ویڈیو: دس ÙÙ†ÛŒ لمØات جس ميں لوگوں Ú©ÛŒ کيسے دوڑيں لگتی ÛÙŠÚº ™,999 ÙÙ†ÛŒ (اکتوبر 2024)
سینٹر برائے عوامی سالمیت کی ایک رپورٹ کے مطابق ، فیڈرل الیکشن کمیشن کو حکومتی بندش شروع ہونے کے چند گھنٹوں کے بعد بڑے پیمانے پر سائبرٹیک کا نشانہ بنایا گیا۔ سی پی آئی کی رپورٹ میں دعوی کیا گیا ہے کہ ایجنسی کی 38 سالہ تاریخ میں چینی تخریب کاروں کو سبوتاژ کرنے کے پیچھے ہیں۔
تحقیقات میں شامل تین سرکاری عہدیداروں نے حملے کی تصدیق سی پی آئی کو کی ، اور ایف ای سی نے ایک بیان میں واقعے کا اعتراف کیا۔ تاہم ، سی پی آئی کی رپورٹ میں یہ وضاحت نہیں کی گئی ہے کہ عہدیداروں کے خیال میں چین کا ہاتھ کیوں شامل ہے ، یا اس حقیقت سے پرے نیٹ ورک کی دخل اندازی کی کوئی تفصیلات فراہم نہیں کی گئی کہ حملہ آوروں نے متعدد ایف ای سی کمپیوٹر سسٹم کو کریش کیا۔ جب اس سے بیان طلب کیا گیا تو ، ایف ای سی نے سیکیورٹی واچ کو محکمہ ہوم لینڈ سیکیورٹی کو بھیج دیا اور کوئی معلومات فراہم نہیں کی۔
حقیقت یہ ہے کہ 16 دن کے شٹ ڈاؤن کے دوران حملہ ہوا تو یہ کوئی بڑی حیرت کی بات نہیں ہونی چاہئے ، کیونکہ سیکیورٹی کے متعدد ماہرین نے متنبہ کیا تھا کہ حملہ آور حملہ کرنے کے لئے آئی ٹی اہلکاروں کی دھجیاں اڑا رہے ہیں۔ نیٹ ورک دیکھنے والے کم لوگوں کے ساتھ ، حملہ آوروں کے لئے بہت موقع تھا۔ در حقیقت ، ایف ای سی نے ایجنسی کے تمام 339 ملازمین کی دھجیاں اڑا دی تھیں کیونکہ سی پی آئی کے مطابق ، اس کے کسی بھی عملے کو وفاقی املاک کو "آسنن خطرات کی روک تھام کے لئے ضروری" نہیں سمجھا گیا تھا۔
نیٹ ورک مداخلت کے ل High " ہائی رسک"
ہند لائٹ 20/20 ہے ، لیکن یہ حملہ ایک آزاد آڈیٹر نے ایف ای سی کو متنبہ کیا تھا کہ اس کے آئی ٹی کے بنیادی ڈھانچے پر حملے کے لئے "زیادہ خطرہ" ہے۔ آڈیٹر نے نشاندہی کی کہ جبکہ ایف ای سی کی کچھ پالیسیاں موجود ہیں ، وہ کافی نہیں تھیں اور خطرات کو کم کرنے کے لئے فوری کارروائی کی ضرورت ہے۔ ایف ای سی نے آڈیٹر کی اکثریت کی سفارشات سے اتفاق نہیں کیا ، اس بحث سے کہ اس کے نظام محفوظ ہیں۔
لیون سنیڈ اینڈ کمپنی کے آڈیٹرز نے نومبر 2012 میں لکھا تھا ، "ایف ای سی کے انفارمیشن اور انفارمیشن سسٹم کو زیادہ خطرہ لاحق ہے کیونکہ ایف ای سی کے عہدیداروں کی جانب سے ان تمام فیصلوں کی وجہ سے جو فیڈرل گورنمنٹ نے اختیار کی ہیں ، ان کی کم سے کم حفاظتی ضروریات کو اپنانا نہیں ہے۔"
ان مسائل میں پاس ورڈ شامل تھے جو کبھی ختم نہیں ہوئے ، 2007 سے تبدیل نہیں کیے گئے تھے ، یا کبھی لاگ ان نہیں ہوئے تھے۔ رپورٹ کے مطابق ، غیر فعال اکاؤنٹس ایکٹو ڈائریکٹری میں موجود ہیں اور ٹھیکیداروں کو جاری کردہ لیپ ٹاپ اسی "آسانی سے اندازہ لگایا" پاس ورڈ کو استعمال کرتے ہیں۔ اگرچہ ایف ای سی کو اپنے کمپیوٹر سسٹم پر دو عنصر کی توثیق کی ضرورت ہے ، آڈٹ نے 150 ایسے کمپیوٹرز کی نشاندہی کی ہے جو ایف ای سی سسٹم سے دور سے رابطہ قائم کرنے کے لئے استعمال ہوسکتے ہیں جن میں اضافی تحفظ کا اہل نہیں تھا۔ آڈیٹرز نے خراب پیچ کاری کے عمل اور پرانے سافٹ ویئر کو بھی جھنڈا لگایا۔
ایجنسی نے آڈٹ کے اپنے جواب میں کہا ، "جگہ جگہ کنٹرول مشن کی حمایت کرنے اور ایجنسی کے ڈیٹا کو محفوظ رکھنے کے لئے مناسب سطح کی حفاظت اور قابل قبول خطرے کی عکاسی کرتے ہیں۔"
یہ واضح نہیں ہے کہ حملہ آوروں نے ناقص پاس ورڈ کا فائدہ اٹھایا یا اکتوبر میں ہونے والے حملے کے دوران اس رپورٹ میں کسی بھی دوسرے مسئلے کو پرچم لگایا گیا تھا۔ اس بات پر غور کرتے ہوئے کہ ایجنسی نے آڈٹ رپورٹ میں ہونے والی تنقیدوں کو مسترد کردیا تھا ، امکان ہے کہ اکتوبر تک بہت سارے معاملات حل نہ ہوئے۔
سیکیورٹی ، ضابطے نہیں
آڈیٹرز نے کہا کہ ایجنسی کو ایف ای سی 200 اور ایس پی 800-53 میں نیسٹ آئی ٹی سیکیورٹی کنٹرول اپنانے کی ضرورت ہے اور یہ حکم نامہ دیا گیا ہے کہ تمام ٹھیکیدار اور تیسری فریق فراہم کنندہ فیڈرل انفارمیشن سیکیورٹی مینجمنٹ ایکٹ 2002 (ایف آئ ایس ایم اے) میں بیان کردہ ضروریات پر عمل کریں۔ آڈیٹرز کا کہنا ہے کہ وفاقی حکومت کے ساتھ کام کرنے والے ٹھیکیداروں کو FISMA کی تعمیل کرنی ہوگی ، اور صرف اس وجہ سے کہ FEC کو FISMA سے چھوٹ دی گئی اس کا مطلب یہ نہیں تھا کہ ٹھیکیدار تھے۔
آڈٹ رپورٹ میں کہا گیا کہ ایف ای سی آئی ٹی سیکیورٹی کے فیصلے اس بنیاد پر کرتی ہے کہ ایجنسی کو قانونی طور پر کیا کام کرنے کی ضرورت ہے ، اس پر غور کرنے کی بجائے کہ ایجنسی کے انفارمیشن اور انفارمیشن سسٹم کو زیادہ محفوظ کیا جائے گا۔
تنظیموں کے لئے یہ سمجھنا ضروری ہے کہ سیکیورٹی صرف رہنما خطوط اور معیار کی فہرست کو جانچنا نہیں ہے۔ منتظمین کو سوچنا ہوگا کہ وہ کیا کر رہے ہیں اور اس بات کو یقینی بنائیں کہ ان کے اقدامات ان کے بنیادی ڈھانچے کی ضرورت کے مطابق ہوں۔ ایف ای سی نے اصرار کیا کہ اس کے پاس اپنے ڈیٹا اور نیٹ ورکس کی حفاظت کے لئے پالیسیاں اور رہنما خطوط موجود ہیں ، اور یہ کافی تھا کیونکہ اس نے سیکیورٹی کی ایک مختلف ہدایت کی تعمیل کی تھی۔ ایجنسی نے اس پر غور کرنے سے باز نہیں آیا تھا کہ آیا ان کنٹرولز اور پالیسیوں نے اس کے نیٹ ورک کو درحقیقت محفوظ بنایا تھا۔
رپورٹ میں متنبہ کیا گیا ہے کہ ایف ای سی کی ناقص حفاظتی کرنسی کا مطلب یہ ہے کہ اس کے "کمپیوٹر نیٹ ورک ، ڈیٹا اور معلومات کا نقصان ، چوری ، ہیرا پھیری ، آپریشنوں میں رکاوٹ اور دیگر منفی اقدامات کا خطرہ ہے۔"
اور ہم حیرت میں پڑ گئے ہیں کہ حملہ آوروں نے ایسا کیا کیا جس نے اس مداخلت کو ایجنسی کی تاریخ میں سبوتاژ کا سب سے بڑا فعل بنا دیا ، اور اسی عرصے میں کون سی دوسری ایجنسیوں نے بھی حملہ کیا ہے۔ ہم صرف امید کر سکتے ہیں کہ دیگر ایجنسیوں نے اپنے ڈیٹا اور نیٹ ورکس کے لئے کم سے کم حفاظتی معیارات کو پورا کرنے کے لئے بہتر کام کیا تھا۔
