Global Editions

پاکستان میں سائبرسیکورٹی کےمسائل

پچھلے سال اکتوبر میں بینکنگ کے سسٹم کے اب تک کے سب سے بڑے سکمنگ حملے کا شکار ہونے کی رپورٹیں سامنے آنے کے بعد مرکزی بینک نے جامع ہدایات جاری کیں۔ لیکن کیا یہ کافی ثابت ہوں گی؟

یہ کہنا غلط نہيں ہوگا کہ پاکستانی عوام کو بینکوں پر بھروسہ نہيں ہے۔ 2017ء میں سٹینڈرڈ چارٹرڈ بینک اور آزاد ریسرچ ایجنسی گلوب سکین (GlobeScan) کے ایک مشترکہ مطالعے کے مطابق، 50 فیصد ابھرتے ہوئے امیر پاکستانی بینکوں کے بجائے گھر میں ہی نقد رقم رکھنا پسند کرتے ہيں۔

حال ہی میں اے ٹی ایم کے فریب، فشنگ اور ڈارک ویب پر لوگوں کی بینکنگ کی معلومات فروخت ہونے کی رپورٹیں منظر عام پر آنے کے بعد ممکن ہے کہ اس رجحان میں تبدیلی نہ آئے۔ اکتوبر 2018ء میں پاکستان کی تاریخ کا سب سے بڑا اجتماعی سکیمنگ کا حملہ پیش آیا تھا، جس کے نتیجے میں کراچی میں واقع پاکستان کمپیوٹر ایمرجنسی رسپانس ٹیم (PakCERT) نامی سائبر سیکورٹی گروپ کے مطابق 31 اکتوبر تک 22 پاکستانی بینکوں کے جاری کردہ 22 ہزار ڈیبٹ اور کریڈٹ کارڈز کی تفصیلات ڈارک ویب پر فروخت ہوچکی تھیں۔ اس حملے کو ایڈوانسڈ پرسسٹنٹ تھریٹ (Advanced Persistent Threat – APT) کے زمرے میں شامل کیا گیا تھا، جس کا مطلب ہے کہ ہیکرز بینکوں کے فائروالز کو پار کرکے کافی دیر تک ان کے سسٹمز میں رہنے میں کامیاب ہوئے تھے۔ پاک سرٹ کی رپورٹ کا پاکستانی بینکس کو لاحق سائبرکرائم کے خطرے کو اجاگر کرنے میں بہت بڑا ہاتھ تھا، لیکن یہ حملہ اپنی نوعیت کا پہلا واقعہ نہيں تھا۔ وزارت داخلہ نے 19 دسمبر 2018ء کو سینیٹ کو مطلع کیا کہ2018ء کے ابتدائی دس ماہ کے دوران آن لائن فریب کے 1,244 واقعات کی اطلاعات موصول ہوئی تھیں۔ ان میں سے 524 نے عمومی سوالات اور 35 نے ایف آئی آرز کی شکل اختیار کی، جبکہ فیڈرل انویسٹی گیشن ایجنسی کا سائبر کرائم ونگ 463 کیسز کی تحقیق کررہاہے۔صرف 76 ملزمان کو گرفتار کیا گيا۔

بظاہر بینکنگ سسٹمز پر پاکستانی عوام کے بچے کچے بھروسے کو قائم رکھنے کے لیے سٹیٹ بینک آف پاکستان نے اس حملے کی وسعت کے متعلق رپورٹیں مسترد کردیں۔ ان کے مطابق انہیں پاک سرٹ کی رپورٹ سے ایک ہفتہ پہلے ہی اس حملے کے متعلق مطلع کردیا گیا تھا، اور انہوں نے پہلے ہی تمام بینکس کو سائبر سیکورٹی اقدام کو مزيد بہتر بنانے کی ہدایات جاری کردی تھیں۔ سٹیٹ بینک نے مزيد بتایا کہ صرف بینک اسلامی کا آن لائن سسٹم متاثر ہوا تھا۔ ایک پریس ریلیز کے مطابق “27 اکتوبر 2018ء کے حملے کے علاوہ، جس میں صرف ایک ہی بینک کا آئی ٹی سیکورٹی کا نظام متاثر ہوا تھا، کسی بھی حملے کی اطلاع موصول نہيں ہوئی ہے۔”

لیکن آگ لگ چکی تھی۔ اس واقعے کے چار ہفتے بعد سٹیٹ بینک نے تمام بینکوں کو اپنے صارفین کو فریب، سکمنگ اور دیگر اقسام کے سائبرکرائم کے خلاف تحفظ فراہم کرنے کے اقدامات کرنے کی ہدایات جاری کردیں۔ بینکوں کو اپنے کارڈ کے سسٹمز اور انٹرنیٹ بینکنگ کی کمزوریوں کی نشاندہی اور اصلاح کے لیے وسیع پیمانے پر معائنہ کرنے کے احکامات جاری کیے گئے ۔ اس کے علاوہ، بینکوں کو اپنے ان چینلز کے تھرڈ پارٹی ریویوز بھی منعقد کروانے کی ہدایات جاری کی گئی ہيں۔ نیز، بینکوں کے تمام صارفین کو بذریعہ ایس ایم ایس اور ای میل اپنے اکاؤنٹس کی تمام ٹرانزیکشنز کے متعلق بالکل مفت اطلاعات فراہم کرنے کی سہولت متعارف کروائی جائے گی، اور اکاؤنٹس کو ریموٹ طور پر فعال یا غیرفعال کرنے کی سہولت ختم کردی جائے گی۔ اب صارفین کو یہ دونوں کام کروانے کے لیے خود بینک جا کر بائیومیٹرک طور پر تصدیق کروانی ہوگی۔ بینک کے عملے کو صارفین کو مختلف اقسام کے آن لائن فریب اور سائبرسیکورٹی کے دیگر حملوں اور بینکنگ کی معلومات کو خفیہ رکھنے کے متعلق آگاہی بھی فراہم کرنی ہوگی۔ 30 جون 2019ء تک مقناطیسی پٹیاں استعمال کرنے والے بینک کے کارڈز کی جگہ ای ایم وی چپس سے آراستہ کارڈز متعارف کروائے جائيں گے، اور کارڈ جاری کرنے والے تمام بینکوں کو فریب کی فوری نشاندہی کے لیے ریئل ٹائم فریب کی نگرانی کے ٹولز اور تنبیہات جاری کرنے والے میکانزمز استعمال کرنے ہوں گے۔

پاک سرٹ کی رپورٹ کے مطابق بینک الفلاح بھی متاثر ہونے والے بینکوں میں شامل تھا۔ اس بینک کے ایک سابق ملازم کا کہنا ہے کہ اچھے بینک ہمیشہ ہی سے آڈٹ کرتے آرہے ہیں۔ وہ اے ٹی ایم کے فریب اور سکمنگ کے بارے میں بتاتے ہیں “بلیک باکس اور وہائٹ باکس ٹیسٹنگ ہمیشہ ہی سے بینکوں کی روٹین میں شامل تھے۔”

وہ مزید کہتے ہيں “جہاں تک مجھے معلوم ہے، تمام بڑے بینکس باقاعدگی کے ساتھ خطرات کے تخمینے کرتے ہيں”۔ لیکن وہ ساتھ یہ بھی کہتے ہيں کہ کچھ بینکس اپنا کام پوری طرح نہیں کرتے۔ جب ان سے پوچھا گیا کہ کیا ان کے خیال میں حالیہ سائبرسیکورٹی کے حملوں کی بنیادی وجہ بینکوں کی سیکورٹی کی کمزوری یا صارفین کی غفلت تھی، تو انہوں نے بتایا کہ اس میں کچھ حد تک دونوں عناصر کا ہاتھ تھا۔ تاہم بینک اکاؤنٹ کو فعال یا غیرفعال کرنے کے لیے صارف کی موجودگی کے متعلق سٹیٹ بینک کی ہدایات کے متعلق ان کا کہنا ہے کہ عوام کو بلاضرورت تنگ کرنے سے کوئی فائدہ نہيں ہوگا۔ وہ کہتے ہیں “بینکوں کو ایک دوسرے سے سیکھنا چاہیے اور خود سے ہی اقدام کرنے چاہیے نہ کہ ریگولیٹری اتھارٹی کا انتظار کرنا چاہیے۔”ان کے خیال میں باقاعدگی کے ساتھ سیکورٹی کی جانچ پڑتال نہ کرنے والے بینکوں کو اپنا کام ٹھیک سے کرنے کی ضرورت ہے۔

دوسرے ماہرین اس رائے سے اختلاف رکھتے ہیں۔ فنجا کے سی ای او قاصف شاہد کے مطابق اصل مسئلہ یہ ہے کہ پاکستانی بینکس اب بھی فرسودہ ڈیٹابیسز کا استعمال کرتے ہیں۔ وہ پاکستانی بینکوں کی اعلیٰانتظامیہ کے بارے میں بتاتے ہیں “وہ اب بھی پرانے زمانے ہی میں رہتے ہیں۔”ان کے خیال میں بینکوں کو ان پرانے نظاموں کو ترک کرکے اپنے ڈیٹا کو سپیشلٹی کلاؤڈز میں ذخیرہ کرنا چاہیے، کیونکہ ان ٹیکنالوجیز میں ابھرتے ہوئے ڈیجٹیل سیکورٹی کے خطرات کا مقابلہ کرنے کی صلاحیتیں موجود ہیں۔

ایک مقامی بینک کے برانچ مینیجر قاصف شاہد کی بات سے متفق ہیں۔ وہ کہتے ہيں “حقیقی حل بہت مہنگے ہوتے ہیں اور کوئی بھی مقامی طور پر اس قسم کی ٹیکنالوجی نہيں فراہم کرتا۔ لہٰذا اخراجات کو قابو میں رکھنے کے لیے بینکس اکثر ڈنڈی مار جاتے ہیں۔”

جب ہم نے بینک الفلاح کے سابقہ ملازم سے سپیشلٹی کلاؤڈز کی مدد سے پاکستان کے سائبر سیکورٹی مسائل کو حل کرنے کے متعلق پوچھا تو انہوں نے کہا “جو بھی آپ سے یہ بات کررہا ہے وہ یقینا ً کلاؤڈز کا کاروبار کرتا ہے۔” تاہم انہوں نے اعتراف کیا کہ ریموٹ سرورز ہی بینکنگ کا مستقبل ہیں اور پاکستانی بینکوں کو ایک نہ ایک دن کلاؤڈز پر منتقل کرنا ہی ہوگا۔ لیکن ان کے مطابق صرف ڈیٹا کو کلاؤڈ پر منتقل کرنا اس مسئلے کا حل نہيں ہے۔

ایک معروف بینک کے چیف انفارمیشن افسر کے مطابق مسئلے کا تعلق ضوابط سے ہے۔ وہ کہتے ہیں “تمام بڑے بینکس ڈیجیٹل ٹرانزیکشنز پر نظر رکھتے ہيں اور صارفین کی خریداری کے پیٹرنز کا تجزیہ کرتے ہیں۔ جب ہمیں کوئی بھی خلاف معمول بات نظر آتی ہے، ہم اس کا نوٹس لیتے ہیں اور صارفین کو مطلع کرتے ہیں، اور بعض دفعہ ان کے اکاؤنٹس غیرفعال بھی کردیتے ہیں۔ یہ ویزا اور ماسٹرکارڈ جیسی بین الاقوامی ادائيگی کی ٹیکنالوجی کی کمپنیوں کی ہدایات کے مطابق بھی ہے۔ تاہم اس وقت پاکستان کے تمام بینکوں میں یہ سہولیات موجود نہيں ہیں، لیکن ممکن ہے کہ سٹیٹ بینک کی نومبر میں جاری کردہ ہدایات کے بعد صورتحال تبدیل ہوجائے گی۔”

وہ مزید بتاتے ہيں کہ اگر صارفین ہی اپنی بینکنگ کی معلومات محفوظ رکھنے میں غفلت برتیں تو اچھے سے اچھا بینک بھی کچھ نہيں کرسکتا۔ تاہم ان کے خیال میں سٹیٹ بینک نے بینکوں کو اپنے صارفین کو بینکنگ کی معلومات کی رازداری کے متعلق آگاہی فراہم کرنے کو ضروری ٹھہرا کر بہت اچھا کام کیا ہے، لیکن ان کے مطابق صارفین کا رویہ تبدیل کرنے میں وقت لگے گا۔

بینکس کی طرف سے سپیشلٹی کلاؤڈ کی سہولیات یا آن سائٹ سرورز کے استعمال کے بارے میں بات کرتے ہوئے سی آئی او بتاتے ہیں کہ سٹیٹ بینک کے قواعد و ضوابط کے مطابق صارفین کے تمام ڈیٹا کو بینک کے اندر ہی ذخیرہ کرنا ضروری ہے۔ اس ڈیٹا کو بیرون ملک ذخیرہ کرنے پر خصوصی طور پر پابندی عائد ہے۔ وہ کہتے ہیں “اگر صحیح صلاحیتیں رکھنے والے افراد مل جاتے تو کوئی مسئلہ نہيں ہوتا، لیکن پاکستان میں ایسے افراد کا فقدان ہے۔ اپنے پاس موجود سرورز پر صارفین کے ڈیٹا کو منظم کرنے اور محفوظ رکھنے کی صلاحیت رکھنے والے افراد تلاش کرنا بہت مشکل ثابت ہوتا ہے۔ “ایک پاکستانی بینک کو ہیک کرنا کتنا آسان ہے؟ شاہ میر عامر، جسے کیلیفورنیا میں واقع خطرات کا تخمینہ کرنے والی کمپنی ہیکر ون (Hacker One) نے دنیا کا گیارہواں بہترین ہیکر قرار دیا ہے، کہتے ہیں کہ یہ کام بہت آسان ہے۔

وہ کہتے ہيں ‘زیادہ تر پاکستانی بینک وہی ادائيگی کے گیٹ ویز استعمال کرتے ہیں اور ان کے بنیادی بینکنگ سسٹمز کو کئی خطرات لاحق ہیں۔”وہ بتاتے ہيں کہ پاکستانی بینکوں کو ذمہ داری سے کام لینا چاہیے، یعنی خطرات نظر آتے ہی کسی حملے سے پہلے ان سے نمٹ لینا چاہیے۔ وہ مزید کہتے ہیں کہ ذخیرہ کرنے کی جگہ سے زيادہ ضروری یہ ہے کہ بینکوں کے پاس صحیح پالیسیاں موجود ہوں۔ ان کے مطابق “اگر پالیسیاں ہی صحیح نہيں ہوں گی تو اس سے کوئی فرق نہيں پڑتا کہ آپ کس قسم کا سرور استعمال کرتے ہيں۔ آپ خطرات سامنے آنے کے بعد کیا کرتے ہيں؟ وہ زیادہ اہم ہے۔”

ہم نے جن سی آئی او سے بات کی تھی، وہ اس رائے سے متفق نہيں ہیں۔ ان کا کہنا ہے کہ چھوٹے بینکس شاید وہی گیٹ ویز استعمال کرتے ہوں لیکن بڑے بینکوں کے پاس اپنے منفرد سسٹمز موجود ہیں۔ وہ مزید کہتے ہيں کہ تمام بینکس کے وہی ادائيگی کے گیٹ ویز استعمال کرنے سے کوئی فرق نہيں پڑتا بشرطیکہ وہ ابھرتے ہوئے ڈیجیٹل خطرات پر نظر رکھیں اور اپنے تحفظ کا درست طور پر انتظام کریں۔

یہ تمام ماہرین اس رائے سے متفق ہیں کہ اکتوبر میں جاری کردہ پاک سرٹ کی پورٹ پاکستان کے لیے تنیہہ ہے، جس پر اگر عمل نہ کیا گيا تو پاکستان میں بھی وہی ہوگا جو فروری 2016ء میں بنگلہ دیش میں ہوا تھا، جب چند ہیکرز بنگلہ دیش کے مرکزی بینک کے ملازمین کے سوسائٹی فار ورلڈوائڈ انٹربینک فنانشل ٹیلی کمیونیکیشن (Society for Worldwide Interbank Financial Telecommunication – SWIFT) کی معلومات استعمال کرتے ہوئے 8.1 لاکھ ڈالر لے اڑے۔ انہوں نے چند گھنٹوں کے اندر فیڈرل ریزرو بینک آف نیویارک کو بنگلہ دیش بینک کے لاکھوں ڈالر کو فلپائن، سری لنکا اور ایشیاء کے دوسرے ممالک میں موجود بینک اکاؤنٹس میں منتقل کرنے کی درخواستیں بھیجيں، اور اگر فیڈرل ریزرو کا ایک ملازم ایک درخواست میں عملے کی غلطی نہ پکڑتا، تو شاید یہ افراد اور بھی پیسے ہتھیانے میں کامیاب ہوتے۔

انفارمیشن اور کمیونیکیشن ٹیکنالوجیز سے وابستہ مسائل پر کام کرنے والی اقوام متحدہ کی خصوصی ایجنسی انٹرنیشنل ٹیلی کمیونیکیشن یونین (International Telecommunication Union – ITU)کی جاری کردہ آئی ٹی یو گلوبل سائبرسیکورٹی انڈیکس 2017ء میں پاکستان 165 میں سے 67 درجے پر کھڑا تھا۔ دوسری طرف بھارت 23 جبکہ بنگلہ دیش 53 نمبر پر تھے۔ یہ انڈیکس آئی ٹی یو کے گلوبل سائبرسیکورٹی ایجنڈا اور اس کے پانچ ستون (قانونی، تکنیکی، تنظیمی، صلاحیت میں اضافہ اور تعاون) پر مشتمل ہے۔ پاکستان سائبرکرائم کے قوانین کے لحاظ سے بھارت کے شانہ بشانہ کھڑا ہے، لیکن وہ سائبرسیکورٹی کے قوانین، سائبرسیکورٹی تربیت، حکمت عملی اور سائبرسیکورٹی کی پیمائشوں میں بہت پیچھے ہے۔ اس کا مطلب یہ ہے کہ پاکستان کے پاس لوگوں کو سائبرسیکورٹی کے جرائم کی سزا دینے کے لیے قوانین تو موجود ہیں، لیکن تنظیموں کے صارفین کو سائبرکرائم سے بچانے میں ناکام رہا ہے۔ اور یہی وجہ ہے کہ ہم سائبرسیکورٹی کی تربیت اور حکمت عملی میں بہت پیچھے ہیں۔ اب یہ دیکھنا باقی ہے کہ کیا نومبر میں سٹیٹ بینک کی طرف سے جاری کردہ ہدایات ہماری جی سی ایس آئی کی رینکنگ کو بہتر بنانے میں کامیاب رہتی ہيں؟

تحریر: واسع ابراہیم

Read in English

Authors

*

Top