රජයේ පද්ධතිවලට සයිබර් ඇටෑක් එකක් කියන්නට තවම සාක්ෂි නෑ! එරංග වීරරත්න කී කතාව!

භාණ්ඩාගාරය විසින් සිදු කළ බව කියන ඇමරිකානු ඩොලර් මිලියන 2.5ක වැරදි ගෙවීම සම්බන්ධයෙන් විමර්ශන ක්‍රියාත්මක වෙද්දී, රජයේ පරිගණක පද්ධතිවලට සයිබර් ආක්‍රමණයක් එල්ල වී ඇති බවට මෙතෙක් මූලික සාක්ෂි හමු වී නොමැති බව ඩිජිටල් ආර්ථික කටයුතු පිළිබඳ නියෝජ්‍ය අමාත්‍ය එරංග වීරරත්න මහතා සන්ඩේ මෝනිං පුවත්පතට කියා තිබේ.

හැකර්වරුන් විසින් ඊමේල් පද්ධතියට ඇතුළු වී (Breach) මෙම වංචාව සිදු කර ඇති බවට භාණ්ඩාගාර ලේකම්වරයා ප්‍රකාශ කර දිනකට පසුව නියෝජ්‍ය අමාත්‍යවරයා මෙම අදහස් පළ කිරීම විශේෂත්වයකි.

වීරරත්න මහතාට අනුව, විදේශ ණය පියවීමක් සඳහා වෙන් කර තිබූ මෙම මුදල 2025 දෙසැම්බර් සහ 2026 ජනවාරි අතර කාලය තුළ තෙවන පාර්ශ්වයකට මාරු වී ඇත. මෙම සිද්ධිය තාක්ෂණික ආරක්ෂණ බිඳවැටීමක් නිසා සිදුවූවක්ද නැතහොත් ව්‍යාජ සන්නිවේදනයන් හරහා කිසියම් පාර්ශ්වයක් නීත්‍යානුකූල ආයතනයක් ලෙස පෙනී සිටිමින් (Impersonation) කළ වංචාවක්ද යන්න පිළිබඳව බලධාරීන් පරීක්ෂා කරමින් සිටී.

“මෙතෙක් සිදු කළ විමර්ශනවලට අනුව පද්ධතියේ බිඳවැටීමක් පිළිබඳ සාක්ෂි හමු වී නැහැ. ඊමේල් හැක් කිරීමක් හෝ එවැනි අනවසර ඇතුළු වීමක් ගැන සලකුණක් නැහැ. කෙසේ වෙතත්, විදේශීය පාර්ශ්වයක් නීත්‍යානුකූල ආයතනයක් ලෙස පෙනී සිටිමින් මෙම ගනුදෙනුවට පහසුකම් සලසා ගත්තේ කෙසේදැයි දැන ගැනීමට විමර්ශන ක්‍රියාත්මකයි. දැනට පෙනෙන පරිදි මුදල් අමාත්‍යාංශයේ පද්ධතිවලට හානියක් වී නැහැ,” යනුවෙන් වීරරත්න මහතා The Sunday Morning පුවත්පතට පවසා ඇත.

රජයේ ඩිජිටල් ආරක්ෂණ යටිතල පහසුකම් ශක්තිමත් කිරීමට කටයුතු කරමින් සිටින බවත්, ඒ සඳහා මධ්‍යගත අධීක්ෂණ යාන්ත්‍රණයක් ක්‍රියාත්මක කරන බවත් ඔහු වැඩිදුරටත් පැවසීය.

“රජය විසින් පැය 24 පුරා ක්‍රියාත්මක ජාතික සයිබර් ආරක්ෂණ මෙහෙයුම් මධ්‍යස්ථානයක් පිහිටුවා ඇති අතර එය දැන් ක්‍රියාත්මකයි. කෘතිම බුද්ධිය (AI) මගින් ක්‍රියාත්මක වන මෙවලම් භාවිතයෙන් සැබෑ කාලීනව (Real-time) තර්ජන කල්තියා හඳුනා ගැනීමට මෙම මධ්‍යස්ථානයට බලය පවරා තිබෙනවා. විවිධ ආයතනවල පවතින තීරණාත්මක තොරතුරු තාක්ෂණ යටිතල පහසුකම් මෙම පද්ධතිය සමඟ ඒකාබද්ධ කිරීම අපගේ ප්‍රමුඛතාවයක්,” යැයි ඔහු සඳහන් කළේය.

සයිබර් ආරක්ෂණය පිළිබඳ ආයතනික අධීක්ෂණය ශක්තිමත් කිරීම සඳහා නීතිමය පියවර ගනිමින් සිටින බවද වීරරත්න මහතා පැවසීය. “ජාතික සයිබර් ආරක්ෂණ අධිකාරියක් පිහිටුවීමට සැලසුම් කර ඇති අතර ඊට අදාළ පනත් කෙටුම්පත දැනට නීති කෙටුම්පත් සම්පාදක වෙත යොමු කර තිබෙනවා. රජයේ ආයතන පුරා සයිබර් ආරක්ෂණ ප්‍රමිතීන් බලාත්මක කිරීමේ මධ්‍යම භූමිකාව මෙම ආයතනය විසින් ඉටු කරනු ඇතැයි අපේක්ෂා කරනවා.”

මෙම සිද්ධිය ජනවාරි මාසයේදී සිදු කළ විදේශ ණය වාරිකයකට අදාළ වන අතර, එය ඕස්ට්‍රේලියානු අපනයන මූල්‍ය ආයතනය (Export Finance Australia) වෙත ගෙවීමට තිබූ ඩොලර් මිලියන 22.9ක සමස්ත පියවීමක කොටසකි.

මුදල් හා සැලසුම් නියෝජ්‍ය අමාත්‍ය අනිල් ජයන්ත ප්‍රනාන්දු මහතා වාර්තා කළේ ඉන්දියාවට සිදු කළ ගෙවීමකදී ද මෙවැනිම වංචනික උත්සාහයක් සිදුවී ඇති බවත්, එයින් මෙම මූල්‍ය විෂමතාවය තවදුරටත් අනාවරණය වූ බවත්ය.

මේ අතර, විදේශ සම්පත් දෙපාර්තමේන්තුවේ අධ්‍යක්ෂ ජනරාල් ආර්.එම්.එස්.පී.එස්. බණ්ඩාර මහතා මේ සම්බන්ධයෙන් සවිස්තරාත්මක අදහස් දැක්වීම ප්‍රතික්ෂේප කළේ විමර්ශන ක්‍රියාත්මක මට්ටමේ පවතින බව පවසමිනි. “භාණ්ඩාගාරය දැනටමත් මාධ්‍ය නිවේදනයක් නිකුත් කර තිබෙනවා. ඉන් ඔබ්බට අදහස් දැක්වීමට මට නොහැකියි,” යැයි ඔහු පැවසීය.

මෙම සිද්ධිය සම්බන්ධයෙන් දේශපාලනඥයන් ද සිය ප්‍රතිචාර දක්වා ඇති අතර, විශේෂයෙන්ම රාජ්‍ය මූල්‍ය පාලනය සහ අධීක්ෂණය පිළිබඳව ප්‍රශ්න කර ඇත.

රජයේ මුදල් පිළිබඳ කාරක සභාවේ (COPF) සභාපති හර්ෂ ද සිල්වා මහතා පැවසුවේ, ස්වෛරී ණය මෙහෙයුම් කළමනාකරණය කිරීමේදී ආයතනික ධාරිතාව පිළිබඳව මීට පෙරද ගැටලු මතු වූ බවයි. “මහජන මුදල් ඩොලර් මිලියන 2.5කට සිදුවූ දේ බරපතල කනස්සල්ලට කරුණක්. මෙය හුදෙක් නොසලකා හැරීමක් පමණක් නොව, මීට පෙර පෙන්වා දුන් පුළුල් අසාර්ථකත්වයක් පිළිඹිබු කිරීමක්. ණය කළමනාකරණ වගකීම් මහ බැංකුවේ සිට භාණ්ඩාගාරයේ රාජ්‍ය ණය කළමනාකරණ කාර්යාලය වෙත මාරු කරන විට, පළපුරුදු සහ දක්ෂ කාර්ය මණ්ඩලයක් බඳවා ගැනීමේ අවශ්‍යතාවය COPF නැවත නැවතත් අවධාරණය කළා. ජාත්‍යන්තර වෙළඳපොළ තුළ ස්වෛරී ණය කළමනාකරණය කිරීම සඳහා විශේෂඥ දැනුම අවශ්‍ය වන නමුත් එම කරුණු කෙරෙහි නිසි අවධානයක් යොමු වූයේ නැහැ,” යැයි ඔහු වැඩිදුරටත් පැවසීය.

රජයේ සයිබර් ආරක්ෂණ සූදානම පිළිබඳව අදහස් දක්වමින් වීරරත්න මහතා පැවසුවේ, මුදල් අමාත්‍යාංශය සම්බන්ධයෙන් මෑතකදී මතුවූ ගැටලු සැලකිල්ලට ගෙන එම අමාත්‍යාංශය ජාතික අධීක්ෂණ පද්ධතියට (National Monitoring Platform) ඒකාබද්ධ කිරීම ප්‍රමුඛතාවයක් ලෙස පවතින බවයි.

ජාතික සයිබර් ආරක්ෂණ මෙහෙයුම් මධ්‍යස්ථානය (NCSOC) යනු සයිබර් තර්ජන තත්‍ය කාලයේදීම (Real-time) හඳුනා ගැනීමට සහ සිදුවීම් බරපතල වීමට පෙර ඒවාට ප්‍රතිචාර දැක්වීමට හැකි වන පරිදි, කෘතිම බුද්ධිය (AI) මගින් ක්‍රියාත්මක වන මෙවලම්වලින් සමන්විත පැය 24 පුරාම ක්‍රියාත්මක වන අධීක්ෂණ මධ්‍යස්ථානයකි.

මෙම මධ්‍යස්ථානය දැනටමත් ක්‍රියාත්මක මට්ටමේ පවතින අතර, අනාගතයේදී ඇතිවිය හැකි ආරක්ෂක දුර්වලතාවලින් ආරක්ෂා වීම සඳහා මුදල් අමාත්‍යාංශය මෙයට සම්බන්ධ කිරීම අත්‍යවශ්‍ය බව නියෝජ්‍ය අමාත්‍යවරයා පැවසීය.

“අප මුලින්ම මෙම අධීක්ෂණ මෙවලම් සමඟ ආයතන ඒකාබද්ධ කළ යුතුයි. එම මෙවලම් මගින් පද්ධතියේ පවතින ආරක්ෂක දුර්වලතා (Vulnerabilities) හඳුනාගෙන වාර්තා නිකුත් කරන්නේ ඉන් පසුවයි,” ඔහු පැවසීය.

ආරක්ෂණ පද්ධතියේ පවතින හිඩැස් හඳුනා ගැනීමටත්, ඒවා ඉක්මනින් නිවැරදි කරන ලෙස අදාළ ආයතනවලට උපදෙස් දීමටත් මෙලෙස පද්ධති ඒකාබද්ධ කිරීම අත්‍යවශ්‍ය බව ඔහු වැඩිදුරටත් සඳහන් කළේය.

වීරරත්න මහතා පැවසුවේ, මුදල් අමාත්‍යාංශය තුළ පද්ධති හැක් කිරීමක් හෝ ඊමේල් බිඳවැටීමක් පිළිබඳව මෙතෙක් කිසිදු සාක්ෂියක් හමු වී නොමැති බවයි. ඒ වෙනුවට, විදේශීය පාර්ශ්වයක් විසින් නීත්‍යානුකූල සමාගමක් ලෙස පෙනී සිටිමින් (Impersonating) සිදු කළ බව කියන සිද්ධියක් පිළිබඳව බලධාරීන් පරීක්ෂණ පවත්වයි.

ආයතන NCSOC මධ්‍යස්ථානයට සම්බන්ධ කළ පසු, මෙවැනි වංචා හෝ රැවටීම්වලට ඉඩ සැලසූ තාක්ෂණික සිදුරු (Technical loopholes) හඳුනා ගැනීමට බලධාරීන්ට වඩාත් හොඳ අවස්ථාවක් ලැබෙනු ඇති බව ඔහු පැවසීය.

වර්තමානය වන විට රටේ තීරණාත්මක පොදු යටිතල පහසුකම්වලින් මෙම මධ්‍යස්ථානයට සම්බන්ධ වී ඇත්තේ 25%ත් 30%ත් අතර ප්‍රමාණයක් පමණි. ඒකාබද්ධ කිරීම සඳහා රජය විසින් ප්‍රධාන ආයතන 37ක් හඳුනාගෙන ඇති අතර, ඉතිරි ආයතන සම්බන්ධ කිරීමේ කටයුතු ලබන කාර්තුව තුළ අවසන් කිරීමට ඉලක්ක කර ඇත.

ශ්‍රී ලංකාව රජයේ සේවාවන් ඩිජිටල්කරණය කිරීම දිගටම සිදු කරන බැවින්, ඉහළ අවදානමක් සහිත ආයතන පුරා මෙම ආරක්ෂණ ආවරණය පුළුල් කිරීම දැන් ප්‍රමුඛතාවයක් බව නියෝජ්‍ය අමාත්‍යවරයා පැවසීය.

ශ්‍රී ලංකා පරිගණක හදිසි ප්‍රතිචාර සංසදය (Sri Lanka CERT) යටතේ 2025 සැප්තැම්බර් මාසයේදී ආරම්භ කරන ලද NCSOC මධ්‍යස්ථානය, ජාතික වශයෙන් තීරණාත්මක තොරතුරු යටිතල පහසුකම් ආරක්ෂා කිරීමේ මධ්‍යගත අධීක්ෂණ මධ්‍යස්ථානය ලෙස ක්‍රියා කරයි.