پاکستان کی برّی فوج کے سربراہ جنرل عاصم منیر سمیت لگ بھگ 27 لاکھ پاکستانی شہریوں کا ڈیٹا لیک ہونے کو ماہرین سنجیدہ مسئلہ قرار دے رہے ہیں۔
ماہرین کا کہنا ہے کہ اگر لیک ڈیٹا میں بائیو میٹرک ڈیٹا بھی شامل ہے تو اس کے سنگین نتائج ہو سکتے ہیں۔
پاکستانیوں کا ڈیٹا لیک ہونے کی شکایات کی تحقیقات کرنے والی مشترکہ تحقیقاتی ٹیم (جے آئی ٹی) نے رواں ہفتے ہی اپنی رپورٹ وزارتِ داخلہ کو جمع کرائی ہے۔
رپورٹ کے مطابق سال 2019 سے 2023 کے دوران لگ بھگ 27 لاکھ پاکستانی شہریوں کا نادرا ڈیٹا لیک ہوا ہے اور یہ ڈیٹا ملتان، پشاور اور کراچی کے سینٹرز سے لیک کیا جاتا رہا ہے۔
جے آئی ٹی نے ڈیٹا لیکیج میں ملوث نیشنل ڈیٹا بیس رجسٹریشن اتھارٹی (نادرا) افسران کے خلاف سخت قانونی کارروائی کی بھی سفارش کی ہے۔
یہ پہلا موقع ہے کہ وزارتِ داخلہ کی کسی رپورٹ میں حکام نے شہریوں کا ڈیٹا منظم انداز میں لیک ہونے کا اعتراف کیا ہے۔
اس سے قبل اپریل 2020 میں انفارمیشن سیکیورٹی کمپنی نے اپنی رپورٹ میں بتایا تھا کہ پاکستان میں موبائل فون استعمال کرنے والے لگ بھگ ساڑھے گیارہ کروڑ افراد کا ڈیٹا ڈارک ویب پر فروخت ہوا ہے اور اس فروخت میں مبینہ طور پر بعض ٹیلی کام کمپنیوں کے ملازم ملوث ہوسکتے ہیں۔
لیکن نومبر 2021 میں وفاقی تحقیقاتی ایجنسی (ایف آئی اے) کے سائبر کرائم ونگ کے ایک ایڈیشنل ڈائریکٹر نے قومی اسمبلی کی قائمہ کمیٹی برائے انفارمیشن ٹیکنالوجی میں انکشاف کیا کہ نادرا کا ڈیٹا بڑے پیمانے پر ہیک ہوا ہے۔
قائمہ کمیٹی کی اس میٹنگ کے فوری بعد ہی ایف آئی اے اور خود نادرا حکام نے ڈیٹا لیک ہونے کی تردید کی۔ بعدازاں حکام کی جانب ڈیٹا لیکیج سے متعلق کبھی اقرار اور کبھی انکار کے دوران گزشتہ سال یہ سنسنی خیز انکشاف ہوا کہ آرمی چیف جنرل عاصم منیر اور ان کے والد کے نادرا ڈیٹا تک نہ صرف غیر قانونی طور پر رسائی کی کوشش کی گئی بلکہ ان کے شناختی کارڈ سے یہ معلوم کیا گیا کہ ان کا پاسپورٹ کب جاری کیا گیا۔
اسی معلومات کی بنا پر آرمی چیف کی ٹریول ہسٹری اور جائیداد کا کھوج لگانے کی بھی کوشش ہوئی۔
ڈیٹا لیک کیسے ہوتا ہے؟
معاملے کی انکوائری کے نتیجے میں آرمی چیف کے ڈیٹا تک غیر قانونی رسائی کا الزام ثابت ہونے پر نادرا کے چھ افسران کو ملازمت سے برخاست جب کہ کچھ افسران سے استعفے طلب کیے گئے۔
واضح رہے کہ آرمی چیف سمیت دیگر شہریوں کا ڈیٹا بارہا لیک ہونے کی بڑھتی ہوئی شکایات کی تحقیقات کے لیے نگراں دورِ حکومت میں جے آئی ٹی تشکیل دی گئی تھی۔
لندن میں مقیم سائبر سیکیورٹی کے ماہر اور اس موضوع پر کئی کتابوں کے مصنف رافع بلوچ کہتے ہیں نادرا کا ڈیٹا بینک پاکستانی شہریوں کی ذاتی معلومات کا سب سے بڑا ڈیٹا بینک ہے جو حساس بھی ہے۔
وائس آف امریکہ سے بات کرتے ہوئے انہوں نے کہا کہ شہریوں کے لیک ڈیٹا میں اگر بائیو میٹرک ڈیٹا بھی شامل ہے تو یہ تشویش کا باعث ہے۔ کیوں کہ ان کے بقول بائیو میٹرک ڈیٹا تبدیل نہیں ہوسکتا اور اسے استعمال کر کے آپ سم نکلوا سکتے ہیں، جائیداد ٹرانسفر کر سکتے ہیں اور کئی دیگر غیر قانونی کام ہو سکتے ہیں۔
انہوں نے بتایا کہ بعض اداروں کو نادرا کے ڈیٹا بینک تک رسائی حاصل ہوتی ہے جسے ایپلی کیشن پروگرامنگ انٹرفیس (اے پی آئیز) کہا جاتا ہے۔ متعلقہ اداروں کو جس قدر ڈیٹا ضرورت ہوتا ہے، مثال کے طور پر کسی بینک کو ویری فکیشن کے لیے نام، والد کا نام، والدہ کانام اور گھر کا پتہ درکار ہے، تو اے پی آئی یہ چار مخصوص معلومات ہی نادا کے ڈیٹا سے شیئر کرے گا۔
رافع بلوچ کے مطابق یہ دیکھنا ہوگا کہ مختلف اداروں کو ڈیٹا تک رسائی یعنی اے پی آئیز کے حوالے سے کیا سیکیورٹی مکینزم موجود ہے۔ کیا یہاں فائر والز لگے ہوئے ہیں یا نہیں جو اس بات کی نگرانی کرتے ہیں کہ اے پی آئیز کے ذریعے ایک سسٹم سے کس قدر معلومات اکھٹی کی جا رہی ہیں اور کس مقصد کے لیے کی جا رہی ہیں۔
ایک مثال سے سمجھتے ہوئے رافع بلوچ نے کہا "ایک بینک میں اگر یومیہ پانچ ہزار افراد کے ڈیٹا تک رسائی ہوتی ہے تو اچانک اگر 50 ہزار افراد کے ڈیٹا تک رسائی کی جا رہی ہو تو کیا سسٹم اس بات کی نشاندہی کرتا ہے یا نہیں۔"
انہوں نے کہا کہ اے پی آئیز کے علاوہ ڈیٹا لوس پریوینشن مکینزم (ڈی ایل پیز) ہوتے ہیں جو ڈیٹا کو چوری ہونے سے روکنے کے لیے لگائے جاتے ہیں۔ دیکھنا ہوگا کہ آیا یہ نظام نادرا کے ڈیٹا سے منسلک ہے اور اس کا آڈٹ بھی ہوتا ہے یا نہیں۔
ذاتی ڈیٹا لیک ہونے سے کیا نقصان ہوسکتا ہے؟
رافع بلوچ کے مطابق اب چوں کہ لاکھوں شہریوں کا ڈیٹا کمپرومائز ہو چکا ہے اور اب ڈیٹا میں بھی کوئی تبدیلی نہیں ہوسکتی۔ لہذا اس بات کا امکان موجود ہے کہ ایسے شہریوں کا ڈیٹا جب سائبر مجرم استعمال کریں گے تو وہ انہیں بلیک میل بھی کرسکتے ہیں۔ ان کے ڈیٹا کے ذریعے جعلی سوشل میڈیا اور دیگر اکاؤنٹس بنائے جاسکتے ہیں، ان کی شناخت چوری ہونے کے کیسز بھی سامنے آسکتے ہیں۔
انہوں نے اس خدشے کا بھی اظہار کیا کہ ڈیٹا لیکیج کا تعلق سائبر کرائم یا مالیاتی فراڈ سے ہو سکتا ہے۔ کیوں کہ اس طرح کا ڈیٹا عمومی طور پر ڈارک ویب پر فروخت ہوتا ہے اور اس کا ایک بہت بڑا کاروبار چل رہا ہے۔
ان کے بقول، کئی کمپنیاں ڈیٹا پر کام کر رہی ہیں اور دنیا میں کئی ممالک کی سیکیورٹی ایجنسیوں کے پاس بھی اس قسم کا ڈیٹا ہوتا ہے تاکہ کسی موقع پر ڈیٹا کو استعمال کر کے کسی شخص سے متعلق تحقیقات کی جاسکے۔
رافع بلوچ کے مطابق پاکستان میں فی الحال مکمل طور پر ڈیٹا ڈیجیٹائزیشن نہیں ہوئی لیکن جوں جوں ڈیٹا ڈیجیٹائزیشن ہوتی جائے گی، خطرات بھی بڑھتے چلے جائیں گے۔ اس لیے اس حوالے سے سیکیورٹی ٹولز کو مدنظر رکھ کر کام کرنا ہوگا۔
انہوں نے کہا کہ ذاتی ڈیٹا کو محفوظ رکھنے سے متعلق پاکستان میں فی الوقت کوئی قوانین موجود نہیں۔ اس لیے ڈیٹا کے تحفظ کی ذمہ داری نادرا، ٹیلی کام کمپنیوں سمیت دیگر متعلقہ اداروں پر عائد ہوتی ہے۔
ڈیٹا چوری ہونے سے کیسے بچا جائے؟
این ای ڈی یونیورسٹی میں سائبر قوانین کے لیکچرر اور وکیل فہد بلوچ کہتے ہیں ایزی پیسہ اکاؤنٹس اور بینک فراڈ پاکستان میں عام ہیں۔ بعض ایسے افراد عام شہریوں کو کال کرتے ہیں اور ان کے پاس اکثر بینک اکاونٹس اور اسٹیٹمنٹس کی مکمل تفصیلات موجود ہوتی ہے۔ ایسا ممکن نہیں کہ ان اداروں میں بیٹھے افراد کی مدد کے بغیر ڈیٹا چوری یا ہیک کیا جاسکے۔
فہد بلوچ نے بھی اس خیال سے اتفاق کیا کہ اگر نادرا کا بائیو میٹرک ریکارڈ بھی چوری یا لیک ہوا ہے تو اس کے سنگین اثرات ہو سکتے ہیں۔
انہوں نے کہا کہ اگر حکومت یہ فیصلہ کر لے کہ انتخابات الیکٹرانک ووٹنگ مشین کے ذریعے کرائے جائیں گے تو ایسے میں بائیو میٹرک ریکارڈ چوری ہونے کے باعث ہیکرز اپنے من پسند امیدواروں کو کامیاب کروا سکتے ہیں۔
فہد بلوچ کے مطابق امریکہ اور دیگر ترقی یافتہ ممالک میں سائبر سیکیورٹی کے سخت قوانین موجود ہونے کے باوجود وہاں بھی ڈیٹا لیکیج اہم مسئلہ ہے جب کہ پاکستان میں تو اس سے متعلق کوئی قوانین بھی موجود نہیں۔
فہد بلوچ نے بتایا کہ چوری شدہ ڈیٹا کے غلط استعمال کو روکنے اور اس کے سدباب کے لیے سائبر سیکیورٹی سے متعلق قوانین کی تیاری، سیکیورٹی پروٹوکولز، فائر والز کا اطلاق اور اس سے متعلق شعور اجاگر کرنے کی ضرورت ہے۔
فورم