AI, டிஜிட்டல் அடையாளம், ரியல்-டைம் பணப்பரிவர்த்தனைகள் உருவாக்கும் புதிய இணைய அச்சுறுத்தல் சூழல்- அறிக்கையில் எச்சரிக்கை!
தற்போது வங்கி மற்றும் நிதிச் சேவைகள் ஒன்றோடொன்று இணைக்கப்பட்ட டிஜிட்டல் தளங்கள், உட்பொதிக்கப்பட்ட நிதிச் சேவைகள் (Embedded Finance), செயற்கை நுண்ணறிவு சார்ந்த முடிவெடுக்கும் முறைகள் மற்றும் நிகழ்நேர பணப் பரிவர்த்தனைகளை மையமாகக் கொண்டு இயங்குவதால், தாக்குதலுக்கான வாய்ப்புகள் பல மடங்கு அதிகரித்துள்ளன.
செயற்கை நுண்ணறிவு (AI), டிஜிட்டல் அடையாள அமைப்புகள் மற்றும் நிகழ்நேர (Real-time) பணப் பரிவர்த்தனைகளின் வேகமான வளர்ச்சி, வங்கி மற்றும் நிதிச் சேவைத் துறையில் முற்றிலும் புதிய இணையப் பாதுகாப்பு அச்சுறுத்தல் சூழலை உருவாக்கி வருவதாக டிஜிட்டல் அச்சுறுத்தல் அறிக்கை 2025-26 எச்சரித்துள்ளது. இன்றைய ஒன்றோடொன்று இணைக்கப்பட்டுள்ள நிதி அமைப்புகளை எதிர்கொள்ள பாரம்பரிய இணையப் பாதுகாப்பு மாதிரிகள் இனி போதுமானதாக இல்லை, என்றும் அந்த அறிக்கை வலியுறுத்துகிறது.
மின்னணு மற்றும் தகவல் தொழில்நுட்ப அமைச்சகம் (MeitY), இந்திய கணினி அவசரநிலைப் பதிலளிப்பு அணி (CERT-In), நிதித் துறைக்கான கணினி பாதுகாப்பு சம்பவப் பதிலளிப்பு அணி (CSIRT-Fin) மற்றும் சிசா (SISA) ஆகியவை இணைந்து திங்கள்கிழமை இந்த அறிக்கையை வெளியிட்டன.
இந்த அறிக்கையின்படி, பழைய இணையப் பாதுகாப்பு கட்டமைப்புகள் மையப்படுத்தப்பட்ட அமைப்புகள் மற்றும் தெளிவாக வரையறுக்கப்பட்ட நம்பிக்கை எல்லைகளை அடிப்படையாகக் கொண்டு வடிவமைக்கப்பட்டவை. ஆனால், தற்போது வங்கி மற்றும் நிதிச் சேவைகள் ஒன்றோடொன்று இணைக்கப்பட்ட டிஜிட்டல் தளங்கள், உட்பொதிக்கப்பட்ட நிதிச் சேவைகள் (Embedded Finance), செயற்கை நுண்ணறிவு சார்ந்த முடிவெடுக்கும் முறைகள் மற்றும் நிகழ்நேர பணப் பரிவர்த்தனைகளை மையமாகக் கொண்டு இயங்குவதால், தாக்குதலுக்கான வாய்ப்புகள் பல மடங்கு அதிகரித்துள்ளன.
"நவீன கால நிதி இணையத் தாக்குதல்கள், நேரடியாக அமைப்புகளை உடைப்பதிலிருந்து நம்பிக்கைச் சங்கிலியை (Trust Chain) கையாளும் திசைக்குத் திரும்பியுள்ளன. உயிர்முறை அடையாள பதிவு (Biometric Onboarding), கூட்டாளர் செயலிகள், செயற்கை நுண்ணறிவு முடிவெடுக்கும் அமைப்புகள், நிகழ்நேர பணப் பரிவர்த்தனைகள், API-கள், நிரலாக்கக்கூடிய நிதி அமைப்புகள் மற்றும் மூன்றாம் தரப்பு சூழல்களில் உள்ள இடைவெளிகளை தாக்குதலாளர்கள் பயன்படுத்துகின்றனர். எந்த ஒரு கட்டுப்பாட்டு அமைப்புக்கும் முழுமையான கண்காணிப்பு இல்லாத அந்த இடைவெளிகளே தற்போது முக்கிய இலக்காக மாறியுள்ளன," என்று அறிக்கையில் தெரிவிக்கப்பட்டுள்ளது.

இதன் விளைவாக, இணையத் தாக்குதல்களின் தன்மையே மாறி வருவதாக அறிக்கை சுட்டிக்காட்டுகிறது. இனி ஒரு ஊடுருவல் என்பது கடவுச்சொற்கள் அல்லது பணப் பரிவர்த்தனைகளில் மட்டுமே பாதிப்பை ஏற்படுத்துவதல்ல; மாறாக டிஜிட்டல் அடையாளம், செயற்கை நுண்ணறிவு, API-கள், பணப் பரிவர்த்தனை செயல்முறைகள் மற்றும் விநியோகச் சங்கிலி (Supply Chain) முழுவதும் பரவக்கூடியதாக மாறியுள்ளது.
நிகழ்நேரத்தில் மாற்ற முடியாத பணப் பரிவர்த்தனைகள், செயற்கை நுண்ணறிவு சார்ந்த முடிவெடுப்புகள், நிரலாக்கக்கூடிய நிதி செயல்முறைகள், தொடர்ச்சியான டிஜிட்டல் அடையாள அமைப்புகள் மற்றும் பல்வேறு தளங்களைச் சார்ந்த செயல்பாடுகள் ஆகியவை ஒன்றிணைவதால், வேகம், சிக்கலான தன்மை மற்றும் பரஸ்பர சார்பு ஆகியவை இணைந்து இணைய அச்சுறுத்தல்களை மேலும் தீவிரப்படுத்துகின்றன என்று அறிக்கை கூறுகிறது.
"ஒழுங்குமுறை இணக்கக் கட்டமைப்புகள் (Regulatory Compliance Frameworks) தற்போதைய மாற்றங்களுக்கு ஏற்ப தங்களை மாற்றிக்கொள்ள முயற்சித்து வருகின்றன. ஆனால், அவை தழுவ முயற்சிக்கும் கட்டமைப்பே இன்னும் தொடர்ந்து மாறிக்கொண்டிருக்கிறது," என்று அறிக்கை குறிப்பிடுகிறது.
பாதுகாப்பு மாதிரிகள் புதிய கட்டமைப்புகளுக்கு ஏற்ப மாறுவதில் ஏற்படும் இந்த தாமதமான காலகட்டமே, திறமையான இணையத் தாக்குதலாளர்கள் தீவிரமாக பயன்படுத்தி வரும் முக்கிய வாய்ப்பாக மாறியுள்ளதாகவும் அறிக்கை எச்சரிக்கிறது.
மையப்படுத்தப்பட்ட கட்டுப்பாடு மற்றும் வரையறுக்கப்பட்ட நம்பிக்கையை அடிப்படையாகக் கொண்டு உருவாக்கப்பட்ட பாரம்பரிய பாதுகாப்பு அமைப்புகள், தற்போதைய டிஜிட்டல் நிதிச் சூழலில் இனி பொருந்தாது என்றும் அறிக்கை சுட்டிக்காட்டுகிறது.
பல தளங்களில் டிஜிட்டல் சேவைகள் விரிவடைவதால், சிதறிய பாதுகாப்பு அமைப்புகளும் அடையாள அடிப்படையிலான அணுகல் முறைகளும் அபாயங்களை அதிகரிக்கின்றன. ஒரே ஒரு டிஜிட்டல் அடையாளம் பாதிக்கப்பட்டால்கூட, பல தளங்கள் மற்றும் பல்வேறு சேவைகளில் நீடித்த அணுகலைத் தாக்குதலாளர்கள் பெறக்கூடிய அபாயம் இருப்பதாக அறிக்கை எச்சரிக்கிறது.
"உயிர்முறை அடையாளம், தொடர்ச்சியான அங்கீகாரச் சிக்னல்கள் மற்றும் பல அமைப்புகளை இணைக்கும் டோக்கன் சங்கிலிகளை அடிப்படையாகக் கொண்டு, டிஜிட்டல் அடையாளமே அணுகல் மற்றும் பணப் பரிவர்த்தனைகளின் முக்கிய கட்டுப்பாட்டு மையமாக மாறும்போது, ஒரு அடையாளம் மட்டுமே பாதிக்கப்பட்டாலும் அது ஒரு கணக்கை மட்டும் பாதிக்காது. மாறாக, பல்வேறு அமைப்புகளில் நீடித்த மற்றும் பரந்த அளவிலான அணுகலை வழங்கும்," என்று அறிக்கை கூறியுள்ளது.
மேலும், கட்டுப்பாட்டு சமிக்ஞைகளை அடிப்படையாகக் கொண்ட இணக்கக் கண்காணிப்பு (Compliance Monitoring) கூட தாக்குதலாளர்களால் ஆயுதமாகப் பயன்படுத்தப்படலாம் என்றும் அறிக்கை எச்சரிக்கிறது. பதிவேடுகளை (Logs) மறைத்தல், எச்சரிக்கை அளவுகோல்களை மாற்றுதல் மற்றும் அமைப்பு பாதுகாப்பாக இருப்பது போன்ற தோற்றத்தை உருவாக்கியபடியே, பாதிக்கப்பட்ட சூழலில் நீண்ட காலம் செயல்பட முடியும் என்று அதில் குறிப்பிடப்பட்டுள்ளது.
"இணைய அச்சுறுத்தல்களின் எல்லை என்பது இனி ஒரு பாதுகாப்புச் சுற்றுச்சுவர் அல்ல. அது கூட்டாளர்கள், தளங்கள், செயற்கை நுண்ணறிவு மாதிரிகள், API-கள் மற்றும் உள்கட்டமைப்பு அடுக்குகள் ஆகியவற்றுக்கிடையிலான தொடர்ந்து மாறிக்கொண்டிருக்கும், பரவலாக இணைக்கப்பட்ட உறவுகளின் வலையாக மாறியுள்ளது. இந்த முழு சூழலையும் எந்த ஒரு நிறுவனமும் தனியாக முழுமையாகச் சொந்தமாக வைத்திருக்கவோ, கட்டுப்படுத்தவோ முடியாது," என்று வங்கி, நிதிச் சேவைகள் மற்றும் காப்பீட்டுத் துறைக்கான டிஜிட்டல் அச்சுறுத்தல் அறிக்கை 2025-26 வலியுறுத்தியுள்ளது.

