44
/
7
Min Read
हाल ही में सैन फ्रांसिस्को में आयोजित RSA Conference के दौरान साइबर सुरक्षा विशेषज्ञों से पूछा गया कि वर्ष 2027 तक उद्योग को एक शब्द में कैसे परिभाषित किया जा सकता है। इस पर “Accountable” यानी जवाबदेह शब्द सबसे उपयुक्त बताया गया। यह इस बात का संकेत है कि तकनीकी खतरों के साथ-साथ संगठनों को अपने निर्णयों, प्रक्रियाओं और सुरक्षा ढांचे की जिम्मेदारी भी लेनी होगी।
नियम बदल चुके हैं, लेकिन अधिकांश संगठन नहीं बदले
विशेषज्ञों का कहना है कि साइबर सुरक्षा उद्योग लंबे समय से एक ही गलती दोहराता आ रहा है - वह अगले हमले की तैयारी करने के बजाय पिछले हमले से बचाव की रणनीति बनाता है। AI आधारित खतरों ने इस सोच को पूरी तरह बदल दिया है।
अब तक यह माना जाता था कि हमलावर इंसान होता है, जो थकता है, गलतियां करता है और जिसकी कुछ सीमाएं होती हैं। दूसरी ओर यह भी माना जाता था कि किसी व्यक्ति को देखकर या उसकी आवाज सुनकर उसकी पहचान सुनिश्चित की जा सकती है। लेकिन AI ने इन दोनों धारणाओं को खत्म कर दिया है।
आज स्वायत्त AI एजेंट बिना रुके, बिना थके और वास्तविक समय में खुद को बदलते हुए हमले कर सकते हैं। ऐसे में पारंपरिक सुरक्षा मॉडल, जहां सुरक्षा विश्लेषक अलर्ट देखकर निर्णय लेते हैं, तेजी से अप्रासंगिक होते जा रहे हैं। जब तक विश्लेषक प्रतिक्रिया देता है, तब तक हमलावर कई कदम आगे बढ़ चुका होता है।
2.5 करोड़ डॉलर का नुकसान और एक नई सीख
2024 में एक वैश्विक इंजीनियरिंग कंपनी के वित्त विभाग के कर्मचारी ने 2.5 करोड़ डॉलर ट्रांसफर कर दिए। उसे वीडियो कॉल पर कंपनी के सीएफओ और अन्य वरिष्ठ अधिकारियों की ओर से निर्देश मिले थे। बाद में पता चला कि वीडियो कॉल में दिखाई देने वाले सभी लोग AI द्वारा तैयार किए गए डीपफेक थे। इस मामले की सबसे चौंकाने वाली बात यह थी कि कंपनी की साइबर सुरक्षा व्यवस्था बेहद मजबूत थी। कोई मैलवेयर नहीं था, कोई सिस्टम हैक नहीं हुआ था, कोई पासवर्ड चोरी नहीं हुआ था और मल्टी-फैक्टर ऑथेंटिकेशन भी सक्रिय था।
फिर भी हमला सफल हो गया, क्योंकि हमलावर ने सुरक्षा प्रणालियों पर हमला नहीं किया। उसने सीधे भरोसे को निशाना बनाया। कर्मचारी ने अतिरिक्त सत्यापन के लिए वीडियो कॉल की, लेकिन वही प्रक्रिया विफल साबित हुई क्योंकि संगठन ने यह स्वीकार ही नहीं किया था कि अब वीडियो और आवाज भी नकली हो सकते हैं।
डीपफेक युग में भरोसे की नई चुनौती
यह घटना किसी कंपनी की सुरक्षा विफलता की कहानी नहीं है, बल्कि उस नई वास्तविकता का उदाहरण है जिसमें पारंपरिक सत्यापन प्रक्रियाएं पर्याप्त नहीं रह गई हैं। आज किसी व्यक्ति का चेहरा और आवाज उसकी पहचान का प्रमाण नहीं माने जा सकते।
विशेषज्ञों के अनुसार, सुरक्षा एक तकनीकी समस्या हो सकती है, लेकिन भरोसा (Trust) एक मानवीय समस्या है। आने वाले वर्षों में संगठनों को अपनी सभी महत्वपूर्ण प्रक्रियाओं को इस नई वास्तविकता के अनुसार फिर से डिजाइन करना होगा। यही कारण है कि साइबर सुरक्षा विशेषज्ञ अब तकनीकी सुरक्षा से अधिक भरोसे और सत्यापन आधारित प्रणालियों पर जोर दे रहे हैं।
27.5 करोड़ छात्रों का डेटा और एक आर्किटेक्चर की गलती
हाल ही में Canvas Learning Management System से जुड़ी डेटा चोरी की घटना ने भी साइबर सुरक्षा की नई चुनौतियों को उजागर किया। Harvard, Stanford, Oxford सहित 8,800 से अधिक संस्थानों द्वारा उपयोग किए जाने वाले इस प्लेटफॉर्म से लगभग 27.5 करोड़ छात्रों का डेटा चोरी हो गया।
जांच में सामने आया कि हमलावरों ने किसी जटिल तकनीकी कमजोरी का फायदा नहीं उठाया था। उन्होंने केवल एक मुफ्त उपयोगकर्ता के रूप में प्लेटफॉर्म पर पंजीकरण किया और उसी रास्ते से संवेदनशील डेटा तक पहुंच बना ली।
समस्या यह थी कि मुफ्त उपयोगकर्ता कार्यक्रम और भुगतान करने वाले संस्थानों के डेटा के बीच पर्याप्त तकनीकी अलगाव नहीं था। यानी यह किसी सुरक्षा टूल की विफलता नहीं, बल्कि एक आर्किटेक्चर संबंधी निर्णय की विफलता थी।
अधिकांश SaaS डेटा उल्लंघन पहले से ज्ञात जोखिमों के कारण होते हैं
विशेषज्ञों का कहना है कि अधिकांश SaaS डेटा चोरी की घटनाएं अज्ञात खतरों के कारण नहीं होतीं। वे उन जोखिमों के कारण होती हैं जिनकी जानकारी पहले से होती है, लेकिन जिन्हें पर्याप्त प्राथमिकता नहीं दी जाती।
अक्सर सुरक्षा टीमें संभावित खतरों की पहचान कर लेती हैं और इंजीनियर समाधान भी सुझाते हैं। लेकिन जब सुरक्षा और विकास के बीच प्राथमिकता तय करने की बात आती है, तो अधिकांश कंपनियों में विकास और तेजी से विस्तार को प्राथमिकता मिल जाती है। यह स्थिति तब तक बनी रहती है जब तक कोई बड़ी डेटा चोरी या साइबर हमला उस जोखिम को वास्तविक नुकसान में न बदल दे।
व्यवसायों को अभी कौन से कदम उठाने चाहिए?
विशेषज्ञों के अनुसार, सबसे पहला कदम है कि कंपनियां अपनी उच्च-जोखिम वाली प्रक्रियाओं को डीपफेक युग के अनुसार अपडेट करें। किसी भी वित्तीय निर्देश, वरिष्ठ स्तर की मंजूरी या संवेदनशील निर्णय के लिए केवल वीडियो या ऑडियो कॉल पर निर्भर नहीं रहना चाहिए। इसके लिए सत्यापित नंबर पर कॉल-बैक, स्वतंत्र दूसरे अनुमोदक की मंजूरी या अतिरिक्त सुरक्षा प्रश्नों जैसी प्रक्रियाएं लागू की जानी चाहिए। इसके लिए नई तकनीक की नहीं, बल्कि नई सोच की आवश्यकता है।
दूसरा महत्वपूर्ण कदम यह है कि AI आधारित खतरों को केवल तकनीकी समस्या नहीं, बल्कि आर्किटेक्चर और डिजाइन की समस्या के रूप में देखा जाए। सिस्टम इस प्रकार डिजाइन होने चाहिए कि किसी एक गलती या कमजोर कड़ी से संवेदनशील डेटा तक पहुंच संभव न हो।
Zero Trust: भविष्य की सुरक्षा रणनीति
विशेषज्ञों का मानना है कि पारंपरिक VPN आधारित सुरक्षा मॉडल अब पर्याप्त नहीं है। आधुनिक डिजिटल दुनिया में सुरक्षा का नया मॉडल Zero Trust है इस मॉडल में किसी भी उपयोगकर्ता, डिवाइस या अनुरोध पर स्वतः भरोसा नहीं किया जाता। हर बार पहचान, डिवाइस और एक्सेस की पुष्टि की जाती है। सुरक्षा की सीमा अब नेटवर्क या कार्यालय नहीं, बल्कि सत्यापित पहचान और भरोसा है। यानी नई दुनिया में सुरक्षा का केंद्र कोई स्थान नहीं, बल्कि Trust Framework होगा।
2027 का CISO केवल सुरक्षा अधिकारी नहीं होगा
विशेषज्ञों के अनुसार, आने वाले वर्षों में Chief Information Security Officer (CISO) की भूमिका भी पूरी तरह बदल जाएगी। आज CISO मुख्य रूप से जोखिम प्रबंधन और तकनीकी सुरक्षा पर ध्यान देता है।
लेकिन 2027 तक उसे AI Governance, AI Supply Chain Security, Autonomous Systems की निगरानी और डिजिटल विश्वास बनाए रखने जैसी जिम्मेदारियां भी निभानी होंगी। भविष्य में इंसान हर निर्णय के दौरान मौजूद नहीं होगा, इसलिए उसकी भूमिका सिस्टम का वास्तुकार (Architect) और बाद में जवाबदेही तय करने वाले व्यक्ति की होगी। यही कारण है कि भविष्य का CISO केवल साइबर सुरक्षा विशेषज्ञ नहीं, बल्कि Trust Architect के रूप में काम करेगा।
जवाबदेही का दौर शुरू हो चुका है
विशेषज्ञों का मानना है कि आने वाले समय में कंपनियों, सॉफ्टवेयर विक्रेताओं और तकनीकी प्लेटफॉर्म्स को अपने डिजाइन, आर्किटेक्चर और सुरक्षा निर्णयों के लिए जवाबदेह ठहराया जाएगा। यूरोपीय संघ का AI Act इसी दिशा में पहला बड़ा कदम माना जा रहा है। आज सबसे महत्वपूर्ण सवाल यह नहीं है कि किसी संगठन के पास कितने सुरक्षा उपकरण हैं, बल्कि यह है कि उसकी सुरक्षा रणनीति वर्तमान और भविष्य के खतरों को ध्यान में रखकर बनाई गई है या नहीं।
जो संगठन अभी से अपनी प्रक्रियाओं, तकनीकी ढांचे और सोच को बदल रहे हैं, वही AI-सक्षम खतरों के दौर में सफल होंगे। वहीं जो कंपनियां केवल बेहतर फायरवॉल और पारंपरिक सुरक्षा उपायों पर निर्भर हैं, उन्हें भविष्य में यह एहसास हो सकता है कि नया हमलावर फायरवॉल के रास्ते आता ही नहीं है।
(लेखक: मुकुल कुमार, मैनेजिंग पार्टनर, Claracon AI, विचार व्यक्तिगत हैं)
