வியாழன், 7 டிசம்பர், 2017

savukkuonline.:எனது ஆதார். எனது அச்சம்... மக்கள் கொத்தடிமைகள் ஆவதை தவிர்க்க முடியாது?

Jeevanand Rajendran ஆதார் கார்டு வாங்கும் போது அதன் தாக்கம் எந்த அளவு இருக்கும் என்று எண்ணியது இல்லை பின்பு அதை பின்புலமாக வைத்து eKYC , டிஜி லாக்கர் , eSign போன்ற மற்ற சேவைகள் வரத்துவங்கியதும் அதன் மேல் ஆர்வம் கூடியது. இந்திய ஸ்டேக் இணையதளதில் அதன் API டாக்குமெண்டஷன் அலசி பார்க்க ஆரம்பித்தவுடன் அதன் மேல் ஒரு ஈர்ப்பு வந்து ஆதார் பற்றிய செய்திகளை கூர்ந்து பார்க்க தொடங்கினேன்.
ஆதாரின் பயன்பாடு இப்பொழுது எல்லா இடங்களிலும் தேவைப்படுகிறது, சிம் கார்டு வாங்க, வங்கி கணக்கு துவங்க, வரி செலுத்த என தொடங்கி நீட் தேர்வு எழுதும் வரை அனைத்திற்கும் அது கட்டாயம் ஆக்கப்படுகிறது. அரசாங்கம் நம் ஆதார் தகவல்கள் அனைத்தும் மிகுந்த பாதுகாப்புடன் காக்கப்படுகிறது என்று சொல்லுவதை பெரும்பாலான மக்கள் நம்புகின்றனர். எத்தனை பாதுகாப்பு வைத்தாலும் அதிலுள்ள ஓட்டையை எப்படி உடைப்பது என்று ஒரு பக்கம் முயற்சித்து கொண்டிருக்கும் ஹாக்கர்கள். மறுபுறம் தகவல் தொழில்நுட்பம் இன்னும் சென்றடையாத கடைக்கோடி  இந்தியன், இவர்களுக்கு நடுவே எப்படி பாதுகாப்பை உறுதி செய்வது? இதில் உள்ள பிரச்சனைகள் என்ன?

ஆதார் பதிவு செய்ய ID Proof , Address Proof  மற்றும் மொபைல் நம்பர் தேவை அதை தாண்டி நம் கைரேகை மற்றும் கருவிழி படலம் அதனுடன் இணைக்கப்படுவதால் ஆதார் உறுதித்தன்மை வாய்ந்தது என நம்புகிறோம்.  ஆதாரை அடிப்படையாக கொண்ட eKYC எப்படி வேலை செய்கிறது என்பதை பார்ப்போம். 3 வகையான முறையில் நம் அடையாளம் உறுதி செய்ய நாம் eKYC முறையை பயன்படுத்தலாம்.
  1. Biometric Authentication
  2. OTP Authentication
  3. Demographic Authentication
இதில் ஏதோ ஒன்றினை பயன்படுத்தி நம் அடையாளத்தை உறுதி செய்யலாம், எந்த திட்டத்திற்கு எந்த முறையை பயன்படுத்த வேண்டும் என்ற தெளிவான வரைமுறை இல்லை. அது ஒரு Fail Safe அம்சம், ஒன்று உபயோக படுத்த முடியவில்லை என்றால் மற்றொன்று. இதில் ஒவ்வொன்றிலும் உள்ள சிக்கல்களை பார்ப்போம்.
OTP Authentication: 
இதில் உங்கள் ஆதார் எண் மற்றும் மொபைல் நம்பர் இவை இரண்டையும் சரியாக கொடுத்தால், உங்கள் எண்ணிற்கு குறுஞ்செய்தி மூலம் ஒரு முறை பயன்படுத்தும் கடவுச்சொல் அனுப்பப்படும், அதை பதிவேற்றினால்  உங்கள் அடையாளம் சரிபார்க்க பட்டு உங்களுடைய புகைப்படம், முகவரி, பிறந்த தேதி, ஈமெயில் ஐடி போன்றவை PDF ஆக தரவிறக்கம் செய்யப்படும். இதை ஆதாரமாக வைத்து உங்கள் அடையாளம் உறுதி செய்யப்படும்.
இதில் உள்ள ஒரு சிக்கல் என்னவென்றால் மொபைலை திறக்காமலே அதில் வரும் OTPயை பெரும்பாலான android போனில் தெரிந்து கொள்ளலாம். புஷ் நோட்டிபிகேஷன் மூலம் அனுப்பப்படும் OTP உங்கள் போனின் நோட்டிபிகேஷன் பாரில் இருக்கும், அதை நீங்கள் lock screenல் இருந்து ஃபோனை unlock செய்யாமல் படிக்க முடியும்.
ஒரு செல்போன் கம்பெனி ஊழியரை கையில் போட்டுகொண்டால் போதும் உங்கள் victim ஒரு வயதான NRIயின் பெற்றோராக இருக்கலாம் அல்லது உங்களுடன் பணிபுரியும் ஊழியராக இருக்கலாம், அவரின் ஆதார் எண் மற்றும் அவர்களின் மொபைல் போன் உங்களிடம் ஒரு 10 நிமிடம் இருக்கும் படி பார்த்துக்கொண்டால் அவர் பெயரில் போலி சிம் கார்டு வாங்கிவிட முடியும். இது என்ன பெரிய விஷயமா? முன்னாடியும் ஏதோ ஒரு அட்ரஸ் ப்ரூப் குடுத்து இத வாங்க முடியும்னு நினைப்பீங்க. ஆனால் முன்னாடி அது உங்கள் தவறல்ல என வாதாட முடியும். இப்பொழுது அது கடினம் ஏன் என்றால் இது பல அடுக்கு பாதுகாப்பு முறை, அதில் உங்கள் அடையாளங்களை (Digital footprint)  விட்டுச்சென்றிருக்கிறீர்கள்.
டிஸ்கி: ஆண்ட்ராய்டு போன் செட்டிங்ஸ் “Hide sensitive notification content” enable செய்து விடுங்கள். default செட்டிங் “show all notification content”.
Demographic Authentication:
OTPயை விடவும் மிக எளிதான முறை, செல்போன் இல்லாத மக்கள் தங்கள் அடையாளத்தை உறுதி செய்ய பயன்படுத்த கூடியது. பெரும்பாலும் 100 நாள் வேலைவாய்ப்பு திட்டத்தில் பயன் பெறுவோர் இதை தான் பயன்படுத்துகிறார்கள்.இதில் உங்கள் ஆதார் எண்ணுடன், பதிவு செய்யும் போது கொடுத்த பெயர் மற்றும் முகவரி இதை இரண்டும் அளித்தால் மட்டும் போதும். அதிகப்படியாக இந்த முறையை பயன்படுத்தி அடையாள திருட்டு நடைபெறுகிறது.
Biometric Authentication:
இதை தான் நாம் மிகுந்த பாதுகாப்பு முறை என்று நினைத்திருந்தோம். இதுவரை இதை பயன்படுத்தி வேறொருவரின் அடையாளத்தை திருட வில்லை, ஆனால் இந்த முறையை பயன்படுத்தி போலி ஆதார் தயார் செய்ய முடியும், இந்த செய்தியை பாருங்கள்  இணைப்பு
இதில் ஆதார் பதிவுமையத்தில் வேலை செய்யும் மேனேஜர் தன் உடற்கூறை பயன்படுத்தி வெவ்வேறு ஆதார் உருவாக்கி உள்ளான், இது எப்படி சாத்தியம்? ஏற்கனவே பதிவு செய்யப்பட்ட உடற்கூறு இருந்தால் இன்னொரு முறை பதிவு செய்யும் பொழுது அது தெரிந்துவிடாதா? தெரிய வாய்ப்பு இல்லை .
பயோமெட்ரிக் authentication எப்படி வேலை செய்யும் என்றால்,  உங்கள் ஆதார் எண்ணை டேட்டாபேஸ்ஸில் உள்ள மற்ற ஆதார் எண்ணுடன்  ஒப்பிட்டு ஒத்துப்போகும் ஆதார் எண்ணின் படி பதிவு செய்யப்பட்ட உங்கள் கைரேகையை எடுத்து இப்பொழுது குடுத்த கைரேகையுடன் ஒப்பிட்டு பார்க்குமே தவிர நீங்கள் குடுக்கும் கைரேகையினை DBயில் உள்ள அனைத்து கைரேகையுடன் சரி பார்த்து மேட்சிங் செய்து , இதன் காரணம் 60 கோடி கைரேகையுடன் ஒரு கைரேகை ஒப்பிட்டு பார்க்க தேவைப்படும் காலஅவகாசம். இந்த இடைவெளி தான் மேல் நடந்த போலி ஆதார் பதிவிற்கு காரணமாக இருக்கலாம்.  ஏதாவது பேட்ச் ஜாப் மூலம் டூப்ளிகேட் கண்டறியப்படுகிறதா என்ற விளக்கம் technical specஇல் இல்லை.
கைரேகையில் உள்ள பிரச்சனை என்னவென்றால் அதை சரி பார்க்கும் போது சரி/தவறு என்ற முடிவை தராது, 70% 50% ஒத்துப்போகிறது போன்ற சதவீதத்தையே கொடுக்கும். இதற்கு தட்பவெட்பம், வேலை முறை, வயதாவது, கருவியின் தரம் என பல காரணம் உண்டு. இதை பயன்படுத்தி கைரேகையை பிரதி எடுத்து இதை ஹேக் செய்ய முடியும்.  இணைப்பு
3d பிரின்டிங் போன்ற தொழில்நுட்ப வளர்ச்சியில் இதெல்லாம் சாத்தியமே. இந்தியாவை பொருத்த அளவு பிரதி எடுக்க வேண்டிய அவசியம் இல்லை, பலமுறை UIDAI DB ஹேக் செய்யப் பட்டு நம் தகவல்கள் அந்தரத்தில் மிதக்கிறது.
சிலநாட்கள் முன்னாள் தோனியின் ஆதார் எண் மற்றும் அவரின் டெமோகிராபிக் தகவல்கள் வெளியாகின, அதை பயன்படுத்தி சிம் கார்டு வாங்கி கங்குலிக்கு தொல்லை கொடுத்தால்?
அல்லது அதே ஆண்டு பிறந்த அதே பெயருடைய தோனி என்ற நபரின் ஆதார் எண்ணை பயன்படுத்தி MS Dhoni தன் PAN கார்டுடன் இணைத்தால் , வருமான வரி கண்கானிப்பில் இருந்து தப்பிக்கலாம். ஆதார் – பான் இணைப்பை நினைவுகூர்ந்து பாருங்கள், உங்களின் பெயர்/DOB இதை மட்டுமே கேட்கும், exact name match ஆகும் பட்சத்தில் இணைந்து விடும். Partial Name match ஆகும் பட்சத்தில் OTP அனுப்பும்.
சிறிது நாட்கள் முன் அபினவ் ஸ்ரீவட்சவ் என்ற நபரின் மீது பெங்களூரு காவல் நிலையத்தில் UIDAI ஒரு FIR பதிவு செய்தது.  இணைப்பு  குற்றம் என்னவென்றால் யாரும் எளிதில் பயன்படுத்த கூடிய  eKYC செய்யும்  ஆண்ட்ராய்டு ஆப் தயாரித்தது. இதை உபயோகித்து யார் வேண்டுமானாலும் யாருடடைய ஆதார் விபரங்களையும் பெற முடியும். ஒருவருடைய  ஆதார் எண், முழு பெயர் அல்லது ஆதார் எண் , மொபைல் எண் இது மட்டும் இருந்தால் போதும் புகைப்படம், விலாசம், DOB அனைத்தையும் எடுத்து விடமுடியும். இதில் மிகப்பெரிய சிக்கல் இதை eKYCக்கு  பயன்படுத்த முடியும்.
CSDL குறிப்பிடும் eKYC பயன்
UIDAI இணையத்தளத்தில் ஆதென்டிகேஷன் விவரிக்கும் படம்

இதில் கவனமாக பார்த்தால் ஆதென்டிகேஷன் செய்யும் போது நீங்கள் கொடுக்கும் விபரம் சரி அல்லது தவறு என்று மட்டுமே சொல்ல வேண்டும், மற்ற விபரங்கள் வெளியிட கூடாது. ஆதார் கேள்வி பதில் பிரிவிலும் இதை உறுதி செய்கின்றனர் .  இணைப்பு
ஆனால் அந்த app screenshot எல்லா விபரங்களையும் அளிக்கிறது
இதில் மற்றொரு சிக்கல் தேடப்படும் நபருக்கு அவர் தகவல் தேடப்பட்டதே தெரியாது அல்லது தகவல் கிடைத்த பின் தெரியவரலாம். இது ஆதார் சாப்ட்வேரில் ஏற்பட்ட பிழையா அல்ல உள்ளொன்று வைத்து வெளியொன்று பேசி அதை மாற்றி பயன்படுத்தும் போது ஏற்பட்ட விபரீதமா?
அபினவ் ஸ்ரீவட்சவா Qarth என்ற ஸ்டார்டப் கம்பெனியின் cofounder பின்னர் இந்த  கம்பெனியை ஓலா டாக்ஸி நிறுவனம் வாங்குகிறது. ஒரு தனியார் நிறுவனம் எப்படி மிகவும் பாதுகாப்பான CIDR டேட்டாபேஸ்இல் இருந்து ஆதார் தகவல்களை எடுத்தது என்பது கோலிவூட் படத்துக்கு இணையான சுவாரசியமான கதை.
சில நாட்கள் முன்பு ஆதார் எண்ணை பயன்படுத்தி ரிலையன்ஸ் ஜியோ சிம் கார்டு விற்பனை செய்யப்பட்டது , இந்தோரில் விற்பனையாளர்கள் சிலர் வாடிக்கையாளரின் கைரேகையை இருமுறை பயன்படுத்தி அவர்கள் பேரில் சிம் கார்டு வாங்கி மற்றவர்களுக்கு அதை அதிக விலைக்கு விற்று கைது செய்யப்படுகின்றனர்.  இணைப்பு
இப்படி பல சிக்கல்கள் இருக்கும் போது அவசரகதியில் எல்லாவற்றிற்கும் ஆதார் கட்டாயம் ஆக்கப்படுவது மிக பெரிய சிக்கலில் தள்ளலாம்.
ரேஷன் மானியம், SC, ST, பிற்படுத்தோர் உதவி தொகை, முதியோர் பென்ஷன் இப்படி சமூகத்தில் கீழ்ப்பகுதியில் இருப்பவர்கள் பயன் பெரும் திட்டங்களில் போலிகளை அகற்ற ஆதார் கட்டாயம் ஆக்கப்படுகிறது என்று திணிக்கும் அரசு, அதில் உள்ள குறை நிறைகளை ஆராயாமல் அவசர கதியில் செய்வதால் உண்மையாக பயனடையும் மக்களும் நிராகரிக்க படுகின்றனர்  இணைப்பு 1, இணைப்பு 2
2011ஆம் ஆண்டு எடுக்க பட்ட மக்கள் தொகை கணக்கின் படி ஹைதெராபாத் மக்கள் தொகை 40.10 லட்சம் தற்போது வரை ஆதார் விணபதிவர்கள் எணிக்கை 47.98 லட்சம் ஆனால் ஆதார் என் பெற்றவர்கள் எண்ணிக்கை 49.93 லட்சம்.  இணைப்பு    இதை விட கூத்து ஆஞ்சநேயருக்கு ஆதார் என் வழங்குவது, மாட்டுக்கு ஆதார் என் வழங்குவது என்று செய்திகளில் காண்கிறோம். இது எப்படி போலிகளை களையும் திட்டமாகும்?
ஜார்கண்ட் மாநிலத்தில் ஆதார் எண்ணை குடும்ப அட்டையில் இணைக்காத காரணத்தினால், அரிசி வாங்க இயலாத ஒரு பிற்படுத்தப்பட்ட குடும்பத்தை சேர்ந்த 11 வயது பெண் குழந்தை இறந்தது. இதை போலவே பல குடும்பத்தின் குடும்ப அட்டை நிராகரிக்க பட்டுள்ளது, ஆகஸ்ட் 21 ஆம் தேதி மாவட்ட ஆட்சியரிடம் NGO முறையிட்டு குடும்ப அட்டை வழங்க உத்தரவு பெறப்பட்டது. ஆனால் அது வந்து சேரும் போது அந்த குழந்தை இறந்து இரண்டு வாரங்கள் கடந்திருந்தது. இதை மறைக்க அவர் மலேரியாவில் இறந்தார் பசியால் அல்ல என்று அதிகாரிகள் கூறுகின்றனர்.   இது போல நம் கவனத்துக்கோ, ஊடகங்களின் கவனத்துக்கோ வராத பல கதைகள் நடந்து கொண்டுதான் இருக்கின்றன.
ஆதார் எண் இருந்தாலும் கூட மிகவும் பிற்படுத்த பட்ட பகுதிகளில் அதை வங்கி கணக்குடனோ, குடும்ப அட்டையுடனோ இணைக்க பெரும் பாடாக இருக்கிறது. இன்டர்நெட் இல்லை, செர்வர் டவுன் போன்ற பல காரணத்தினால் பெரும் அவதிக்கு உள்ளாகி மக்கள் செய்வதறியாது திகைக்கின்றனர்.
சென்னை போன்ற பெரு நகரங்களில் பதிவு மையம் அதிகம் ஆனால் கிராமங்களில், மலை பகுதிகளில் ஒரு நாளுக்கு 30 எண்கள் மட்டுமே பதிவு செய்ய முடியும் அதற்கு டோக்கன் வாங்க முந்தின நாள் இரவில் இருந்து காத்திருந்தால் ஒரு மாதத்திற்கு பிறகு அப்பாய்ன்மெண்ட் கிடைக்கும். எதோ ஒரு காரணத்தினால் கொடுக்கப்பட்ட நாளில் செல்ல முடியவில்லை என்றால் இன்னும் பல மாதங்கள் உங்களால் பதிவு செய்ய முடியாது.
நீங்கள் யாருடன் அதிகம் தொடர்பு கொள்கிறீர்கள் என்ற விபரம் உங்கள் மொபைல் கம்பனிக்கு தெரியும், நீங்கள் வாங்கும் சம்பளத்தின் விபரம் நீங்கள் கணக்கு வைத்திருக்கும் வங்கிக்கு தெரியும், உங்கள் குடும்ப உறுப்பினர்கள் விபரம் குடும்ப அட்டையில் இருக்கும் இப்படி சிதறி கிடக்கும் தகவல்களை ஒருங்கிணைத்தல் அது கசியும் போது உங்களை பற்றிய அணைத்து விபரங்களும் ஒருவன் கைக்கு சென்று விடும், அது எத்தகைய ஆபத்தை விளைவிக்கும்.
போன வருடம் 57 மில்லியன் வாடிக்கையாளர், டிரைவர் தகவல்கள் உபேர் கம்பெனியிடம் இருந்து ஹேக் செய்யப்பட்டது  அதை மூடி மறைக்க ஹாக்கர்களுக்கு 1 லட்சம் அமெரிக்க டாலர் கொடுக்க பட்டது, 1 வருடம் முடிந்த பின்பே இது தெரிய வருகிறது. நினைத்து பாருங்கள் கசிந்த டிரைவர் கடவுச்சொல்லை பயன்படுத்தி லாகின் செய்து ஒரு வாடிக்கையாளரை கடத்தி சென்றுவிட்டால் ?
பெரும்பாலும் நாம் ஒரே கடவு சொல் தான் பெரும்பாலான வலைத்தளங்களில் உபயோகிப்போம். உங்கள் உபேர் லாகின் ஐடி, ஜிமெயில் முகவரியாகவும்  கடவு சொல்லும் ஒன்றாக இருந்தால் உங்கள் மெயில், கூகிள் கிளௌடில் உங்கள் புகைப்படங்கள், உங்கள் ஆண்ட்ராய்டு போன் பேக்கப் என அனைத்தும் ஹேக் செய்யப்படும்.
இப்படி பல்வேறு பிரச்சனைகள் இருப்பது சாதாரண மனிதனுக்கு தெரிய வாய்ப்பில்லை எனினும் அவனின் நன்மைக்காக என இந்த திட்டம் “உனது ஆதார் உனது அதிகாரம் ” என்று  அவனிடம் திணிக்கப்படுகிறது.
கண்ணின் கருவிழி, விரல் ரேகை, உடல் அடையாளங்கள் என்று ஒவ்வொரு குடிமகனின் விபரங்கள் அனைத்தையும் சேகரித்து வைக்கும் அரசாங்கத்தின் நோக்கம் நமக்கு சேவைகள் வழங்கவா அல்லது நம்மை உளவு பார்க்கவா என்ற தார்மீகக் கேள்விகள் ஒரு புறம் இருந்தாலும், ஆதார் தொடர்பான விபரங்கள் அனைத்தையும் சேகரித்து, தனியார் நிறுவனங்கள் தங்கள் வியாபாரத்தை பெருக்கிக் கொள்வதற்கான உத்தியாக இது பயன்படுகிறதா என்ற கேள்வியையும் உதாசீனப்படுத்த முடியாது.
இது போல ஆதாரில் உள்ள அடிப்படை சிக்கல்கள் பல தீர்க்கப்படாமல் இருக்கும் நிலையில், உச்சநீதிமன்றத்தில் வழக்கு நிலுவையில் இருக்கையிலேயே, அதை மீறி, அனைத்து சேவைகளுக்கும் ஆதாரை கட்டாயமாக்கும் அரசின் நோக்கம்தான் பலத்த சந்தேகத்தை ஏற்படுத்துகிறது.

கருத்துகள் இல்லை:

கருத்துரையிடுக