Mobikwik-episoden viser hvordan man ikke sikrer den digitale lommeboken

Å skyte budbringeren, den som reiser tvil om databeskyttelse, gjør mer skade enn nytte. Cybersikkerhet må være en gjennomsiktig, samarbeidsøvelse.

Det var uavhengig bekreftelse fra det anonyme hackerhåndtaket Elliot Alderson og Alon Gal, CTO for det israelske sikkerhetsfirmaet Hudson Rock som hevdet at dette var det største KYC-bruddet i India noensinne.

Nylig trodde sikkerhetsforsker Rajashekhar Rajaharia at han gjorde sin plikt da han to ganger – 26. februar og 4. mars – forsøkte å trekke Mobikwik-ledelsens oppmerksomhet til det mange mener er det største datahakket noensinne i indisk historie. Som leverandør av et mobiltelefonbasert betalingssystem og digital lommebok, håndterer Mobikwik millioner av kunders data, inkludert sensitiv personlig informasjon. Alt Rajashekhar ønsket var at selskapet skulle informere brukerne om bruddet og tiltakene som ble tatt for å løse situasjonen. Han svarte på en hacker som hevdet å ha tilgang til mer enn 100 millioner kortholderdetaljer fra Mobikwik-klientdataene. Det han ikke var forberedt på var motangrepet fra selskapet som kalte ham mediagal og også uttalte at de ville ta rettslige skritt mot ham.

Snart kom det uavhengig bekreftelse fra det anonyme hackerhåndtaket Elliot Alderson og Alon Gal, CTO for det israelske sikkerhetsfirmaet Hudson Rock som hevdet at dette var det største KYC-bruddet i India noensinne. Det burde ha vært en bummer for alle som bruker en Tor-nettleser for å surfe på det mørke nettet at en enorm samling av data, inkludert KYC på 3,5 millioner mennesker, telefonnumre og bankdetaljer for nesten 100 millioner individer og, i noen tilfeller, til og med geolokaliseringsdata har blitt lagt ut for salg for sølle 1,5 bitcoins eller omtrent rupi 62 lakh. Ettersom flere og flere brukere fant ut at dataene deres var tilgjengelige på nettet, opprettholdt selskapet sin frekke standpunkt om at ingen data ble lekket fra databasen, og administrerende direktør gikk på Twitter for å snakke om det indiske merket til virksomheten som ikke hadde noe å gjøre med datasikkerhet. Han fortsatte med å hevde at datalekkasjen kunne ha skjedd fra noen andre plattformer. Grunnen til bekymring ligger også i det faktum at den anonyme hackeren som har lagt ut disse dataene hevder at KYC-detaljene ble brukt til å lykkes med å ta mikrolån. I mangel av at selskapet eier opp til datainnbruddet og informerer alle brukerne hvis data er lagt ut, kan det gå et snøskred av slike mikrolån som kan tas opp med belastningen på brukeren som kanskje ikke engang klar over bruddet.

Dette reiser det relevante spørsmålet om tilstedeværelsen av det regulatoriske økosystemet og intervensjon i et slikt scenario der sikkerhetseksperter hevder et stort brudd mens den aktuelle enheten benekter det. Rapporter fra Reserve Bank of India som ber Mobikwik om å undersøke saken har kommet inn, men det er alt for sent. CERT-In, det nasjonale nodalorganet for å reagere på datasikkerhetshendelser når og når de oppstår, burde ha autorisert en uavhengig revisjon umiddelbart for å spore bruddet og iverksette korrigerende tiltak. Mobikwik er i ferd med å komme ut med sitt Initial Public Offering og det er forståelig at de ønsker å unngå den negative publisiteten. Så selv Bedriftsdepartementet burde ha undersøkt den rapporterte lekkasjen og satt børsnoteringen på vent hvis datainnbruddene faktisk er sanne.



I løpet av det siste året har behovet for rask gjennomføring av personopplysningsloven 2019 (PDPB) blitt tatt opp mange ganger for å løse lignende situasjoner. Det er fordi under det nåværende settet med lover, kan datainnbrudd ikke straffes effektivt hvis selskapet bestemmer seg for å frekke det ut og regjeringen ikke er villig til å holde oksen ved hornet. Riktignok kan paragraf 43(A) i Information Technology Amendment Act 2008 og de relevante reglene som ble varslet i april 2011 brukes til å holde selskapet ansvarlig som når et selskap behandler sensitive personopplysninger eller informasjon, og er uaktsom med å opprettholde en rimelig sikkerhet for å beskytte slike data eller informasjon, som derved forårsaker urettmessig tap eller urettmessig vinning for noen person, da skal en slik juridisk person være ansvarlig for å betale erstatning til personen(e) som er berørt. Tilsvarende kan selskapet bli holdt uaktsomt etter § 72 i samme IT-lov. Selv IPC tilbyr en viss beskyttelse for brukeren under 'Breach of Trust'. Men alt dette er nok krevende prosesser, og den enkleste løsningen å starte med ville være å gjøre bruddet offentlig og be de berørte personene endre bankopplysningene sine.

Det er på tide for regjeringen å ta umiddelbar forståelse av den økende verdien av datasikkerhet og ta skritt for å beskytte brukerdata ved å sende PDPB tidligst. Videre, la budbringeren ikke bli skutt. Cybersikkerhet er en samarbeidsøvelse, og institusjonene som har til oppgave å utføre jobben må ikke bare utføre jobben sin, men også bli sett på å utføre jobben sin. Litt åpenhet vil gå langt.

Forfatteren, en forsvars- og cybersikkerhetsanalytiker, er tidligere landssjef for General Dynamics