|
दुनिया में भारत के सामने साइबर हमले का सबसे अधिक खतरा है। अमेरिका के बाद भारत ही वह देश है जिसकी संवेदनशील सूचनाएं खतरे में पड़ सकती हैं, लेकिन इस हमले से अपने को बचाने के लिए पर्याप्त तैयारी नहीं है। जितनी जल्दी यह तैयारी हो जाए उतना ही अच्छा होगा
विशाल सारस्वत
प्रारंपरिक तौर पर किसी देश के सैन्य मामलों को चार क्षेत्रों में बांटा जाता है-भूमि, जल, वायु एवं आकाश। परंतु पिछले कुछ वषार्ें से इंटरनेट के आने और उसके तेजी से बढ़ने के बाद, युद्ध नीति की प्रकृति में बदलाव आया है और एक नया सैन्य क्षेत्र सामने आया है, जिसका नाम है साइबर। साइबर डोमेन का अर्थ एक नेटवर्क के साथ जुड़े कंप्यूटरों से कहीं अधिक व्यापक है। साइबर डोमेन में यूजर्स, उपकरण और यूजर्स द्वारा एक-दूसरे से संपर्क साधने के लिए इस्तेमाल किए जाने वाले सॉफ्टवेयर, उपकरणों और सॉफ्टवेयर द्वारा इस्तेमाल किया जाने वाला लॉजिक, उस लॉजिक को प्रवाहित करने वाले सर्किट और यूजर्स का स्थान और अन्य भौतिक उपकरण आते हैं। एक ओर उपयोगकर्ता और भौतिक उपकरण साइबर डोमेन में आते हैं, वहीं साइबरस्पेस खुद लंबाई, चौड़ाई एवं ऊंचाई के त्रि-आयामी क्षेत्र से, और समय के लौकिक आयाम से बाहर, इस युद्धभूमि में सन्निहित पांचवां आयाम बन चुका है।
बीसवीं सदी तक सेनाएं अपने डाटा और कम्युनिकेशन (क्रिप्टोग्राफी) को सुरक्षित रखने के संघर्ष में और अपने प्रतिद्वंद्वी के डाटा (क्रिप्टोनेलेसिस) की प्राप्ति और उसकी व्याख्या के काम से जुड़ी रहती थीं। जबकि आज साइबर सुरक्षा सॉफ्टवेयर के डोमेन (कार्यक्षेत्र) में निहित रहती है और यह मुख्यत: कंप्यूटरों एवं वित्तीय डाटा को नुकसान से बचाती है। वहीं 21वीं सदी में साइबर हमले डिजिटल दुनिया से होते हुए हमारे भौतिक क्षेत्र में प्रवेश कर चुके हैं। उदाहरण है, 2012 में स्टाक्सनेट द्वारा ईरानी परमाणु कार्यक्रम को समाप्त किया जाना। अब साइबर सुरक्षा केवल हैकिंग, मालवेयर्स, सोशल इंजीनियरिंग घोटालों, वेब विरूपीकरण, ईमेल में सेंधमारी, आइडेंटिटी थेफ्ट एवं ऑनलाइन वित्तीय घोटालों तक सीमित न रहकर डाटा चोरी, डिनायल ऑफ सर्विस (डीओएस) एवं डिस्ट्रीब्यूटिड डिनायल ऑफ सर्विस (डीडीओएस) हमलों, किसी देश के संवेदनशील अवसंरचनात्मक हिस्से में अनधिकृत घुसपैठ, ऑनलाइन निगरानी और डिजिटल जासूसी तक जा पहुंची है। इन दिनों यूं भी छोटे-बड़े छद्म युद्ध चल रहे हैं और साइबरस्पेस ऐसे युद्धों के लिए बेहद उर्वर जमीन साबित होता है। यहीं साइबर युद्ध जैसे नए युद्ध का आगाज हुआ है। साइबर युद्ध में आरोप-प्रत्यारोप या प्रतिशोध जैसे पुराने हथियारों की भी जरूरत नहीं रह जाती। फौज के महत्वपूर्ण अवसंरचना ठिकानों एवं कम्युनिकेशन नेटवक पर नीतिगत एवं सुनियोजित तरीके से किए गए हमले का असर जान-माल के नुकसान से भी कहीं गहरा होता है। इन सब बातों को ध्यान में रखते हुए अप्रैल 2015 में जारी एक कार्यकारी निर्देश में अमेरिकी राष्ट्रपति बराक ओबामा ने कहा था, 'दुर्भावनापूर्ण साइबर-आधारित गतिविधियों की व्यापकता एवं गहनता, जो कि कुछ लोगों द्वारा सामूहिक तौर पर या अन्य संगठनात्मक तरीके से संयुक्त राज्य के बाहर से चलाई जाती हैं, संयुक्त राज्य की राष्ट्रीय सुरक्षा, विदेश नीति एवं अर्थव्यवस्था को असामान्य एवं असाधारण खतरा हैं। इसीलिए मैं इस खतरे से निपटने के लिए राष्ट्रीय आपात स्थिति की घोषणा करता हूं।'
आज एक अरब से अधिक इंटरनेट उपयोगकर्ताओं के साथ इंटरनेट से जुड़ाव के मामले में चीन के बाद भारत का दूसरा स्थान है। परंतु यह आंकड़ा केवल भारत की 35 प्रतिशत आबादी को इंगित करता है। इस तरह देश में अभी तक नेटवर्क का विस्तार काफी कम है और यही कारण है कि हम अभी तक गंभीर स्तर के साइबर हमलों से बचे हुए हैं। फिर भी भारत दुनिया में सबसे अधिक साइबर हमले झेलने वाला देश है। इन हमलों से संवेदनशील सरकारी एवं रक्षा क्षेत्र की सूचनाओं के खतरे में पड़ने के मामले में संयुक्त राज्य अमेरिका के बाद भारत का स्थान दूसरा है।
यही नहीं, चुराई गई सूचना के इस्तेमाल के कारण जानें भी गई हैं। 2012 में असम में फैली हिंसा के बाद, सोशल मीडिया पर जो घृणा संदेश प्रसारित होने शुरू हुए थे उनके कारण न केवल कई जानें गईं बल्कि दिल्ली, बेंगलुरु एवं देश के अन्य बड़े शहरों से बड़ी संख्या में पूवार्ेत्तर के लोगों ने पलायन किया था। हाल में, सितंबर के शुरू में ही, भारत की अति गोपनीय स्कोर्पियन पनडुब्बी कार्यक्रम को ऑनलाइन प्रकाशित कर दिया गया था। उससे पहले 17 मई को साइबर सुरक्षा कंपनी सेमेन्टेक ने घोषणा की थी कि चीन के सकफ्लाई नामक साइबर-जासूसी गुट ने भारत की केंद्र सरकार के कई विभागों के सिस्टम में घुसपैठ की थी। इनमें वह विभाग भी शामिल था जो विभिन्न मंत्रालयों व विभागों के नेटवर्क सॉफ्टवेयर को लागू करने का जिम्मेदार होता है और इसके पास सभी विभागों की सूचना होती है। घटना के एक सप्ताह बाद, कैस्पर्स्की लैब नामक एक साइबर-सुरक्षा फर्म ने 25 मई को घोषित किया था कि उन्होंने दांती नामक एक अन्य चीनी साइबर जासूसी गुट का पता लगाया है। यह भी कहा गया कि इस गुट ने भारत की राजनयिक इकाइयों के सिस्टम में घुसपैठ की थी और इसके पास भारत सरकार के संगठनों एवं उनकी समूची गोपनीय सूचना हो सकती है।
इससे पहले एडवर्ड स्नोडेन ने यह चौंकाने वाली घोषणा ही थी कि संयुक्त राज्य अमेरिका द्वारा की जाने वाली जासूसी में भारत का पांचवां स्थान है। प्रश्न उठता है कि लगातार युद्धोन्मादी साइबरस्पेस में भारत के साइबर-सुरक्षा मापदंड कहां ठहरते हैं?
वर्ष 2000 तक भारत के कानूनों में साइबर अपराधों से जूझने के कोई प्रावधान नहीं थे। डेटा सुरक्षा एवं कंप्यूटर अपराध को देखते हुए 2000 में ही भारत सरकार ने इन्फॉर्मेशन टेक्नोलॉजी एक्ट, 2000 का गठन किया था। इसमें साइबर अपराधों एवं संबंधित कानूनी पद्धति के साथ-साथ नए कानून के कारण उपजने वाले विवादों के निपटान के लिए एक साइबर अपीली ट्राइब्यूनल का गठन किया गया था। इस धारा के अंतर्गत पहले से मौजूद कानूनों में संशोधन करके उन्हें नई तकनीक के अनुसार ढाला गया। इस धारा में कई कमियां थीं जिन्हें बाद में 2006 और 2008 के संशोधित बिलों के माध्यम से दुरुस्त किया गया।
वर्ष 2004 में सरकार ने गुप्त टेलिकॉम परिचालन एवं टेलिकॉम सुरक्षा नेटवर्क मुद्दों से जुड़े कायार्ें के लिए विजिलेंस टेलिकॉम मॉनीटरिंग सेल्स (वीटीएम) की स्थापना की। कुछ समय उपरांत यह वीटीएम सुरक्षा एजेंसियों एवं टेलिकॉम सेवा प्रदाताओं के बीच तकनीकी जुड़ाव वाले टेलिकॉम एन्फोर्समेंट, रिसोर्स एंड मॉनीटरिंग (टीईआरएम) सेल्स के तौर पर परिवर्तित हो गए थे। टीईआरएम गुट सेंट्रल मॉनीटरिंग सिस्टम (सीएमएस) के तौर पर काम करते हैं। इनके पास लैंडलाइन, मोबाइल एवं सेटेलाइट फोन कॉल, एसएमएस एवं एमएमएस के साथ-साथ ईमेल, चैट, वॉयस एवं वीडियो चैट आदि जैसे इंटरनेट ट्रैफिक की टोह लेने की क्षमता होती है।
वर्ष 2004 में ही साइबर संकट प्रबंधन योजना को भी अमल में लाया गया एवं भारत के इंटरनेट अधिकार क्षेत्र की सुरक्षा को बढ़ाने के लिए साइबर सुरक्षा खतरों से जूझने हेतु कंप्यूटर एमरजेंसी रिस्पांस टीम इंडिया (सीईआरटी-आईएन) को प्रधान एजेंसी के रूप में शुरू किया गया। सीईआरटी-आईएन हैकिंग एवं फिशिंग जैसे साइबर हमलों का राष्ट्रीय संग्राहक भी है और यह उन हमलों व हमलावरों का आकलन करता है। यह संस्थान ऐसी घटनाओं, उसने जुड़ी चेतावनियां एवं जवाब, सुरक्षा निर्देश व सलाह और ऐसे हमलों को बार-बार होने से रोकने से जुड़े रोकथाम के उपायों का विकास करता है। सीईआरटी-आईएन जैसी शुरुआत को विशिष्ट क्षेत्रों में छोटे स्तरों पर भी शुरू किया जा रहा है। रक्षा प्रतिष्ठान अपना एक क्षेत्रीय सीईआरटी स्थापित कर चुका है।
रेलवे एवं ऊर्जा क्षेत्र अपने सीईआरटी के संबंध में योजना तैयार कर रहे हैं। वर्ष 2005 में इन्फॉर्मेशन सिक्योरिटी क्षेत्र में जागरूकता फैलाने के लिए सरकार ने इन्फॉर्मेशन सिक्योरिटी एजुकेशन एंड अवेयरनेस (आईएसईए) परियोजना की शुरुआत की थी ताकि सुरक्षा संबंधी जागरूकता एवं इससे जुड़ी क्षमता को बढ़ाया जाए। आईएसईए परियोजना में सभी क्षेत्रों से जुड़ी साइबर सुरक्षा के असर और उसकी व्यापक प्रकृति के संबंध में कानून एवं पुलिस जैसे गैर-आईटी सरकारी पेशेवरों को प्रशिक्षित किया जाता है। साथ ही, इसमें एनआईईएलआईटी, सीडीएसी आदि के जरिये प्रमाणन योजना व प्रमाणपत्र कार्यक्रम भी शुरू किए गए हैं। शैक्षणिक संस्थानों में पाठ्यक्रमों में इन्फॉर्मेशन सिक्योरिटी के औपचारिक कोर्स को एम़ टेक़/एम़ई़/एम़ एस़ , बी़ टेक/बी़ई़, परास्नातक डिप्लोमा कोर्स, अध्यापक प्रशिक्षण, मॉड्यूलर/अल्पकालिक ज्ञान आधारित कोर्स आदि भी शुरू किए गए हैं।
नेशनल इंटरनेट एक्सचेंज ऑफ इंडिया (एनआईएक्सआई) की स्थापना 2003 में हुई थी। इसका लक्ष्य विदेशी सर्वरों की बजाय भारतीय इंटरनेट सेवा प्रदाताओं (आईएसपी) के द्वारा देशी इंटरनेट ट्रैफिक को सुगम करना है। इसके जरिये विदेशी एजेंसियों द्वारा भारतीय डेटा की अवैधानिक रोकथाम बंद होगी और हमारी एजेंसियों को इंटरनेट ट्रैफिक पर नजर रखना आसान होगा।
उद्योग जगत ने भी साइबरस्पेस को सुरक्षित करने में अपनी भूमिका अदा की है। 2008 में नेशनल एसोसिएशन ऑफ सॉफ्वेयर एंड सर्विसेज कंपनीज (नैस्कॉम) ने डेटा सिक्योरिटी काउंसिल ऑफ इंडिया (डीएससीआई) की शुरुआत की थी। डीएससीआई सरकारी एजेंसियों, डेटा सुरक्षा अथॉरिटीज, विनियामकों एवं आईटी-बीपीएम, बीएफएसआई एवं टेलिकॉम, उद्योग मंडलों एवं विचार मंचों को एकजुट करने वाला संस्थान है जो साइबर सुरक्षा से जुड़े सर्वश्रेष्ठ अभ्यास, रूपरेखा, मानक और शुरुआतों को सहयोग देता है। यह साइबर सुरक्षा एवं साइबर फॉरेंसिक के क्षेत्रों में भी पेशेवरों एवं कानून प्रवर्तन एजेंसियों के लिए प्रशिक्षण के माध्यम से क्षमता विस्तार की दिशा में काम कर रहा है।
हालांकि उपरोक्त एजेंसियां अधिकांशत: नागरिक योजनाओं से संबद्ध हैं, सरकार ने 2003 में डिफेंस इन्फॉर्मेशन वारफेयर एजेंसी (डीआईडब्ल्यूए) का गठन किया था। 2004 में नेशनल टेक्निकल रिसर्च ऑर्गेनाइजेशन (एनटीआरओ) का गठन किया गया ताकि साइबर स्पेस में देश के रक्षात्मक एवं जवाबी कायार्ें को अंजाम दिया जा सके। एनटीआरओ विशेषज्ञ तकनीकी सूचना सहेजने वाली एजेंसी है। यह प्रधानमंत्री कार्यालय के राष्ट्रीय सुरक्षा सलाहकार के अंतर्गत आती है और देश के भीतर एवं बाहरी सुरक्षा कार्य में लगी सभी एजेंसियों को सूचना उपलब्ध कराने वाली सबसे बड़ी एजेंसी है।
डिफेन्स इंटेलिजेंस एजेंसी (डीआईए) के अंतर्गत आने वाली डीआईडब्ल्यूए रक्षा संबंधी सूचना की प्रमुख एजेंसी है। यह युद्ध, साइबर युद्ध, इलेक्ट्रॉनिक घुसपैठ एवं इलेक्ट्रो-मेग्नेटिक स्पेक्ट्रम एवं ध्वनि तरंगों से जुड़े सभी पक्षों का कार्य देखती है। डीआईडब्ल्यूए साइबर युद्ध, शत्रु के प्रचार का जवाब देने एवं सूचना संबंधी धोखा व मनोवैज्ञानिक पक्षों से जुड़ी योजनाएं तैयार करती है।
नेशनल क्रिटिकल इन्फॉर्मेशन इन्फ्रास्ट्रक्चर प्रोटेक्शन सेंटर (एनसीआईआईपीसी) संरक्षित प्रणाली एवं महत्वपूर्ण अवसंरचना की सुरक्षा से जुड़े दिशानिर्देशों एवं नियामकों पर काम कर रही है और इसकी शुरुआत शीघ्र ही होगी। नेशनल इंटेलिजेंस ग्रिड (एनएटीजीआरआईडी) परियोजना भारत सरकार की प्रमुख खुफिया एजेंसियों के डेटाबेस को जोड़ने का काम कर रही है ताकि खुफिया तंत्र सरल तरीके एकत्र किए जाएं एवं वह खुफिया एजेंसियों को उपलब्ध रहें। एनईटीआरए (नेटवर्क टे्रफिक एनेलिसिस) देश भर में वास्तविक समय में पूर्व-परिभाषित फिल्टर की मदद से इंटरनेट ट्रैफिक के आकलन एवं उसे रोकने वाला सॉफ्टवेयर नेटवर्क है। इसके अलावा, एक नई टेलिकॉम सुरक्षा नीति पर भी कार्य चल रहा है। 2013 का नेशनल साइबर सिक्योरिटी पॉलिसी मसौदा उपलब्ध है और उसे जल्दी ही अमल में लाया जाएगा। नेशनल साइबर कोऑर्डिनेशन सेंटर को विभिन्न एजेंसियों की सूचना एकत्र करने की गतिविधियों एवं साइबर अपराध रोकथाम योजना, साइबर अपराध जांच प्रशिक्षण एवं पुराने पड़ गए कानूनों के अवलोकन हेतु पारित किया गया है।
हालांकि, सरकार सही दिशा में कार्य कर रही है, फिर भी रफ्तार और प्रक्रिया में तेजी लाने की जरूरत है। हमें अपने साइबर सुरक्षा ढांचे और अवसंरचना एवं उससे संबंधित तकनीक को लगातार सुदृढ़ करना होगा। इससे जुड़े स्रोत सरकार में ही मौजूद नहीं हैं और इसीलिए हमें अपने साथ उद्योग जगत को लेकर सहयोगपूर्ण तरीके से भरोसे और आत्मविश्वास की नींव तैयार करनी होगी। हैरानी नहीं कि जब भी रक्षाबलों ने अपनी विभिन्न जरूरतों के लिए निजी क्षेत्र से संपर्क साधा है तो उसकी दक्षता से न केवल जरूरी समय और स्रोतों की बचत हुई है बल्कि नतीजे भी असाधारण आए हैं।
इसलिए इस बार भी उद्योग जगत की प्रतिभाओं एवं उसके हुनर को साइबरस्पेस की रक्षा और उसके रखरखाव के लिए इस्तेमाल करना होगा। टीसीएस, इन्फोसिस, विप्रो, कॉग्निजेंट एवं महिन्द्रा पहले ही विभिन्न तरीकों से रक्षा क्षेत्र को सहयोग दे रही हैं। साइबर सुरक्षा के लिए भी हमें इन कंपनियों की मदद लेनी होगी। इसके अलावा, साइबर सुरक्षा के विशिष्ट कायार्ें के लिए देश में ही विकसित होने वाले स्टार्ट-अप्स को भी साथ जोड़ा जा सकता है।
लेखक क्रिप्टोग्राफर एवं हैदराबाद स्थित सी. आर. राव एडवांस्ड इंस्टीट्यूट
टिप्पणियाँ