کے دوران کیا کرتے ہیں کہ آپ کو کسی ویب سائٹ کی طرف لے جاتے ہیں، کبھی کبھار بینکس کی طرف۔ یا ان کا ایک اندازہ ہوتا ہے کہ یہ بندہ فلاں فلاں چیزکو بھی استعمال کرتا ہے تو بیچ میں وہ لنک بھی بھجوا دیتے ہیں کہ آپ اس کو دیکھتے ہوئے اس کو بھی لاگ اِ ن کر دیں تو اس طرح آپ کی تمام معلومات ان کے پاس آ جاتی ہیں۔
وگر نہ یہ آپ کی جو بنیادی معلومات ہوتی ہیں ان کو یہ لے لیتے ہیں۔ یا اگر آپ اْس ویب سائٹ کو وزٹ کرتے ہیں تو خود بخود ایک Malwareآپ کے سسٹم میں داخل ہو جاتا ہے۔ تو ایک مرتبہ وہ Malware آ گیا تو پھر وہ آپ کی ہر چیز تک رسائی پا لیتے ہیں۔ آپ کے مائیک تک ان کی رسائی ہو جاتی ہے، آپ کی تصویریں دیکھ سکتے ہیں۔ یہاں تک کہ آپ کا کیمرہ اوپن کر کر کے دیکھ سکتے ہیں کہ کیا ایکٹوٹی ہو رہی ہے۔ توان چیزوں کی تصاویر لے کر ، ثبوت لے کر بعد میں بلیک میل کرتے ہیں۔ آج کل آپ دیکھ رہے ہیں کہ بچوں کی Bullying ہورہی ہوتی ہے۔ اس کی وجہ کیا ہے کہ والدین اپنے بچوں کو فون دے دیتے ہیں۔ آئی فون کے سٹور میں تو ایسا نہیں ہوتا مگر اینڈرائڈ فون میں وہ سٹور پر جاتے ہیں۔ ایپس ڈاؤن لوڈ کرتے ہیں۔ وہاں مختلف Permissions درکار ہوتی ہیں۔ تو بچوں نے چونکہ گیمز کھیلنی ہوتی ہیں تو وہ تمام Permissions کو او کے کردیتے ہیں۔ تو Application Infect ایک Malware ہوتا ہے جو آپ کے فون کا سارا کنٹرول لے لیتا ہے۔
سوال: Cyber Bullying آج کل بہت عام ہوتی جارہی ہے۔ یہ کیا ہے؟
جواب: ہوتا یہ ہے کہ بچوں نے یا نوجوانوں نے مختلف سوشل میڈیا پلیٹ فارمز پر اکاؤنٹ بنایا ہوتا ہے اور اس کو استعمال کر رہے ہوتے ہیں۔ ان اکاؤنٹس پر Attackers یا Predators فیک اکاؤنٹس کے ذریعے آتے ہیں۔ان کو بتاتے ہیں کہ ہم آپ کے ہم عمر ہیں۔ ان سے بات چیت کر کے جانتے ہیں کہ بچے کی دلچسپی کس میں ہے۔
پھر ان سے وہ ان کے پسندیدہ موضوع پر بات کرتے ہیں اور ان کا اعتماد حاصل کرتے ہیں۔ پھران کو کچھ ا ی میلز یا Links بھیجتے ہیں۔ یا کہتے ہیں کہ ایپس انسٹال کرلیں۔ اس سے ان کے پاس فون کا کنٹرول آجاتا ہے۔ اس کی وجہ سے ان کا کوئی بھی ڈیٹا ان کے پاس آ جاتا ہے۔ یا کوئی ایسی انفارمیشن جن سے وہ بچوں کو بلیک میل کر سکیں وہ لے لیتے ہیں۔ اس کی وجہ سے ہم یہ تجویز کرتے ہیں کہ اگر آپ بچوں کو فون دیں تو اس کی باقاعدہ نگرانی کریں۔ اب تو جدید فونز میں یہ سہولت ہیکہ اگر ہر ایپ پر لاک نہیں لگا سکتے تو کم از کم مین سٹورز پر پرمیشنز (Permissions) لگا سکتے ہیں۔اس پر Parental Control لگائیں تا کہ والدین کی اجازت اورعلم کے بغیر کچھ بھی ڈاؤن لوڈ نہ ہوسکے۔
سوال: کیا آر ٹیفیشل اینٹیلی جینس کی وجہ سے انٹر نیٹ پر خطرات کا سامنا ہو سکتا ہے؟
جواب: خطرات تو بہت ہیں اور ان کی نوعیت مختلف ہے۔ جب موبائل فونز نہیں تھے تو ٹارگٹس محدود تھے جب فونز آ گئے تو ٹارگٹس بڑھ گئے۔ مواقع بھی بڑھ گئے۔ آج کل ہم اے۔ آئی کا بہت سنتے ہیں کہ اے۔ آئی نے یہ کردیا ، وہ کر دیا۔ اے۔ آئی کے آنے سے جہاں سیکیورٹی بہتر ہوئی وہیں اس نے Attackers کے لیے آسانی بھی پیدا کر دی ہے کیونکہ وہ اے۔ آئی کو استعمال کر کے کافی ایڈوانس لیول پر جا کر پروفائل بنا سکتے ہیں۔ مثلاً اگرانہو ں نے کسی انسان کی شناخت کو کاپی کرناہے تو بجائے خود بنانے کے وہ اے آئی کی مدد سے زیادہ بہتر اور حقیقی پروفائل بنا سکتے ہیں۔ اب تو سننے میں یہ آرہا ہے کہ اے۔ آئی کی مدد سے بہتر Malware بنایا جاسکتا ہے اور اس کو Deduct بھی نہیں کیا جا سکے گا۔
سوال: اگرایک عام آدمی موبائل فون، انٹرنیٹ یا ای میل کا استعمال کر رہا ہے تو اسے کن کن چیزوں کا دھیان رکھنا چاہیے
جواب: اگر موبائل صارف کی بات کریں تو سب سے پہلے ا س کی حفاظت کاذریعہ پاس ورڈ ہے۔ ا یک مضبوط اور منفرد پاس ورڈ رکھیں۔ اگر آپ کوئی منفرد پاس ورڈ نہیں رکھ سکتے تو پھر کوئی ایک طویل جملہ پاس ورڈ بنائیں جس کو آپ یاد رکھ سکیں۔ اور اس جملے میں سمال لیٹرز، کیپیٹل لیٹرز، نمبرز ، مخصوص کیریکٹرز شامل کریں کیونکہ جتنا لمبا پاس ورڈ ہو گا اس کو کریک (Crack)کرنا اتنا ہی مشکل ہو گا۔
اگر آپ آسان پاس ورڈ رکھیں گے یا ایسا پاس ورڈ رکھیں گے جس کو جاننا آسان ہے تو پھر مسائل بڑھ جاتے ہیں۔ مثلاً کچھ لوگ اپنی تاریخ پیدائش، شہرکا نام ، اپنے والدکا نام یا اے بی سی یا پھر ایک دو تین وغیرہ رکھ لیتے ہیں۔ ا س طرح کے پاس ورڈ بہت عام ہیں اور یہ جلدی اوپن کیے جاسکتے ہیں۔ کیونکہ جب پاس ورڈز پر Attack کیا جاتا ہے تو ڈکشنریز استعمال ہوتی ہیں ، تیار ورڈ لسٹ (Word List)ہوتی ہے جو استعمال کی جاتی ہے۔ کیونکہ سوشل انجینئیرنگ کے ذریعے ان کو آپ کا نام پتہ چل جاتا ہے۔ پاس ورڈ کے لیے وہ یہی عام استعمال ہونے والے پاس ورڈ استعمال کرتے ہیں۔ تو اس لیے وہ آسانی سے پاس ورڈ جان کر آپ کا ڈیٹا لے سکتے ہیں۔
دوسرا وائی فائی استعمال کرتے وقت بہت احتیاط کریں۔ اپنے گھر کا وائی فائی استعمال کریں۔ ٹیلی کمیونیکیشن نیٹ ورک ، تھری جی ، فور جی ، کا استعمال کریں۔ فری وائی فائی اور انٹرنیٹ سے ہر ممکنہ حد تک بچنے کی کوشش کریں۔ اس کے علاوہ اپنے موبائل فون کو کبھی اوپن نہ رکھیں ، ہمیشہ پاس ورڈ لگا کر رکھیں۔ ایک اور احیتاط کرنی ہے کہ کبھی کوئی اجنبی فرد آپ کے پاس آتا ہے اور کہتا ہے کہ مجھے کال کرنی ہے ذرا اپنافون دیں تو اس سے آپ کا نمبر پتہ چل جاتا ہے۔
اس سے بچیں۔ مثال کے طور پر ایک Malware آیا تھا Pegasus تو وہ کیا تھا ۔ بنیادی طور پر وہ کمزوریوں کی وجہ سے فون کو Penetrate کر لیتا تھا۔ اس میں یہ بھی تھا کہ اگر کوئی بندہ صرف آپ کا نمبر جانتا ہے اور وہ آپ کو صرف واٹس ایپ پر مِس کال دے اور کال بھی نہ کرے تو اس کا Malware خودبخود آپ کے فون میں انسٹال ہو جاتا ہے۔Pegasus ایسا طاقتور ٹول تھا، جس کی وجہ سے وہ آپ کے فون کا سارا کنٹرول لے لیتا تھا۔ ایک عام آدمی اس کو نہیں جان سکتا مگر ایک عام آدمی یہ کرسکتا ہے کہ وہ اپنا فون نمبر ، نام ، پتہ ، بنیادی معلومات وغیرہ ہر جگہ نہ دے۔ خواتین کے ساتھ اکثر ہوتا ہے کہ وہ کسی مال میں شاپنگ کے لیے گئیں۔ وہاں سیل لگی ہوتی ہے۔
وہ وہاں خریداری کرتی ہیں تو بعد میں وہ آپ سے آپ کا فون نمبر لیتے ہیں۔ ہونا تو یہ چاہیے کہ وہ نمبر اْسی مال یا ادارے کے پاس رہے مگر بدقسمتی سے ایسا ہوتا نہیں۔ وہ مارکیٹنگ ڈیپارٹمنٹ میں چلا جاتا ہے، مارکیٹنگ والے نمبر شئیر کرتے رہتے ہیں۔ تو پھر وہ ہر کسی کے پاس چلا جاتا ہے۔اس سے بچیں۔ پھر واٹس ایپ پرمختلف گروپس ہوتے ہیں اس میں آپ ایڈ ہو جاتے ہیں۔ اس سے بچیں۔ تو کوشش کریں کہ جتنی کم آپ کی انفارمیشن شئیر ہو تو آپ کے لیے فائدہ مندہے۔
سوال : اس سے تو ڈیٹا رائٹس کا سوال پیدا ہوتا ہے۔ یہ کیا ہے؟
جواب: ڈیٹا رائٹس (Personal Data Protection)کے حوالے سے انگلینڈ اور دیگرممالک میں کچھ قواعد اور ضوابط بنے ہیں۔ پاکستان میں بھی Personal Data Protection کا بِل 2023 میں پاس ہوا تھا لیکن ابھی وہ زیرِغور ہے۔اس کی منظوری ابھی تک نہیں آئی۔
اس کا مطلب ہے کہ اگر آپ اپنا ڈیٹا کسی کو دیتے ہیں تو پھر آپ کے پاس یہ حق ہونا چاہیے کہ آپ ان سے پوچھ سکیں کہ اگر آپ میرا ڈیٹا اپنے پاس رکھ رہے ہیں، تو اس کو کس مقصد کے لیے رکھیں گے، اس کو پراسس کیسے کریں گے، وہ کہاںمحفوظ ہو گا اور میرے پاس یہ حق ہونا چاہیے کہ میں اگر کچھ عرصے کے بعد آؤں تو یا تو مجھے میرا ڈیٹا واپس کر دیا جائے یا پھر اس کو ادارے کی سٹوریج سے ختم کر دیا جائے۔ تویہ حقوق اسی وقت استعمال ہوں گے جب ہمارے پاس اس طرح کے قوانین اور آگہی ہو گی۔
سوال: آج کل کلاؤڈ کمپیوٹنگ کا دور ہے۔ سارا ڈیٹا کلاؤڈ پر سٹور کیا جاتا ہے۔ سائبر سیکیورٹی میں کلاؤڈ کمپیوٹنگ میں ڈیٹا محفوظ ہے یا اس کو بھی خطرات کا سامنا ہے؟
جواب: نئی ٹیکنالوجی جب آتی ہے تو وہ سہولیات بھی دیتی ہے۔ کلاؤڈ کمیپوٹنگ آئی تو اس نے آرگنائزیشنز سے کہا کہ آپ اپنے اوپیکس کو بڑھاوا دیں۔ اب آپ کو اپنے انفراسڑکچر پر توجہ دینے کی ضرورت نہیں ہے۔ یہ اب ہم پر ہے۔ یہ ایک بڑی سہولت ہے کیونکہ آپ کے ڈیٹا سینٹرز سکڑتے چلے جا رہے ہیں کیونکہ آپ کا سارا ڈیٹا مائیگریٹ ہو رہا ہے۔ نئے سٹارٹ اَپس کے لیے یہ بہت فائدہ مند ہے۔ کیونکہ آپ کی لاگت کم ہو گئی ہے۔ کوئی انجنئیر نہیں چاہیے ، کوئی سسٹم ایڈمن نہیں چاہیے کیونکہ ہر چیز کلاؤڈ پر Maintain کی جا رہی ہے۔ کیونکہ جب بھی آپ کو سسٹم اپ گریڈ کرنا ہے تو آپ چند کلکس کے ذریعے اس کو کر سکتے ہیں۔ لیکن نئی ٹیکنالوجی کے ساتھ رِسک بھی ہے۔کیونکہ کلاؤڈ اتنا آسان اور سادہ نہیں ہے۔
اس میں کافی پیچیدگیاں ہیں۔ کیونکہ اگر کوئی بندہ کلاؤڈ کمپیوٹنگ پر کام کرتا ہے اور انسانی غلطی کی بنا پر Miss Configuration کر دیتا ہے یا کوئی سیٹنگ(Setting)کو محفوظ کرنا تھا اور وہ نہیں کر پاتا تو یہ ایک کمزوری بن جاتی ہے۔ تو کوئی اگر خدانخواستہ ا س کا منفی استعمال کرنا چاہے تو پھر آپ کا ڈیٹا یا اپلیکیشن وہ خطرے میں ہوتی ہے۔ اس تک رسائی ہو جاتی ہے۔
کلاؤ ڈ کمپیوٹنگ میں اگر ٹیلی کمیونیکیشن کی بات کروں تو اب فائیو جی ٹیکنالوجی آ گئی ہے۔ دو ، تین ، چار جی تک آپ کا جتنا کور نیٹ ورک (Core Network) ہوتا تھا اس کے اپنے ڈیٹا سینٹرز ہوتے تھے اور اسے آپ اپنے پاس رکھتے تھے۔ مگر اب فائیو جی میں کیا ہو ر ہا ہے۔ اس کا ڈیٹا اب آپ کلاؤ ڈ میں رکھ سکتے ہیں۔ ڈیٹا دو طرح کا ہوتا ہے۔ ایک ہوتا ہے سگنلنگ ڈیٹا(Signalling Data) اس میں آپ کال سیٹ اپ کرتے ہیں، ایس ایم ایس کرتے ہیں، آپ کا صارف (User) کہاں موجود ہے، اس کی بلنگ انفارمیشن ہوتی ہے۔ اور ایک ڈیٹا ہوتا ہے پیلوڈ (Payload) اس میں آپ کی آواز، جو میسج کر رہے ہیں، جو کمیونیکیشن کر رہے ہیں،وہ ساری انفارمیشن شامل ہے۔ اب فائیو جی میں یہ سہولت آ گئی ہے کہ اب اپنا سگنلنگ ڈیٹا(Signalling Data) کسی بھی ڈیٹا سینٹر سے نکال کر کلاؤ ڈ میں بھجوا سکتے ہیں۔
اس کا کور ایریا (Core Area) ڈیٹا کلاؤ ڈ کی طرف شفٹ ہو جائے گا۔ بہت سے ادارے موجود ہیں۔ یہ ٹیلی کمیونیکیشن کے لیے سہولت ہے کہ ان کے اخراجات کم ہو رہے ہیں مگر اس کے ساتھ ساتھ آپ کا ڈیٹا باہر شفٹ ہو رہا ہے اور یہ ایک رِسک ہے۔ جہاں تک کلاؤڈ کی بات ہے تو یہ وی این ایس پر چلتا ہے۔ Software Defined Network پر چل رہا ہوتا ہے۔ تو جب نئی ٹیکنالوجی آتی ہے تو نئے رسک بھی آ جاتے ہیں۔ اب سینٹرلائزیشن کا رجحان دوبارہ آ رہا ہے۔ پہلے اگر کوئی Attacker کسی ایک Router پر جاتا تھا تو اس کو ایک ایک کر کے ہر Router پر جانا ہوتا تھا تاکہ وہ Server تک پہنچ جائے۔مگر اب ایک سینٹرل کنڑولر کے ذریعے چیزوں کو چلایا جاتا ہے۔ اب اگر میں اس سینٹرل کنڑولر کو ہی Hack کر لوں تو پورا نیٹ ورک میرے کنٹرول میں آ جاتا ہے۔
سوال:Distributed Denial-of-Service (DDoS) کیا ہے ؟
جواب: کئی مرتبہ آپ کسی اٹیک کا شکار ہو جاتے ہیں اور آپ کو پتہ نہیں ہوتا۔ اس میں یہ ہوتا ہے کہ آپ کا سسٹم متاثر ہوجاتا ہے لیکن آپ کو علم نہیں ہوتا۔ آپ کا فون متاثر ہو جاتا ہے لیکن آپ کو علم نہیں ہوتا۔ پھر وہ فون اور سسٹم اٹیکرز استعمال کرتے ہیں جب انہوں نے کسی بڑی آرگنائزیشن پر اٹیک کرنا ہو یا کسی کلاؤڈ سروس پر اٹیک کرنا ہو یا کسی دوسرے ملک پر اٹیک کرنا ہو تو اس کو استعمال کیا جاتا ہے۔
سوال: یہ بتائیں کہ انفرادی سطح پر اور ادارہ جاتی لیول پر ہم سائبر حملوں سے کیسے بچ سکتے ہیں۔ اور سیکیورٹی کے حوالے سے ایک اصطلاح استعمال ہوتی ہے۔ جی آر سی (Governance Risk Control) یہ کیا ہے ؟
جواب: جی آر سی کا زیادہ تر تعلق کمپلائنس سے ہے یا ڈاکومینٹیشن کے حوالے سے کچھ قواعد و ضوابط کی پابندی ہے۔ چونکہ سائبرسیکیورٹی کا معاملہ ہے۔ تو لوگوں کے ذہن میں آتا ہے کہ ہیکرز ہوں گے اور ایک ان حملوں کو روکنے والی ٹیم بھی ہو گی۔ ایسا ہے بھی ، اور نہیں بھی ۔ مینیجمینٹ کے نکتہ نظر سے دیکھا جائے تو ہم نے یہ یقینی بنانا ہے کہ معلومات یا ڈیٹا کو صرف روٹر یا فائر وال کی حد تک نہیں رکھنا ہو گا۔ آپ نے پورے ادارے کے اندر ایک سسٹم کو لاگو کرنا ہوتا ہے۔
جیسے میں اگر 27001ISO کی بات کروں تو یہ ایک معیار ہے ۔ یہآٓپ کے آفس کے گارڈ سے لیکر آپ کے سی ای او کے لیپ ٹاپ تک سیکیورٹی کو یقینی بنائے گا۔ تو یہ آپ کے ادارے کی ہر سطح کی سیکیورٹی کو دیکھے گا اور بتائے گا کہ کہاں کہاں سیکیورٹی کو دیکھنے کی ضرورت ہے۔ ہرا دارے کی اپنی ضروریات اور طریقہ کار ہے۔آپ کو اپنی ضروریات کے مطابق اس کو بنانا اور لاگو کرنا ہوگا۔ اب جی آر سی میں کیا ہے۔ کہ آپ کے ادارے کے سربراہ جو شاید تیکنیکی طور پر اتنے ماہر نہیں ہوں گے مگر ان کے پاس ویژ ن ہو تا ہے کہ اپنے ادارے کو کیسے محفوظ کرنا ہے۔ اپنی انفارمیشن کو محفوظ بنانا ہے، اپنے ڈیٹا سنٹر کو بچانا ہے یا اپنے Assets کو محفوظ کرنا ہے۔
تو وہ اس کے لیے اپنے چیف انفارمیشن سیکیورٹی آفیسر کی خدمات لیتے ہیں کہ ہمیں کوئی حکمت عملی یا پلان بتائیں کہ ہم اپنے ادارے کو کیسے محفوظ بنائیں۔ تو پھر وہ ایک مکمل سسٹم کو فالو کرتے ہیں جو عالمی معیار کا ہوتا ہے۔ اس میں بنیادی اہمیت کا حامل پہلو رِسک اسسیمینٹ (Assessment Risk ) کا ہوتا ہے جس کو اکثر ادارے نظرا نداز کر دیتے ہیں۔ میری ذاتی رائے ہے کہ جب بھی آپ اپنے ادارے میں سیکیورٹی کو یقینی بنا نا چاہ رہے ہیں تو سب سے پہلے رِسک اسسیمینٹ(Assessment Risk ) کروائیں۔ اس میں کیا ہوتا ہے کہ آپ کے ادارے کے تما م Assets خواہ وہ ڈیجیٹل ہوں ، نان ڈیجیٹل ہوں، ملازمین ہوں، انفراسٹرکچر ہو، دفتر کی عمارت ہو، دفتری سامان ہو، ان سب کا جائزہ لیتے ہیں کہ ان کو کس کس قسم کے خطرات ہو سکتے ہیں یا ان میں کہاں کہاں کمزوریاں ہیں۔ پھر بعد میں اس کا Treatment Plan ہوتا ہے کہ یہ خطرات تھے اور ہم نے اس کا یہ حل نکالا ہے۔
اگر دفتر کی ورکنگ کو سب لوگ دیکھ رہے ہیں تو اس میں Isolation کو ڈالا جا سکتا ہے۔ تا کہ سب لوگ نہ دیکھ پائیں۔ آئی ٹی ڈیپارٹمینٹ میں کام کرنے والے کی رسائی جی ایم یا مینیجر لیول تک نہیں ہونی چاہیے۔ پھر جو ڈیٹا ہے وہ Readable یا Clear Text میں نہیں ہونا چاہیے۔ اس کو Encrypted صورت میں ہونا چاہیے۔ سیکیورٹی کی مثال پیاز کی مانند ہے۔ جس طرح پیاز کی مختلف پرتیں ہوتی ہیں۔اسطرح سیکیورٹی کی مختلف تہیں ہوتی ہیں۔ ہر تہہ کی اپنی سیکیورٹی ہوتی ہے۔
سوال : آپ نے حالیہ عرصے میں کسی سیکیورٹی تھریٹ کا مشاہدہ کیا؟ وہ کہاںسے آیا اور کیا خطرات تھے؟
جواب: اب پاکستان میں بہت زیادہ سافٹ وئیر ڈیویلپمینٹ ہو چکی ہے۔ اور یہ بہت بہتر ہے اور اچھا کام ہو رہا ہے۔ ہمارے ڈیویلپر بہت اچھے، قابل اور ذہین ہیں۔ مگر انہیں سائبر سیکیورٹی کی آگہی نہیں ہے۔ ایک کنسیپٹ ہے سیکیور کوڈنگ (Coding Secure ) ۔ ان کا رجحان Secure Software Developmentکی طرف نہیں ہے۔ نوجوان متحرک اور ذہین ہیں مگر ڈیویلپمینٹ کرتے وقت وہ ٹائم لائن کو ذہن میں رکھ کر چلتے ہیں، مگر سیکیورٹی فیچر کو نظرانداز کر دیتے ہیں۔
اگر ادارے پروڈکٹ کو لانچ کرنے سے پہلے اس کی اسیسمینٹ کروا لیں تو اس کے Bugs کو فِکس کیا جا سکے گا۔ جب بھی آئی ٹی کا کوئی سلوشن لگاتے ہیں تو ٹا پ مینیجمیٹ کو یہ ہوتا ہے کہ اس سے آمدنی ہو گی۔ تو سیکیورٹی کے Return of Investment کو مینجمنٹ کے سامنے پیش کرنا سیکیورٹی ایکسپرٹ کے لیے ایک چیلنج ہے۔ ان کو قائل کرنا ہے کہ آپ نے ہمیں اتنی رقم دینی ہے جو ہم نے سیکیورٹی پر لگانی ہے، اور یہ رقم آپ کو کوئی ریونیو ریڑن نہیں کرے گی۔ لیکن یہ آپ کو تحفظ فراہم کریگی۔