साल 2022 साइबर हमलों के लिहाज से बुरा रहा, 2023 में सरकार और कंपनियां सुरक्षा उपायों में लाएंगी तेजी

नई दिल्ली: पिछले महीने दिल्ली के अखिल भारतीय आयुर्विज्ञान संस्थान (एम्स) पर हुए हाई-प्रोफाइल रैनसमवेयर हमले ने देश के साइबर सुरक्षा संबंधी बुनियादी ढांचे में मौजूद खामियों की ओर सभी का ध्यान आकर्षित किया, लेकिन यह शायद ही कोई अलग-थलग घटना थी.

इस उद्योग के आंकड़ों से पता चलता है कि जहां तक साइबर हमले की बात आती है, साल 2022 भारत के लिए अब तक का सबसे खराब साल रहा है, और यह एक ऐसी समस्या ही जो बढ़ते डिजिटलीकरण के साथ केवल बढ़ी है ही. अब सवाल यह है कि आगे क्या?

टाटा कैपिटल द्वारा वित्तपोषित (फंडेड) सॉफ्टवेयर-एज-ए-सर्विस (सास) साइबर सिक्योरिटी फर्म ‘इंडसफेस’ द्वारा मंगलवार को जारी किये गए एक अध्ययन के अनुसार, भारत दुनिया में सबसे अधिक (साइबर) हमले वाले और डाटा ब्रीच (डाटा का उल्लंघन) किए जाने देशों में से एक बन गया है. साल 2022 की चौथी तिमाही में इस फर्म द्वारा वैश्विक स्तर पर पता लगाए गए और ब्लॉक किए गए 829 मिलियन साइबर हमलों में से 59 प्रतिशत के करीब भारत की ओर ही लक्ष्य करके ही किये गए थे.

एक मल्टी-डिसिप्लिनरी (कई विषयों में काम करने वाले) थिंक टैंक ऑब्जर्वर रिसर्च फाउंडेशन (ओआरएफ) के सीनियर फेलो समीर पाटिल ने दिप्रिंट को बताया, ‘भारत में रैनसमवेयर हमलों के मामले में काफी बढ़ोतरी हुई है, और साल 2022 में इसके सबसे विशिष्ट पहलुओं में से एक स्टेट एक्टर्स (वह व्यक्ति जो किसी सरकारी संस्था की ओर से कार्य कर रहा है) की भागीदारी रही थी.’

उन्होंने कहा, ‘तो, यह सिर्फ मुनाफा कमाने की प्रेरणा से नहीं हो रहा है. हमने देखा कि कैसे एम्स साइबर हमले वाले मामले में पुलिस इसके चीनी लिंक के साथ सामने आई और कैसे इसमें उनकी भूमिका थी.’

इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय की इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) द्वारा संकलित सरकारी डेटा केवल साल 2021 तक उपलब्ध है, लेकिन वह भी भारत में साइबर हमलों में वृद्धि दर्शाता है.

साल 2019 में, सीईआरटी-इन ने ऐसे कुल 3,94,499 घटनाओं का सामना किया, जिसमें इसने इन संगठनों के लिए सुधारात्मक (रेमेडियल) उपायों का सुझाव दिया और ‘साइबर खतरों एवं कमजोरियों’ पर नोट्स साझा किए. उसी वर्ष सीईआरटी-इन ने 204 सुरक्षा चेतावनियां और 38 एडवाइजरी (परामर्श संबंधी निर्देश) भी जारी किए थे.

सीईआरटी-इन द्वारा संभाली गई ऐसी घटनाओं की संख्या साल 2020 में बढ़कर 11,58,208 हो गई, जो पिछले वर्ष की तुलना में तीन गुना अधिक थी. इसी तरह का उछाल साल 2021 में भी जारी रहा, जब 14,02,809 घटनाएं देखी गईं, यानी इनमें 21 फीसदी की बढ़ोतरी आई.

सीईआरटी-इन जिन मामलों की पड़ताल करता है, उनमें वेबसाइट में घुसपैठ किये जाने और मैलवेयर के फैलाये जाने, मालिसियस कोड, फ़िशिंग, डिस्ट्रिब्यूटेड-डिनायल-ऑफ़-सर्विस (डीडीओएस) हमलों, वेबसाइट को विरूपित करने, अनधिकृत रूप से नेटवर्क की स्कैनिंग या छान-बीन की गतिविधियों, रैंसमवेयर हमलों, डेटा ब्रीचेज और असुरक्षित सेवाओं (वल्नरेबल सर्विसेज) शामिल हैं.

इस पृष्ठभूमि के साथ आने वाले वर्ष में सरकार और कंपनियां क्या कुछ अलग करेंगी?

सरकार द्वारा साइबर सुरक्षा पर अपने कानून को तैयार किये जाने के साथ कई उद्योग-व्यापी सर्वेक्षण और इस क्षेत्र के विशेषज्ञों का कहना है कि साल 2023 में कंपनियां अपने डिजिटल सिस्टम को हमलों से सुरक्षित करने के लिए काफी अधिक राशि खर्च करेंगी.

सीईआरटी-इन ने डेटा ब्रीच वाले मामलों के लिए एक मानक संचालन प्रक्रिया (स्टैण्डर्ड ऑपरेटिंग प्रोसीजर) भी निर्धारित की है, जिसमें सभी कंपनियों और अन्य संगठनों को ऐसी किसी भी ब्रीच के छह घंटे के भीतर सरकार को सूचित करना होता है. हालांकि इस कदम को लेकर मिली-जुली प्रतिक्रियाएं मिली है क्योंकि इसका अनुपालन चुनौतीपूर्ण हो सकता है.

यह भी पढ़ें: ‘दरवाजा खटखटाने की नहीं है ताकत’, DU के पेंशनर और एड-हॉक टीचर्स को समय पर नहीं हो रहा भुगतान

कंपनियां क्या अलग करेंगी?

साइबर सुरक्षा बजट में उल्लेखनीय वृद्धि, कंपनियों के लिए कई साइबर सुरक्षा दिशानिर्देशों का लाया जाना, और कानून प्रवर्तन एजेंसियों द्वारा जनता के बीच जागरूकता कार्यक्रम चलाया जाना, कुछ ऐसे निवारक उपाय हैं जो साल 2023 में अधिक देखे जाएंगे.

जुनिपर नेटवर्क्स में मैनेजिंग डायरेक्टर और कंट्री मैनेजर (भारत और सार्क) साजन पॉल के अनुसार, साल 2023 में संगठनों के भीतर साइबर सुरक्षा बजट में उल्लेखनीय वृद्धि होगी, तथा एक अधिक निवारक दृष्टिकोण अपनाया जाएगा.

प्राइसवॉटरहाउस कूपर्स (या पीडब्ल्यूसी) के वार्षिक ‘ग्लोबल डिजिटल ट्रस्ट इनसाइट्स’ नामक सर्वेक्षण के आंकड़ों का हवाला देते हुए, उन्होंने कहा, ‘साइबर हमलों के फ़िलहाल चल रहे खतरे के साथ, डेटा सुरक्षा एक प्रमुख प्राथमिकता बनी हुई है. भारत में 82 प्रतिशत से अधिक कार्यकारी अधिकारी (एग्जीक्यूटिव ऑफिसर्स) साल 2023 में अपने साइबर सुरक्षा बजट में वृद्धि की उम्मीद करते हैं. सर्वेक्षण में यह भी बताया गया है कि 65 प्रतिशत व्यावसायिक अधिकारियों (बिजनेस एग्जीक्यूटिव) का मानना है कि साइबर अपराधी साल 2023 में उनके संगठन को अधिक महत्वपूर्ण रूप से प्रभावित करेंगे. साल 2022 की तुलना में काफी अधिक.’

उन्होंने कहा कि इस दिशा में आगे बढ़ने हेतु भारत द्वारा ‘जीरो ट्रस्ट’ वाली नीति अपनाना एक ‘आवश्यक सुरक्षा रणनीति’ होगी.

इसे समझाते हुए पॉल ने कहा, ‘ज़ीरो ट्रस्ट’ आज के हाइब्रिड वर्क एनवायरनमेंट (मिलीजुले कार्य वातावरण)  में एक आवश्यक सुरक्षा रणनीति है. यह मानने के बजाय कि कॉर्पोरेट फ़ायरवॉल के पीछे सब कुछ सुरक्षित है, ‘ज़ीरो ट्रस्ट’ मॉडल इसे ब्रीच मानता है और प्रत्येक रिक्वेस्ट (अनुरोध) को इस तरह से सत्यापित करता है मानो यह किसी ओपन नेटवर्क से उत्पन्न हो रहा है.’

उन्होंने कहा, ‘इस बात की परवाह किये बिना कि कोई ‘रिक्वेस्ट’ कहां से उत्पन्न होता है या यह किस संसाधन तक पहुंचता है, ‘ज़ीरो ट्रस्ट’ हमें ‘नेवर ट्रस्ट, ऑलवेज वेरीफाई (कभी विश्वास नहीं करना और हमेशा सत्यापित करना) सिखाता है. जीरो ट्रस्ट नेटवर्क आपके द्वारा अपने एसेट्स (परिसंपत्तियों) को सुरक्षित करने की जटिलता को कम करता है और समस्याओं को अलग-थलग करना बहुत आसान बनाता है.’

विशेषज्ञों का यह भी कहना है कि व्यक्तिगत स्तर पर भी साइबर स्वच्छता में वृद्धि होनी चाहिए ताकि लोग अनजाने में डाटा ब्रीच न होने दें.

पॉल के अनुसार, आम जनता में साइबर-स्वच्छता के बारे में जागरूकता की कमी एक चुनौती बनी हुई है. उन्होंने कहा, ‘लोगों को पता ही नहीं है कि डिजिटल स्पेस में कहां क्लिक करना है और कहां नहीं, और अनजाने में ब्रीचेज को सहायता करने वाले बन जाते हैं.’

उन्होंने कहा, ‘डीपफेक जैसे ऑनलाइन टूल ने ऐसी वीडियो और विषय सामग्री को फिर से बनाने के मामले में खुद को उपयोगी साबित किया है जो जनता में गलत जानकारी फैला सकते हैं. यदि इनकी तुरंत पहचान नहीं की गई तो इनके बड़े राष्ट्रीय सुरक्षा निहितार्थ हो सकते हैं.’

डेटा प्रोटेक्शन बिल और सीईआरटी-इन नियम

भारत का आईटी मंत्रालय डिजिटल पर्सनल डेटा प्रोटेक्शन बिल, 2022 लेकर आया है, जिसमें डेटा फिड्यूशरीज़ (डाटा के लिए ज़िम्मेदार व्यक्ति) की कुछ भूमिकाओं को परिभाषित किया गया है और साथ ही ऐसी अपीलीय समितियों (अपीलेट कमिटिज)  की शुरुआत की गई है जो शिकायतों और उनके निवारण को संभालेंगी. कई लोगों ने इसे डेटा सुरक्षा सुनिश्चित करने के लिए ‘सही दिशा में उठाया गया कदम’ करार दिया है.

सीईआरटी-इन नियमों के साथ ही यह मसौदा कानून भारत में मुख्य नीतिगत चर्चाओं का हिस्सा रहा है. जैसा कि पहले उल्लेख किया गया है, इन नियमों के तहत अब कंपनियों को छह घंटे के भीतर साइबर सुरक्षा से जुडी वारदातों को रिपोर्ट करने की आवश्यकता है. पर कुछ विशेषज्ञों का मानना है कि हालांकि यह सख्त तो लगता है, मगर यह व्यावहारिक नहीं हो सकता है.

आकाश कर्माकर, पनाग एंड बाबू लॉ ऑफिस के पार्टनर जो इसके फिनटेक और रेगुलेटरी एडवाइजरी प्रैक्टिस का नेतृत्व करते हैं, के अनुसार, सीईआरटी-इन के नियमों को बदलाव के लायक होना चाहिए  क्योंकि कंपनियों के पास इन ब्रीचेज का पता लगाने के लिए फाइनेंशियल बैंडविड्थ (वित्तीय ताकत) नहीं भी हो सकता है.

कर्माकर ने कहा ‘साइबर सुरक्षा से जुड़ी घटनाओं की [छह घंटे के भीतर] रिपोर्टिंग को अनिवार्य करने वाले सीईआरटी-इन का निर्देश इस वर्ष साइबर सुरक्षा डोमेन में होने वाला शायद सबसे महत्वपूर्ण घटनाक्रम था. मुझे आश्चर्य है कि इसे चुनौती नहीं दी गई है क्योंकि इसका पालन करना कठिन है और इसे परिचालनात्मक रूप से लागू करना बहुत कठिन है. साइबर सुरक्षा की घटनाओं की रिपोर्टिंग के लिए इसके समकक्ष सबसे सख्त वैश्विक समय सीमा 72 घंटे की है.’

उन्होंने इस बात पर भी रौशनी डाली कि कैसे आगे का रास्ता ‘साइबर सुरक्षा बीमा’ को निर्धारित करना हो सकता है. उनके अनुसार, यह ‘बहुत आगे तक जा सकता है.’

उन्होंने कहा, ‘दूसरी बड़ी चुनौती यह है कि साइबर सुरक्षा की वारदात के कारण होने वाले मौद्रिक नुकसान की समस्या को कैसे सुलझाया जाता है. अनिवार्य रूप से लिए जाने वाले मोटर वाहन या यात्रा बीमा के समान ही कुछ प्रमुख जोखिमों के लिए साइबर सुरक्षा बीमा को भी अनिवार्य बनाया जाना, यह सुनिश्चित करने की राह में एक लंबा रास्ता तय करेगा कि प्रभावित संस्थाएं निजी डेटा के नुकसान के लिए दिए जाने वाले मुआवजे का भुगतान करने की स्थिति में हों.’

(अनुवादः राम लाल खन्ना | संपादनः ऋषभ राज)

(इस ख़बर को अंग्रेज़ी में पढ़ने के लिए यहां क्लिक करें)

यह भी पढ़ें: EIA में गड़बड़ी- गुजरात में रोका गया 3,500 करोड़ का केमिकल प्लांट प्रोजेक्ट, प्रदूषण फैलने की थी आशंका