साइबर कवच की कमियां दूर होनी जरूरी
- दिनेश सी. शर्मा
पिछले दिनों जब भारत-पाकिस्तान टकराव के दौरान देश के रणनीतिक महत्त्व के ठिकानों को निशाना बनाकर दागी गई मिसाइलों और ड्रोनों को मार गिराया जा रहा था तो ठीक उसी वक्त दुश्मन द्वारा सीमावर्ती क्षेत्र में चल रहे इस संग्राम के अलावा भी एक महत्वपूर्ण परिचालन को बाधित करने के प्रयास किए जा रहे थे। देश की साइबर सुरक्षा एजेंसी, भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया दल (सीईआरटी-आईएन) ने रैनसमवेयर हमलों, डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विस (डीडीओएस) घटनाओं के अतिरिक्त कुछ रक्षा संस्थाओं की वेबसाइटों को बिगाड़ने, डेटा में सेंध लगाने और मैलवेयर इन्फेक्शन के रूप में साइबर हमलों में अत्यधिक वृद्धि की पहचान की व उसे विफल किया।
ऐसे हमलों को सिस्टम और सेवाओं की इंटेग्रिटी, गोपनीयता और उपलब्धता के लिए बड़ा जोखिम माना जाता है। एजेंसी ने उच्च खतरे की रेटिंग वाले साइबर हमलों को लेकर चेतावनी जारी की थी। इसके आधार पर, बॉम्बे स्टॉक एक्सचेंज और अन्य वित्तीय एजेंसियों ने अपने सदस्यों और बाजार प्रतिभागियों को सतर्क किया। उन्हें साइबर सुरक्षा तंत्र की समीक्षा करने और महत्वपूर्ण डिजिटल बुनियादी ढांचे की सुरक्षा के कदम उठाने के लिए आवश्यक उपाय करने की सलाह दी गई।
बैंकिंग, शेयर बाजार, वित्तीय सेवाएं, लाभ हस्तांतरण और ई-शिक्षा जैसी डिजिटल सेवाओं की सुरक्षा इस ‘रीढ़’ यानी दूरसंचार और इंटरनेट इंफ्रास्ट्रक्चर के सुरक्षित रहने पर निर्भर है। यह आगे हार्डवेयर, सॉफ्टवेयर और नेटवर्क सुरक्षित रहने पर आधारित है। इस ‘रीढ़’ में किसी भी स्तर पर सेंध संभावित रूप से करोड़ों लोगों को प्रभावित कर सकती है, क्योंकि लगभग 115 करोड़ भारतीय दूरसंचार नेटवर्क और उन पर आधारित सेवाएं उपयोग करते हैं। सुरक्षा में सेंध का जोखिम न्यूनतम रखने का मतलब है हार्डवेयर और सॉफ्टवेयर का हरेक अंग निरापद बनाना- दूरसंचार नेटवर्क और क्लाउड सर्वर से लेकर मोबाइल फोन और सुरक्षा कैमरे तक को।
हाल के वर्षों में, स्विच, राउटर, रिपीटर और गेटवे जैसे महत्वपूर्ण दूरसंचार नेटवर्क उपकरणों का आयात, या तो सीधे ज़ेडटीई और हुआवे जैसी चीनी कंपनियों से या उनकी घटक कंपनियों से किया गया, जो भारत सहित कई देशों में चिंता का विषय है। ऐसे हार्डवेयर ऑनबोर्ड सॉफ़्टवेयर में, फ़ैक्टरी सेटिंग्स और डिफ़ॉल्ट पासवर्ड में पहले से ही संलग्न रहते हैं जिनसे गंभीर सुरक्षा जोखिम हो सकता है।
इस खतरे को भांपते हुए, जो बाइडेन प्रशासन ने दूरसंचार नेटवर्क से चीनी उपकरणों को ‘चिह्नित करने और बदलने’ के लिए 2021 में ‘रिप-एंड-रिप्लेस’ पहल शुरू की थी। कुछ यूरोपीय संघ के सदस्य देशों ने भी अपने 5-जी नेटवर्क में चीनी कंपनियों की भागीदारी सीमित करने या हटाने के कदम उठाए। भारत में भी विशेषज्ञों ने ऐसी ही पहलकदमी का सुझाव दिया, क्योंकि चीनी उपकरणों पर सरकारी प्रतिबंधों के बावजूद, कई आपूर्तिकर्ता चीनी कंपनियों से दूरसंचार उपकरण खरीदना जारी रखे हैं। पिछले साल वॉयस ऑफ इंडियन कम्युनिकेशन टेक्नोलॉजी एंटरप्राइजेज नामक उद्योग संगठन द्वारा किए गए अध्ययन में चेतावनी दी गई कि सुरक्षा क्षेत्र में संवेदनशील उत्पादों सहित चीनी मूल के कई उत्पादों को सरकारी और सार्वजनिक उपक्रमों की खरीद में शामिल करने की अनुमति दी हुई थी। निर्देश हैं कि सरकारी एजेंसियों को अपनी आवश्यकता की पूर्ति गवर्नमेंट ई-मार्केटप्लेस (जीईएम) पोर्टल से करनी चाहिए। किंतु कई व्यापारी चीन से उपकरण खरीदकर, इन्हें वाया सिंगापुर या थाईलैंड भारत लाकर बेचते हैं, व इनमें मामूली हेरफेर कर,’मेड इन इंडिया’ का ठप्पा लगाकर जीईएम पर बेचने के लिए सूचीबद्ध करते हैं।
रक्षा इकाइयों सहित सरकारी एजेंसियां, जीईएम पोर्टल से ऐसे ड्रोन खरीद रही थीं, जिनमें कुछ चीनी मूल के थे। सीईआरटी-आईएन द्वारा किए एक विश्लेषण के अनुसार, मानव रहित विमान प्रणाली या ड्रोनों के हार्डवेयर, सॉफ्टवेयर, संचार प्रणाली और परिचालन प्रक्रियाओं के अंदर जटिल अंतःक्रियाएं शामिल होती हैं- जिनमें मैलवेयर से संक्रमित होने का जोखिम बना रहा है। मसलन, मैलवेयर को स्वीकार किए गए किसी नए अपडेट या रिमोट सर्विस एक्सेस के माध्यम से ड्रोन के फर्मवेयर में इंजेक्ट किया जा सकता है, जिससे आगे भी मैलवेयर डालने, डाटा तक अनधिकृत पहुंच करने या परिचालन को बिगाड़ा जा सकता है। यह मैलवेयर छेड़छाड़ किए गए अपडेट्स या रिमोट सेवा द्वारा भी डालना संभव है। इसलिए, संवेदनशील उपकरण के लिए सोर्स कोड तक पहुंच होना महत्वपूर्ण है, और यह तभी संभव है जब सप्लायर भारत का हो।
सप्लायर मानकों और विनियमों में कमजोरियों का भी लाभ उठाते हैं। मसलन, लगभग 450 कंपनियां बिना कोई राष्ट्रीय मानक प्रमाणपत्र जीईएमपोर्टल पर सुरक्षा कैमरे बेचती पाई गईं। एसटीक्यूसी (मानकीकरण परीक्षण और गुणवत्ता प्रमाणन) प्रणाली के तहत गुणवत्ता, सुरक्षा और साइबर सुरक्षा मानकों पर कसने और लागू करने के बाद, इनमें केवल 13 कंपनियां ही योग्यता पर खरी उतरीं।
दूरसंचार प्रणाली का सबसे छोटा हिस्सा, जैसे सिम कार्ड भी असुरक्षित हो सकता है क्योंकि इसमें एम्बेडेड सॉफ़्टवेयर या ऑपरेटिंग सिस्टम (मोबाइल फ़ोन के ऑपरेटिंग सिस्टम के अलावा) होते हैं। मोबाइल फ़ोन कंपनियां चीन सहित विभिन्न स्रोतों से सिम कार्ड में इस्तेमाल होने वाले चिपसेट खरीदती हैं। भारत में उपयोग किए जा रहे सिमकार्डों में बड़ी संख्या में राष्ट्रीय सुरक्षा परिषद के तहत राष्ट्रीय साइबर सुरक्षा समन्वयक कार्यालय द्वारा अनिवार्य ‘विश्वसनीयता स्रोत अनुमोदन’ प्रमाणपत्र बगैर चल रहे हैं। इनमें से कुछ सिम संवेदनशील पदों और स्थानों पर कार्यरत लोगों के फोन में हो सकते हैं, जो बड़ा जोखिम पैदा करते हैं। हाल ही में, सरकार ने इस मुद्दे पर ध्यान देना शुरू किया। इसका उपाय है, ऐसे करोड़ों सिम कार्ड बदलना और भारतीय ऑपरेटिंग सिस्टम का उपयोग अनिवार्य करना। लेबनान में पेजर और वॉकी-टॉकी उपकरण फटने की याद अभी भी ताजा है। अतीत में, हमारे यहां नि:शुल्क ईमेल सेवाएं, जैसे चीनी स्कैनिंग सॉफ़्टवेयर कैमस्कैनर (अब प्रतिबंधित) और सुरक्षा जोखिम वाले वीडियो-कॉन्फ़्रेंसिंग सॉफ़्टवेयर का उपयोग संवेदनशील सरकारी कार्यालयों में उपयोग किए जाने के उदाहरण हैं। अब, भारत में एलन मस्क के स्टारलिंक की हाई-स्पीड सैटेलाइट इंटरनेट सेवा को मंजूरी देने की संभावना है। सुरक्षा चिंताओं से इसे अब तक मंजूरी नहीं मिली थी।
पिछले साल नवंबर में, अंडमान में बड़ी मात्रा में नशीली दवाएं जब्त करते वक्त भारतीय एजेंसियों ने पाया कि इस धंधे में शामिल मछली पकड़ने वाला एक जहाज स्टारलिंक इंटरनेट डिवाइस का उपयोग कर रहा था। मणिपुर में भी सुरक्षा एजेंसियों ने सशस्त्र जनजातीय विद्रोहियों पर डाली दबिशों में हथियारों के अलावा स्टारलिंक इंटरनेट डिवाइसेस पकड़े। स्टारलिंक द्वारा भारत में आधिकारिक रूप से सेवाएं प्रदान न किए जाने के बावजूद ये घटनाएं दर्शाती हैं कि कैसे कोई शैतान उपयोगकर्ता इंटरनेट एक्सेस संबंधी प्रतिबंध बाईपास कर काम कर सकता है। कई देशों में इनके जरिए सीमापार जासूसी की चिंताएं जताई गई हैं।
सभी संचार सेवाएं महत्वपूर्ण राष्ट्रीय बुनियादी ढांचा हैं, जिनका परिचालन विदेशी संस्थाओं द्वारा करने की अनुमति नहीं दी जानी चाहिए या पूर्ण सुरक्षा उपाय किए बगैर एम्बेडेड ऑपरेटिंग सिस्टम वाले विदेशी उपकरणों पर निर्भर नहीं हों। ड्रोन या सैटेलाइट टर्मिनल जैसे हार्डवेयर में ऑपरेटिंग सिस्टम और एम्बेडेड सॉफ़्टवेयर के मामले में, सोर्स कोड तक पहुंच बनाने की मांग हमें उनसे करनी चाहिए। जहां उपलब्ध हो, घरेलू उत्पाद ही खरीदा जाना चाहिए। सभी नागरिकों और साथ ही रणनीतिक संचार प्रणालियों की साइबर सुरक्षा उतनी ही महत्वपूर्ण है जितनी भारतीय हवाई क्षेत्र की सुरक्षा के लिए ‘आयरन डोम’।
No comments:
Post a Comment