sri-lankas-pensions-department-suffers-severe-cyber-attack-data-at-risk

ශ්‍රී ලංකාවේ විශ්‍රාම වැටුප් දෙපාර්තමේන්තුවට දරුණු සයිබර් ප්‍රහාරයක් එල්ල වී ඇති අතර, ක්ලෝක් නම් රැන්සම්වෙයාර් කණ්ඩායම විසින් ගිගාබයිට් 617කට වැඩි දත්ත ප්‍රමාණයක් ඩාක් වෙබ් අවකාශයේ පළ කර ඇත. FalconFeeds.io නම් සයිබර් ආරක්ෂණ සමාගම අනාවරණය කළ මෙම සිදුවීම, රාජ්‍ය අංශයේ සේවකයින්ගේ විශ්‍රාම වැටුප් යෝජනා ක්‍රම කළමනාකරණයට වගකිව යුතු ප්‍රධාන ආයතනයකට එල්ල වූ බරපතළ ප්‍රහාරයකි.



මෙම ප්‍රහාරය ප්‍රථම වරට සිදුවී ඇත්තේ 2025 අප්‍රේල් මස 2 වන දිනය. එදින දෙපාර්තමේන්තුවේ දත්ත පද්ධතිය අවදානමකට ලක්වූ බව දෙපාර්තමේන්තුවේ අධ්‍යක්ෂ ජනරාල් චාමින්ද හෙට්ටිආරච්චි පිළිගෙන ඇත. ඔහු පවසන්නේ එම මොහොතේම ඔවුන් මෙම ප්‍රහාරය අනාවරණය කර ගත් බවත්, ශ්‍රී ලංකා පරිගණක ප්‍රතිචාර අංශය සමඟ එකතු වී සියලු දත්ත 100%කින්ම ආපසු ලබා ගත් බවත්ය.

රැන්සම්වෙයාර් ක්‍රියාකාරීන් මුලින් විශ්‍රාම වැටුප් දෙපාර්තමේන්තුවේ වින්දිතයන් පිළිබඳ අර්ධ නාමයක් (pe*.lk) අනාවරණය කළ නමුත්, සම්පූර්ණ ඩොමේන් නාමය මැයි 26 වන දිනය පමණක් හෙළි කළහ. ඒ සමඟම ඔවුන් තම ඩාක් වෙබ් අඩවියේ විශාල දත්ත ප්‍රමාණයක් උඩුගත කර තිබේ.

දෙපාර්තමේන්තුවේ දත්ත පද්ධතියේ ආයතනයේ තොරතුරු මෙන්ම විශ්‍රාම වැටුප්ලාභීන්ගේ ද පෞද්ගලික තොරතුරු අන්තර්ගත වන බව අධ්‍යක්ෂ ජනරාල්වරයා තහවුරු කර ඇත. කෙසේ වෙතත්, අනාවරණය වී ඇති නිර්දිෂ්ට දත්ත මොනවා ද යන්න සම්බන්ධයෙන් ඔහු මෙතෙක් නිශ්චිතව නොදන්නා බව ප්‍රකාශ කරයි.

විශ්‍රාම වැටුප්ලාභී ජනතාව මෙම සිදුවීම පිළිබඳව දැනුවත් කිරීමට දෙපාර්තමේන්තුව කිසිදු පියවරක් නොගෙන ඇත. අධ්‍යක්ෂ ජනරාල්වරයා පවසන්නේ ජනතාව කළඹවනසුලු ප්‍රකාශ නිකුත් කිරීම නුසුදුසු බවත්, දත්ත ආරක්ෂා කිරීම ඔවුන්ගේ වගකීම බවත්ය.

මෙම ප්‍රහාරය නිසා විශ්‍රාම වැටුප් ගෙවීමේ කාර්යයට කිසිදු බාධාවක් නොමැති බව ද ඔහු ප්‍රකාශ කරයි.

දෙපාර්තමේන්තුවේ දත්ත පද්ධතියේ ආරක්ෂාව සම්බන්ධයෙන් කලක සිට ගැටලු පැවති බව අධ්‍යක්ෂ ජනරාල්වරයා පිළිගෙන ඇත. රාජ්‍ය ආයතනවල පද්ධතිවල යම් දුර්වලතා පැවති බවත්, කාලීනව යාවත්කාලීන නොවූ පද්ධති සහ උපකරණ පැවති බවත් ඔහු කියයි. කෙසේ වෙතත්, දැනට ඔවුන් ෆයර්වෝල් සහ වයිරස් ආරක්ෂණ පද්ධති ඇතුළු උපරිම ආරක්ෂණ ක්‍රියාමාර්ග ක්‍රියාත්මක කර ඇති බව පවසයි.

ශ්‍රී ලංකා පරිගණක හදිසි ප්‍රතිචාර සංසදයේ (SL CERT) ජ්‍යෙෂ්ඨ තොරතුරු ආරක්ෂක ඉන්ජිනේරු චාරුක දමුණුපොළ පවසන්නේ මෙම සිදුවීම සම්බන්ධයෙන් විමර්ශනයක් සිදු කරන බවත්, අවදානමට ලක්වී ඇති නිර්දිෂ්ට දත්ත මොනවා ද යන්න මෙතෙක් තහවුරු කළ නොහැකි බවත්ය.

සයිබර් ආරක්ෂණ විශේෂඥ අසේල වෛද්‍යාලංකාර අනතුරු අඟවන්නේ මෙම සිදුවීමෙන් විශ්‍රාම වැටුප්ලාභීන් වංචාවලට ගොදුරු වීමේ අවදානම වැඩිවන බවයි. ඩිජිටල් සාක්ෂරතාව අඩු මෙම ජන කොටසට විකෘති ඇමතුම් හරහා OTP කේත සහ ඊමේල් ලිපින වැනි සංවේදී තොරතුරු ලබා දීමට පෙළඹෙන බව ඔහු පවසයි.

සයිබර් ආරක්ෂණ පනත සහ පෞද්ගලික දත්ත ආරක්ෂණ පනත තවමත් සම්පූර්ණයෙන් ක්‍රියාත්මක නොවීම මෙවැනි ගැටලු තව තවත් ඇතිවීමට හේතු වන බව විශේෂඥවරයා පෙන්වා දෙයි. දත්ත ආරක්ෂණ අධිකාරිය පිහිටුවීම සැප්තැම්බර් 19 දක්වා කල් තබා ඇති අතර, ප්‍රතිපත්තිමය රාමුවක් යටතේ මෙවැනි ප්‍රශ්න විසඳීමට අධිකාරියක් නොමැතිකම ප්‍රධාන අඩුවකි.

දත්ත ආරක්ෂණ පනත ක්‍රියාත්මක වී තිබේ නම්, මෙම කුලප්පට්ට සිදුවීමට ලක්වන පුද්ගලයින්ට වන්දි ලබා ගැනීමට මාර්ගයක් තිබෙන බවත්, දෙපාර්තමේන්තුවට දඩ මුදල් ගෙවීමට සිදුවන බවත් විශේෂඥවරයා පවසයි. මෙවැනි ප්‍රතිවිපාක නොමැතිකම නිසා ආයතන දත්ත ආරක්ෂාව සම්බන්ධයෙන් ප්‍රමාණවත් සැලකිල්ලක් නොදක්වන බව ද ඔහු පෙන්වා දෙයි.



විශ්‍රාම වැටුප්ලාභීන්ගේ දරුවන්ට විශේෂඥවරයා උපදෙස් දෙන්නේ ඔවුන්ගේ වැඩිහිටි දෙමාපියන් වඩාත් සැලකිලිමත්ව රැක බලා ගන්නා ලෙසයි. දුරකතනයෙන් පැමිණෙන ඕනෑම ඇමතුමක් සැක සහිතව සලකන ලෙසත්, කිසිදු පෞද්ගලික තොරතුරක් අනවසරයෙන් බෙදා නොගන්නා ලෙසත් ඔහු අවධාරණය කරයි. ස්මාර්ට් ෆෝන් සහ සමාජ මාධ්‍ය ගිණුම් භාවිතය සම්බන්ධයෙන් ද අවම දැනුම ලබා දිය යුතු බව පවසයි.

මෙම සිදුවීම ශ්‍රී ලංකාවේ ආරක්ෂිත නොවූ රාජ්‍ය දත්ත පද්ධතිවල තත්ත්වය හෙළිදරව් කරන සිදුවීමක් ලෙස සැලකිය හැකිය. ඩිජිටල්කරණය ප්‍රවේගයෙන් ඉදිරියට යමින් තිබියදී, ආරක්ෂණ ක්‍රියාමාර්ග හා නීතිමය රාමුව එයට සමගාමීව නොගෙන යාමේ අවදානම මෙමගින් පැහැදිලිව පෙනී යයි.