Mobikwik-episoden viser, hvordan man ikke sikrer den digitale tegnebog

At skyde budbringeren, den, der rejser tvivl om databeskyttelse, gør mere skade end gavn. Cybersikkerhed skal være en gennemsigtig, samarbejdsøvelse.

Der var uafhængig bekræftelse fra det anonyme hackerhåndtag Elliot Alderson og Alon Gal, CTO for det israelske sikkerhedsfirma, Hudson Rock, som fastholdt, at dette var det største KYC-brud i Indien nogensinde.

For nylig troede sikkerhedsforsker Rajashekhar Rajaharia, at han gjorde sin pligt, da han to gange - den 26. februar og den 4. marts - forsøgte at henlede Mobikwik-ledelsens opmærksomhed på, hvad mange mener er det største datahack nogensinde i indisk historie. Som udbyder af et mobiltelefonbaseret betalingssystem og digital tegnebog håndterer Mobikwik millioner af kunders data, herunder følsomme personlige oplysninger. Det eneste, Rajashekhar ønskede, var, at virksomheden skulle informere brugerne om bruddet og de skridt, der blev taget for at løse situationen. Han reagerede på en hacker, der hævdede at have adgang til mere end 100 millioner kortholderoplysninger fra Mobikwik-klientdataene. Hvad han ikke var forberedt på, var modangrebet fra firmaet, der kaldte ham mediegal og også erklærede, at de ville tage retslige skridt mod ham.

Snart var der uafhængig bekræftelse fra det anonyme hackerhåndtag Elliot Alderson og Alon Gal, CTO for det israelske sikkerhedsfirma, Hudson Rock, som fastholdt, at dette var det største KYC-brud i Indien nogensinde. Det burde have været en bummer for enhver, der bruger en Tor-browser til at surfe på det mørke web, at en enorm samling af data, herunder KYC på 3,5 millioner mennesker, telefonnumre og bankoplysninger på næsten 100 millioner individer og i nogle tilfælde endda geolocation-data har været sat til salg for sølle 1,5 bitcoins eller cirka rupier 62 lakh. Efterhånden som flere og flere brugere fandt ud af, at deres data var tilgængelige online, fastholdt virksomheden sin frekke holdning til, at der ikke blev lækket data fra dens database, og dens administrerende direktør gik på Twitter for at tale om virksomhedens indiske mærke, som intet havde at gøre med datasikkerhed. Han fortsatte med at hævde, at datalækken kunne være sket fra nogle andre platforme. Årsagen til bekymring ligger også i, at den anonyme hacker, der har postet disse data, hævder, at KYC-detaljerne blev brugt til at tage mikrolån med succes. I mangel af at virksomheden ejer databruddet og informerer alle de brugere, hvis data er blevet lagt ud, kan der ske en lavine af sådanne mikrolån, der kan optages med en byrde på brugeren, som måske ikke engang er opmærksom på bruddet.

Dette rejser det relevante spørgsmål om tilstedeværelsen af ​​det regulatoriske økosystem og indgreb i et sådant scenarie, hvor sikkerhedseksperter hævder et større brud, mens den pågældende enhed benægter det. Rapporter fra Reserve Bank of India, der beder Mobikwik om at undersøge sagen, er kommet ind, men det er alt for sent. CERT-In, det nationale knudepunktsagentur for at reagere på computersikkerhedshændelser, når og når de opstår, burde have autoriseret en uafhængig revision med det samme for at spore bruddet og træffe korrigerende foranstaltninger. Mobikwik er i gang med at komme ud med sit Initial Public Offering, og det er forståeligt, at de gerne vil undgå den negative omtale. Så selv Erhvervsministeriet burde have undersøgt det rapporterede læk og sat børsnoteringen i bero, hvis databruddene rent faktisk er sande.

I løbet af det sidste år er behovet for hurtig vedtagelse af persondatabeskyttelsesloven 2019 (PDPB) blevet rejst mange gange for at imødegå lignende situationer. Det skyldes, at databrud i henhold til det nuværende sæt af love ikke kan straffes effektivt, hvis virksomheden beslutter sig for at skælde ud, og regeringen ikke er villig til at holde tyren ved hornet. Det er rigtigt, at Section 43(A) i Information Technology Amendment Act 2008 og de relevante regler, der blev meddelt i april 2011, kan bruges til at holde virksomheden ansvarlig, som når en virksomhed behandler følsomme personoplysninger eller oplysninger og er uagtsom med at opretholde en rimelig sikkerhed for at beskytte sådanne data eller oplysninger, som derved forårsager uretmæssigt tab eller uretmæssig vinding for nogen person, så er en sådan juridisk ansvarlig for at betale erstatning til den eller de berørte personer. Tilsvarende kan virksomheden anses for uagtsom efter § 72 i samme IT-lov. Selv IPC tilbyder en vis beskyttelse for brugeren under 'Breach of Trust'. Men alle disse er tilstrækkeligt besværlige processer, og den nemmeste løsning til at starte med ville være at offentliggøre bruddet og bede de berørte personer om at ændre deres bankoplysninger.

Det er på tide, at regeringen tager øjeblikkelig kendskab til den voksende værdi af datasikkerhed og tager skridt til at beskytte brugerdata ved tidligst at bestå PDPB. Lad desuden budbringeren ikke blive skudt. Cybersikkerhed er en samarbejdsøvelse, og institutionerne med opgaven skal ikke bare udføre deres job, men også ses at udføre deres job. Lidt gennemsigtighed kommer langt.

Forfatteren, en forsvars- og cybersikkerhedsanalytiker, er tidligere landechef for General Dynamics