බොහෝ නූතන අපරාධ මෙන්ම, මෙයද ආරම්භ වූයේ කිසිදු කලබලයකින් තොරවය. කිසිදු අනතුරු ඇඟවීමේ සීනුවක් නාද වූයේ නැත. නිහඬ රාත්රිය දෙදරුම් කවන හදිසි දුරකථන ඇමතුම් ද තිබුණේ නැත. ඒ වෙනුවට, ශ්රී ලංකා මහා භාණ්ඩාගාරයේ නිහඬ පරිගණක පද්ධතිය තුළට එක් ඊමේල් පණිවුඩයක් පැමිණියේය. එය විවෘත කරනු ලැබූ අතර, වඩාත්ම තීරණාත්මක දෙය නම්, එය විශ්වාස කරනු ලැබීමයි.
එම විශ්වාසය වෙනුවෙන් ගෙවීමට සිදු වූ වන්දිය ඩොලර් මිලියන 2.5 (රුපියල් කෝටි 80) කි.
මෙම ගෙවීමම අසාමාන්ය එකක් නොවීය. රජයන් නිරන්තරයෙන් තම ණය පියවීම් සිදු කරයි. ඕස්ට්රේලියානු මූල්ය ආයතනයකට ගෙවීමට තිබූ මෙම නිශ්චිත ණය මුදල ද, රජයේ ගනුදෙනු ලේඛනයේ තිබූ තවත් එක් සාමාන්ය ගෙවීමක් පමණි. මෙම ගනුදෙනු හසුරුවන පද්ධතිය නිර්මාණය කර තිබුණේ වැරදීම් සිදු නොවන අයුරිනි. සෑම ගෙවීමක්ම ඉතා ප්රවේශමෙන් සකස් කරන ලද ක්රියා පටිපාටියක් හරහා සිදු විය. බලධාරීන්ගේ ස්ථර කිහිපයක්, අත්සන් සහ විධිමත් පරීක්ෂණ මාලාවක් එහි තිබුණි. එය හුදෙක් විශ්වාසය මත පමණක් නොව, නැවත නැවත සිදු කෙරෙන තහවුරු කිරීම් මත පදනම් වූ පද්ධතියකි.
නැතහොත්, එය එසේ බව පෙනෙන්නට තිබුණි.
මෙම සිදුවීම කනස්සල්ලට කරුණක් වන්නේ මුදල් අතුරුදහන් වූ නිසාම පමණක් නොවේ, එය අතුරුදහන් වූ ආකාරය නිසාය. එය කිසිදු තාක්ෂණික දෝෂයක් හෝ බැංකු වැරදීමක් නිසා සිදු වූවක් නොවේ. එය ඉතා සැලසුම් සහගතව, එම ක්රියාවලියට කිසිසේත්ම සම්බන්ධ නොවිය යුතු පාර්ශවයක් විසින් වෙනත් දිශාවකට හරවා යවා තිබුණි.
දැන් ප්රසිද්ධ වී ඇති නිල පැහැදිලි කිරීම නම්, සයිබර් අපරාධකරුවන් භාණ්ඩාගාරයේ ඊමේල් පද්ධතියට ඇතුළු වී, පණිවුඩ වෙනස් කර, ගනුදෙනු අතරතුර ව්යාජ බැංකු විස්තර ඇතුළත් කර ඇති බවයි. බැලූ බැල්මට මෙය ඉතා සරල ඩිජිටල් වංචාවක් ලෙස පෙනේ. නමුත් එම ගෙවීම සිදු විය යුතුව තිබූ මාර්ගය පරීක්ෂා කරන විට, එම සරල බව බිඳී යයි.
මක්නිසාද යත්, මෙය එක් පියවරකින් සිදුවන ගනුදෙනුවක් නොවන බැවිනි.
භාණ්ඩාගාරයෙන් මුදල් පිටතට යාමට පෙර, එය ධුරාවලියක් හරහා පහළට ගලා යා යුතුය. අනුමැතිය ලබා ගැනීම ආරම්භ වන්නේ ඉහළින්ම සිටින භාණ්ඩාගාර ලේකම්වරයාගෙනි. ඉන්පසු එය අධ්යක්ෂවරුන්, අතිරේක අධ්යක්ෂවරුන්, සහකාර අධ්යක්ෂවරුන් හරහා ගොස් අවසානයේ ගෙවීම් උපදෙස් සකස් කර යවන නිලධාරීන් වෙත ළඟා වේ. එතැනින් ද ක්රියාවලිය අවසන් නොවේ. එය නැවත වෙනත් දෙපාර්තමේන්තුවකට ගොස් නැවත වරක් පරීක්ෂා කර තහවුරු කළ යුතුය.
පියවර දහතුනකි.
යම් දෙයක් වැරදි බව වැටහීමට තිබූ අවස්ථා දහතුනකි. ක්රියාවලිය නැවැත්වීමට තිබූ අවස්ථා දහතුනකි. එසේ වුවද, වෙනස් කරන ලද උපදෙස් ඒ සියල්ල හරහා බාධාවකින් තොරව ගලා ගියේය.
මෙය සිදු වූ ආකාරය තේරුම් ගැනීමට නම්, මෙය හදිසියේ සිදු වූ පද්ධති බිඳ වැටීමක් යන අදහසින් බැහැර වී, ඉතා සෙමින් හා රහසිගතව සිදු වූවක් ලෙස සිතිය යුතුය. පෙනෙන ආකාරයට මෙම ප්රහාරය එක මොහොතකින් සිදු වූවක් නොවේ. එය කාලයත් සමඟ දිග හැරුණකි. පළමු අක්රමිකතාව හඳුනා ගන්නා ලද්දේ 2026 ජනවාරි මාසයේදී වුවද, මෙම වංචනික ක්රියාව 2025 අග භාගයේදී පමණ ආරම්භ වූ බව විශ්වාස කෙරේ. එම කාල පරතරය හුදෙක් සොයා ගැනීමට ගත වූ ප්රමාදයක් පමණක් නොවේ; එය පද්ධතිය අනාරක්ෂිතව පැවති කාලයයි.
එම කාලය තුළ, මෙම සැලසුම මෙහෙයවූ පුද්ගලයා කළේ හුදෙක් පද්ධතියට ඇතුළු වීම පමණක් නොවේ. ඔහු නිරීක්ෂණය කරමින් සිටියේය. ඉගෙන ගනිමින් සිටියේය. හැඩගැසෙමින් සිටියේය.
බලහත්කාරය මත නොව, හුරුපුරුදුකම මත පදනම් වූ විශේෂ සයිබර් අපරාධ වර්ගයක් ඇත. පද්ධතියක් යටපත් කරනවා වෙනුවට, එය පද්ධතිය ගැන ඉගෙන ගනී. කවුරුන් කා සමඟ සන්නිවේදනය කරන්නේද, ඔවුන් භාවිත කරන භාෂාව කුමක්ද, අනුමැතිය ලබා දෙන්නේ කෙසේද සහ ගනුදෙනු සාමාන්යයෙන් සිදුවන්නේ කවදාද යන්න එය ඉගෙන ගනී. කාලයත් සමඟ, එය එම හැසිරීම් කොතරම් නිවැරදිව අනුකරණය කරන්නේද යත්, සැබෑ ගනුදෙනුව සහ ව්යාජ ගනුදෙනුව අතර වෙනස හඳුනාගත නොහැකි වේ.
මෙහිදී සිදු වූයේ ද එය නම්, එම ව්යාජ ගෙවීම් කිරීමට පෙළඹවූ ඊමේල් පණිවුඩය හුදෙක් විශ්වාසදායක එකක් පමණක් නොව, එය අවස්ථාවට ගැළපෙන එකකි. එය නිවැරදි වේලාවට, නිවැරදි ආකෘතියෙන් සහ නිවැරදි ස්වභාවයෙන් පැමිණියේය. එය සැකයක් ඇති නොකළේ එය අනෙක් සෑම පණිවුඩයක් ම ලෙසම පෙනුණු බැවිනි.
එහෙත්, වඩාත් ගැඹුරු ප්රශ්නයක් ඉතිරිව පවතී.
ඊමේල් පණිවුඩයක් මෙතරම් වැදගත් වූයේ ඇයි?
ජාත්යන්තර මූල්ය කටයුතුවලදී, විශේෂයෙන් රජයන් හෝ ප්රධාන ආයතන අතර ගනුදෙනුවලදී, ගෙවීම් උපදෙස් නිතර වෙනස් නොවේ. ඒවා විධිමත් ගිවිසුම් මත පදනම් වේ. බැංකු ගිණුම් විස්තර කල්තියා තීරණය කර ඇති අතර, විවිධ මාර්ග ඔස්සේ තහවුරු කර ඇත. ඒවා සාමාන්ය ඊමේල් පණිවුඩයකින් වෙනස් වන්නේ ඉතා කලාතුරකිනි. ඊමේල් පණිවුඩයක් කොතරම් සැබෑ ලෙස පෙනුනද, පවතින නිල උපදෙස් පසෙකලා ක්රියා කිරීමට ඊට බලයක් නොතිබිය යුතුය.
එසේ වුවද, එම පියවර දහතුනෙන් කොතැනක හෝ දී එය සිදු විය.
සමහර විට මෙයට පිළිතුර ඇත්තේ ප්රහාරකයන්ගේ දක්ෂතාවය තුළ නොව, පද්ධතියේම ඇති වූ දුර්වලතාවය තුළ විය හැකිය. ක්රියා පටිපාටි කිසිදු බාධාවකින් තොරව නැවත නැවතත් අනුගමනය කරන විට, ඒවා ආරක්ෂක පියවරයන්ට වඩා හුරුපුරුදු චාරිත්ර බවට පත් විය හැකිය. තහවුරු කිරීම යනු හුදු බලාපොරොත්තුවක් බවට පත් වේ. අනුමැතිය ලබා දීම පුරුද්දක් බවට පත් වේ. පරීක්ෂා කිරීමේ ස්ථාන කිහිපයක් තිබීම නිසා, “පෙර සිටි අය මෙය නිවැරදිව පරීක්ෂා කර ඇති” බවට නිහඬ විශ්වාසයක් ගොඩනැඟේ.
වගකීම සහ අනුමානය අතර ඇති එම අවකාශය තුළ වැරදීම් සිදුවීමට ඉඩකඩ විවර වේ.
මෙම කතාවේ තවත් රසවත් හැරවුමක් වන්නේ, ඉන්දියාවට සම්බන්ධ තවත් ගෙවීමක් සඳහා ද මෙවැනිම උත්සාහයක් ගෙන තිබූ බව හෙළි වීමයි. පළමු අවස්ථාව මෙන් නොව, මෙම උත්සාහය අසාර්ථක විය. එම වෙනස ඉතා වැදගත්ය. යම් දෙයක් හෝ යමෙක් එම රටාව බිඳ දැමීය. යම් විස්තරයක් කෙරෙහි අවධානය යොමු විය. ප්රශ්නයක් අසනු ලැබීය. මෙවර එම දාමය බාධාවකින් තොරව ගලා ගියේ නැත.
අපරාධ පරීක්ෂණවලදී සාර්ථකත්වයට වඩා අසාර්ථකත්වයන් මගින් බොහෝ දේ හෙළිවන බව කියනු ලැබේ. ඉතා හොඳින් සැලසුම් කළ අපරාධයකින් ඉතිරි වන්නේ අල්ප වශයෙනි. නමුත් අසාර්ථක වීමට ගොස් බේරුණු අපරාධයකින් එහි සුලමුල හෙළි වේ. විමර්ශකයන්ට එම දෙවන උත්සාහයේදී වෙනස් වූයේ කුමක්දැයි සෙවිය හැකි නම්, ඔවුන්ට පළමු වංචාව ලිහා ගැනීමට අවශ්ය යතුර සොයාගත හැකි වනු ඇත.
දැනට, මෙහි වගකීම සම්බන්ධයෙන් විනය පියවර ගැනීම ආරම්භ වී ඇත. නිලධාරීන් කිහිප දෙනෙකුට එරෙහිව පියවර ගෙන ඇති අතර, ඔවුන්ගේ තීරණ ප්රශ්න කරනු ලැබේ. නමුත් පුද්ගලයන් කෙරෙහි පමණක් අවධානය යොමු කිරීමෙන් සමස්ත චිත්රය මඟ හැරීමට ඉඩ ඇත. මෙවැනි සංකීර්ණ පද්ධතිවල අසාර්ථකත්වය යනු තනි වැරදීමක ප්රතිඵලයක් නොවේ. එය ක්රියාවලීන්, සංස්කෘතිය සහ අපේක්ෂාවන් හරහා නිහඬව ගොඩනැඟුණු සමුච්චිත ප්රතිඵලයකි.
එමෙන්ම ප්රවේශය පිළිබඳ ප්රශ්නයක් ද ඇත.
ප්රහාරකයන් හුදෙක් පණිවුඩයක් අතරමගදී ලබා ගත්තා පමණක් නොවේ; ඔවුන් එම සංවාදයේ කොටස්කරුවන් බවට පත් විය. ඔවුන් ලේඛන එවා තිබුණි. ඔවුන් ප්රශ්නවලට පිළිතුරු දී තිබුණි. ඔවුන් එම සංවාදයට ඇතුළු වී තිබූ විශ්වාසවන්ත ආකාරය දෙස බලන විට, එය හුදෙක් පිටතින් පැමිණි ප්රහාරයක් නොවන බව හැඟේ. එම ප්රවේශය ලබා ගත්තේ රහස් පද සොරකම් කිරීමෙන්ද, දිගුකාලීන නිරීක්ෂණයෙන්ද, නැතහොත් පද්ධතියට ඉතා සමීප දෙයකින්ද යන්න තවමත් ප්රශ්නයකි.
ඉන්පසු මුදල් ගිය මග පිළිබඳ ප්රශ්නය පැන නගී.
මෙම වංචාව හඳුනා ගන්නා විටත් මුදල් වෙනත් තැන්වලට ගොස් තිබුණි. මෙවැනි අවස්ථාවලදී මුදල් එක තැනක රැඳී නොසිටියි. එය කොටස් වලට බෙදී, දේශසීමා පසු කර, එහි මූලාරම්භය සැඟවීමට සකස් කරන ලද ගිණුම් ස්ථර කිහිපයක් හරහා ගමන් කරයි. එම මුදල් නැවත ලබා ගැනීම යනු කාලය සමඟ කෙරෙන තරගයකි. සෑම මුදල් හුවමාරුවක්ම සලකුණක් ඉතිරි කළ ද, පියවරෙන් පියවර එම සලකුණු මැකී යයි.
මෙය ජාත්යන්තර මට්ටමින් සංවිධානය වූ මෙහෙයුමක කොටසක් විය හැකි බව බලධාරීන් පවසා ඇත. එය සැබෑවක් නම්, මෙය හුදකලා සිදුවීමක් නොවේ. එය විශාල ජාලයක එක් කොටසක් පමණි. ඔවුන් ලෝකයේ වෙනත් ආයතන ද මෙලෙසම පරීක්ෂාවට ලක් කර හෝ ජයගෙන තිබිය හැකිය.
කෙසේ වෙතත්, මෙම කතාව කොතරම් සංකීර්ණ වුවත්, එහි කේන්ද්රය ඉතා සරල ය.
වැරදි වැළැක්වීමට සකස් කළ පද්ධතියක්, තමන්වම රවටා ගැනීමට ඉඩ ලබා දුන්නේය. එය බලහත්කාරයෙන් බිඳ දැමූවක් නොවේ. එය පොළඹවා ගැනීමකි.
වඩාත්ම කනස්සල්ලට කරුණ වන්නේ ද එයයි. මන්ද සැබෑ දුර්වලතාවය වූයේ මෘදුකාංග කේතයක් හෝ ආරක්ෂක පවුරක් (firewall) නොවේ. එය ඊට වඩා මානුෂීය දෙයකි. එනම්, මෙම පද්ධතිය කිසිසේත්ම අසාර්ථක විය නොහැකි බවට තිබූ අධික විශ්වාසයයි.
අපේම වරදින් ඇති වූ එම කුඩා සිදුරෙන් ඩොලර් මිලියන 2.5 ක් රිංගා ගියේය.
නිරංජන් චාමින්ද කරුණාතිලක