پاکستان میں ڈجیٹل سکیورٹی کے لیے سرگرم کارکنان کا کہنا ہے کہ پاکستان میں سرکاری ویب سائٹس پر سائبر حملوں سے قبل ٹیلی کمیونیکیشن کے مشاورتی ادارے کی جانب سے جاری کیے جانے والے انتباہ کے باوجود سرکاری سطح پر خاطر خواہ اقدامات نہ کیے جانے کے باعث ان حملوں میں شدت آنے اور سرکاری ڈیٹا کے چرائے جانے کے خدشات پیدا ہوگئے ہیں۔
نیشنل بینک آف پاکستان کی سرکاری ویب سائٹ پر گزشتہ ہفتے ہونے والے سائبر حملے کے باعث قومی بینک کے آپریشنز کئی گھنٹوں تک معطل رہے، جس سے نہ صرف صارفین کو مسائل کا سامنا کرنا پڑا بلکہ اہم معلومات کے ضائع یا چوری ہونے کا خطرہ بھی پیدا ہوا۔
نیشنل بینک اس سلسلے میں واحد مثال نہیں ہے، ماضی میں دوسرے کئی اہم اور حساس سرکاری محکموں اور اداروں کی ویب سائٹس پر بھی سائبر حملے ہوتے رہے ہیں۔
ڈیجیٹل سلوشنز کے لیے کام کرنے والے نجی ادارے بائٹس فار آل کے سینیئر پروگرام منیجر ہارون بلوچ کے مطابق انسانی حقوق سے متعلق وفاقی وزارت کی ویب سائٹ کا ہیک ہونا بہت ہی خطرناک واقعہ تھا جس میں نہایت حساس اور اہم معلومات خطرے میں پڑ سکتی تھیں۔
پاکستان میں ٹیلی کمیونیکیشن سے متعلق سرکاری مشاورتی ادارے نے حال ہی میں حکومتی وزارتوں، محکموں اور دیگر اداروں کی سرکاری ویب سائٹس کی سائبر سکیورٹی پر سوالات کیے ہیں۔
نیشنل ٹیلی کام اینڈ انفارمیشن ٹیکنالوجی سکیورٹی بورڈ (این ٹی آئی ایس بی) نے اس سال ستمبر میں ایک ایڈوائزری جاری کی تھی جس میں بتایا گیا تھا کہ سرکاری اداروں کی ویب سائٹس بنانے اور قائم رکھنے میں سائبر سکیورٹی کے بین الاقوامی بنیادی اصولوں اور معیارات کا خیال نہیں رکھا جا رہا۔
ایڈوائزری کے مطابق سائبر سکیورٹی سخت نہ ہونے کے باعث اکثر وزارتوں، حکومتی محکموں اور دیگر اداروں کی سرکاری ویب سائٹس پر سائبر حملوں کے خطرات کو بعید از قیاس قرار نہیں دیا جا سکتا۔
این ٹی آئی ایس بی کی ایڈوائزری کے ساتھ 75 ایسے محکموں اور اداروں کی فہرست بھی لف کی گئی، جن کی سرکاری ویب سائٹس سائبر حملوں کا شکار ہو سکتی ہیں۔
ان میں چین پاکستان اکنامک کوریڈور (سی پیک)، پاکستان ملٹری اکاؤنٹس ڈیپارٹمنٹ، ملٹری لینڈز اینڈ کنٹونمنٹس، پاکستان اٹامک انرجی کمیشن، پاکستان ڈزاسٹر منیجمنٹ اتھارٹی (پی ڈی ایم اے)، پرائم منسٹر انسپیکشن کمیشن، ریسکیو 1122، ایوان صدر، وفاقی وزارت دفاعی پیداوار، سروے آف پاکستان، پاکستان ریلویز، وزارت انسداد منشیات، اور پرائیوٹائزئشن کمیشن جیسے کئی اہم اور حساس محکمے شامل ہیں۔
ایڈوائزری میں واضح طور پر بتایا گیا ہے کہ مذکورہ 75 ویب سائٹس کا ذکر مثال کے طور پر کیا گیا ہے جبکہ حقیقتاً اس بے احتیاطی کا دائرہ عمل تمام سرکاری ویب سائٹس تک پھیلا ہوا ہے۔
سرکاری ویب سائٹس کیوں غیر محفوظ ہیں؟
پاکستان میں تمام سرکاری اداروں، وزارتوں، ڈویژنز اور محکموں کی سرکاری ویب سائٹس بنانے اور چلانے کی ذمہ داری حکومتی ادارے نیشنل انفارمیشن ٹیکنالوجی بورڈ (این آئی ٹی بی) کے سر ہے، جہاں ہارون بلوچ کے مطابق سائبر سکیورٹی سے متعلق حساسیت کا فقدان ہے۔
انہوں نے کہا کہ کسی بھی سرکاری ادارے کی ویب سائٹ بنانے کے مراحل پر سائبر سکیورٹی کے بین الاقوامی پروٹوکولز کا خیال نہیں رکھا جاتا جس کے باعث یہ ویب سائٹس غیر محفوظ ہوتی ہیں۔
ہارون بلوچ کے مطابق: ’سرکاری ویب سائٹس کے غیر محفوظ ہونے کی دوسری بڑی وجہ ان کے سرورز کا این آئی ٹی بی میں موجود ہونا ہے، جو نہ صرف غیر ضروری بلکہ غیر محفوظ طریقہ ہے۔‘
مزید پڑھ
اس سیکشن میں متعلقہ حوالہ پوائنٹس شامل ہیں (Related Nodes field)
انہوں نے کہا کہ سرکاری ویب سائٹس بنانے کے سلسلے میں غیر ضروری طور پر رازداری سے کام لیا جاتا ہے، اور اسی وجہ سے غلطیاں ہو رہی ہیں۔
این آئی ٹی بی کے ایک سینئیر ڈائریکٹر نے انڈپینڈنٹ اردو کو بتایا کہ تمام سرکاری ویب سائٹس کو ایچ ٹی ٹی پی ایس پروٹوکول پر منتقل کرنے کے لیے کام شروع کر دیا گیا ہے۔
نام ظاہر نہ کرنے کی شرط پر انہوں نے کہا کہ مستقبل قریب میں تمام سرکاری ویب سائٹس محفوظ بنا دی جائیں گی۔
تاہم ہارون بلوچ کا کہنا تھا کہ سرکاری ویب سائٹس کو محفوظ سکیورٹی پروٹوکولز پر اس لیے نہیں بنایا جاتا تاکہ ان ویب سائٹس کے بنانے والے ڈیٹا پر نظر رکھنا چاہتے ہیں۔
’ایچ ٹی ٹی پی ایس کی صورت میں مختلف سرکاری اداروں کی ویب سائٹس کی سرویلنس ممکن نہیں رہتی، اسی لیے حکومتی ویب سائٹس کو ایچ ٹی ٹی پی پروٹوکول پر بنایا جاتا ہے۔‘
ایچ ٹی ٹی پی اور ایچ ٹی ٹی پی ایس
این ٹی آئی ایس بی کی ایڈوائزری میں بتایا گیا ہے کہ تمام سرکاری ویب سائٹس بنانے میں غیر محفوظ پروٹوکول ایچ ٹی ٹی پی (http) استعال کیے گئے ہیں، جس کے باعث ان ویب سائٹس تک آسانی سے رسائی ممکن ہو سکتی ہے۔
ایڈوائزری میں سرکاری محکموں اور وزارتوں کو ہدایت کی گئی ہے کہ اپنی ویب سائٹس پر httpکے بجائے فورا https پروٹوکولز حاصل کیے جائیں۔
واضح رہے کہ کسی ویب سائٹ کے ایڈریس (یو آر ایل) کے شروع میں ایچ ٹی ٹی پی یا ایچ ٹی ٹی پی ایس موجود ہوتا ہے، جو اس ویب سائٹ کے سکیورٹی پروٹوکول کو ظاہر کرتا ہے۔
ایچ ٹی ٹی پی ایس زیادہ جدید سکیورٹی پروٹوکول ہے، جس میں ویب سائٹ پر موجود معلومات اور وہاں ہونے والی کمیونیکیشنز تک رسائی، اسے دیکھنا یا پڑھنا ممکن نہیں ہوتا ہے۔
اس کے برعکس ایچ ٹی ٹی پی ایک نسبتا غیر محفوظ پروٹوکول ہے، جس میں مذکورہ ویب سائٹ تک باہر سے رسائی ناممکن نہیں ہے، اور یہ امر کسی بھی ایسی ویب سائٹ پر موجود ڈیٹا کو غیر محفوظ بنا دیتا ہے۔
ہارون بلوچ کے مطابق اب تمام سرور پرووائڈرز ایچ ٹی ٹی پی ایس پروٹوکولز کی سہولت مہیا کرتے ہیں اور اس پر کوئی اضافی خرچ بھی نہیں اٹھانا پڑتا۔
ڈیٹا تحفظ کے قوانین
ہارون بلوچ کے مطابق پاکستان میں ڈیٹا پروٹیکشن لاز نہ ہونے کے باعث سرکاری ویب سائٹس غیر محفوظ رکھی جا رہی ہیں۔
انہوں نے کہا کہ احتساب کی غیر موجودگی کا فائدہ اٹھاتے ہوئے سرکاری ڈیٹا جو عوام کی ملکیت ہے کو یوں غیر محفوظ رکھا جا رہا ہے۔
ہارون بلوچ کا کہنا تھا کہ سول سوسائٹی لمبے عرصے سے ملک میں ڈیٹا کے تحفظ سے متعلق قوانین کے لیے کوشش کر رہی ہے، تاہم ابھی تک اس سلسلے میں حکومتی سطح پر کوئی کام نہیں ہوا۔
دنیا میں دوسرے ممالک کے برعکس پاکستان میں کوئی ڈیٹا پروٹیکشن قانون موجود نہیں ہے، تاہم الیکٹرانک جرائم کی روک تھام کا ایکٹ (PECA 2016) کسی حد حد تک اسی مقصد کے لیے استعمال کیا جا رہا ہے۔
وفاقی وزارت انفارمیشن ٹیکنالوجی نے پرسنل ڈیٹا پروٹیکشن بل 2020 کے نام سے ایک مسودہ تیار کیا ہے، جسے عوامی مشاورت کے بعد پارلیمان میں پیش کیا جائے گا۔
