Cyber Resilience in the Era of AI and Digital Transformation
यह एडिटोरियल 05/06/2026 को द बिज़नेस स्टैंडर्ड में प्रकाशित “The new cybersecurity imperative” शीर्षक से प्रकाशित लेख पर आधारित है। इसमें तर्क दिया गया है कि भारत को अपनी तेज़़ी से बढ़ती डिजिटल अर्थव्यवस्था की सुरक्षा के लिये साइबर सिक्योरिटी को एक मामूली तकनीकी चिंता से ऊपर उठाकर एक मुख्य संस्थागत स्तंभ के रूप में स्थापित करने की आवश्यकता है।
भारत अत्याधुनिक साइबर खतरों का सामना कर रहा है, जिनमें कृत्रिम बुद्धिमत्ता (AI) द्वारा संचालित ‘डिजिटल अरेस्ट’ घोटालों से लेकर महत्त्वपूर्ण अवसंरचना पर राज्य-प्रायोजित हमले शामिल हैं। इनसे निपटने के लिये सरकार ज़ीरो-ट्रस्ट आर्किटेक्चर, अनुकूली AI-रक्षा और डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 जैसे कानूनी प्रावधानों की ओर अग्रसर है। साइबर सुरक्षा को मज़बूत करने के लिये अब एक एकीकृत, सक्रिय और क्वांटम-रेडी राष्ट्रीय रणनीति की आवश्यकता है।
भारत को किन प्रमुख साइबर सुरक्षा खतरों का सामना करना पड़ रहा है?
- कृत्रिम बुद्धिमत्ता (AI) द्वारा संचालित सोशल इंजीनियरिंग और डीपफेक: कृत्रिम बुद्धिमत्ता (AI) और लार्ज लैंग्वेज मॉडल्स (LLM) की तीव्र प्रगति ने हमलावरों को अत्यधिक वैयक्तिकृत फिशिंग अभियान बनाने में सक्षम बनाया है।
- वित्तीय धोखाधड़ी के लिये हमलावर अधिकारियों या परिवार के सदस्यों का रूप धारण करने के लिये डीपफेक वोइस और वीडियो तकनीक का उपयोग करते हैं।
- ‘डिजिटल अरेस्ट’ घोटाले, जिनमें अपराधी डीपफेक वीडियो कॉल का उपयोग करके कानून प्रवर्तन अधिकारियों के रूप में पेश आते हैं और फर्ज़ी आपराधिक मामलों को ‘निपटाने’ के लिये पैसे की मांग करते हैं।
- न्यायिक कार्यवाही (जिसमें सर्वोच्च न्यायालय की स्वतः संज्ञान याचिका भी शामिल है) में उद्धृत रिपोर्टों के अनुसार, भारत भर में पीड़ितों ने डिजिटल अरेस्ट घोटालों में सामूहिक रूप से लगभग ₹3,000 करोड़ गँवा दिये हैं।
- वित्तीय साइबर धोखाधड़ी: भारत डिजिटल पेमेंट में विश्व का नेतृत्व कर रहा है, फिर भी वित्तीय धोखाधड़ी सबसे बड़ा खतरा बनी हुई है। बैंक खातों तक अनधिकृत पहुँच और UPI तथा नेट-बैंकिंग उपयोगकर्त्ताओं को निशाना बनाने वाले ऑनलाइन घोटाले इसके खतरे हैं।
- उदाहरण के लिये, भारतीय बैंकों ने वित्त वर्ष 2025-26 के प्रारंभिक नौ महीनों (अप्रैल-दिसंबर 2025) के दौरान 36,000 करोड़ रुपये से अधिक के 17,000 से अधिक धोखाधड़ी के मामलों की रिपोर्ट की।
- इसके अलावा, हाल ही में सरकार द्वारा साइबर धोखाधड़ी से जुड़े 9.42 लाख से अधिक सिम कार्ड ब्लॉक किये गए हैं।
- रैनसमवेयर अटैक: रैनसमवेयर में दुर्भावनापूर्ण सॉफ्टवेयर शामिल होता है जो किसी संगठन के डेटा को एंक्रिप्ट करता है तथा हमलावर डिक्रिप्शन-की के लिये फिरौती की मांग करते हैं।
- ये हमले महत्त्वपूर्ण अवसंरचना, स्वास्थ्य सेवा प्रणालियों और सरकारी पोर्टलों को पंगु बना सकते हैं।
- उदाहरण के लिये, HDFC एसेट मैनेजमेंट ब्रीच (मई 2026) के दौरान, ‘मॉर्फियस’ रैंसमवेयर समूह ने 680 GB से अधिक संवेदनशील निवेशक डेटा (पैन, बैंक विवरण, पोर्टफोलियो विश्लेषण) चुरा लिया और इसे लीक करने की धमकी दी, जिससे कंपनी को डेटा के प्रसार को रोकने के लिये बॉम्बे उच्च न्यायालय से तत्काल हस्तक्षेप की मांग करने के लिये विवश होना पड़ा।
- आपूर्ति शृंखला पर हमले: हमलावर अब प्राथमिक लक्ष्य के बजाय संगठन के विक्रेताओं या सॉफ्टवेयर सेवा प्रदाताओं को निशाना बना रहे हैं।
- किसी भरोसेमंद सॉफ्टवेयर अपडेट या सामान्य सेवा प्रदाता से समझौता करके हैकर्स हज़ारों डाउनस्ट्रीम क्लाइंट्स तक पहुँच प्राप्त कर सकते हैं।
- तृतीय-पक्ष पोर्टलों में विद्यमान कमज़ोरियाँ, जैसे हाल ही में CBSE के ऑनमार्क पोर्टल से संबंधित चिंताएँ, इस तथ्य को रेखांकित करती हैं कि सेवा प्रदाता डेटा उल्लंघन के लिये संभावित माध्यम बन सकते हैं।
- महत्त्वपूर्ण अवसंरचना पर हमले: भारत की महत्त्वपूर्ण सूचना अवसंरचना (CII), जिसमें बिजली ग्रिड, परिवहन और बैंकिंग प्रणाली शामिल हैं, राज्य से संबद्ध एवं संगठित आपराधिक तत्त्वों के लिये एक उच्च-मूल्य वाला लक्ष्य है।
- उदाहरण के लिये, भारत की महत्त्वपूर्ण अवसंरचना को लक्षित संभावित साइबर तोड़फोड़ के प्रयासों का एक प्रमुख उदाहरण वर्ष 2020 का मुंबई पावर आउटेज माना जाता है। जब मुंबई और उसके आसपास के महानगरीय क्षेत्र में बड़े पैमाने पर बिजली ग्रिड की विफलता हुई, जिससे लोकल ट्रेनें रुक गईं, अस्पताल प्रभावित हुए और कई घंटों तक आवश्यक सेवाऍं बाधित रहीं।
- रिकॉर्डेड फ्यूचर की एक रिपोर्ट में सुझाव दिया गया है कि चीन से जुड़े एक राज्य-प्रायोजित समूह (‘रेड इको’ के नाम से जाना जाता है) ने मैलवेयर इंजेक्शन के माध्यम से भारत के बिजली क्षेत्र को निशाना बनाया था।
- उदाहरण के लिये, भारत की महत्त्वपूर्ण अवसंरचना को लक्षित संभावित साइबर तोड़फोड़ के प्रयासों का एक प्रमुख उदाहरण वर्ष 2020 का मुंबई पावर आउटेज माना जाता है। जब मुंबई और उसके आसपास के महानगरीय क्षेत्र में बड़े पैमाने पर बिजली ग्रिड की विफलता हुई, जिससे लोकल ट्रेनें रुक गईं, अस्पताल प्रभावित हुए और कई घंटों तक आवश्यक सेवाऍं बाधित रहीं।
- फिशिंग और क्रेडेंशियल थेफ्ट: कॉर्पोरेट और सरकारी नेटवर्क में इनिशियल एक्सेस प्राप्त करने के लिये फिशिंग सबसे ‘क्लासिक’, लेकिन प्रभावी तरीका बना हुआ है।
- धोखाधड़ी करने वाले आमतौर पर प्रमुख भारतीय बैंकों (जैसे SBI, HDFC या ICICI) का रूप धारण करके SMS या ईमेल भेजते हैं।
- ये संदेश तात्कालिकता की भावना उत्पन्न करते हैं, यह दावा करते हुए कि यदि उपयोगकर्त्ता तुरंत KYC अपडेट पूरा नहीं करते हैं तो उनका खाता या डेबिट कार्ड ‘ब्लॉक’ या ‘निष्क्रिय’ कर दिया जाएगा।
- भारतीय रिज़र्व बैंक (RBI) द्वारा समय-समय पर KYC अनुपालन अद्यतन को अनिवार्य किये जाने के कारण उपयोगकर्त्ता ऐसे अनुरोधों को सामान्य प्रक्रिया का हिस्सा मानने लगते हैं, जिससे उनके भीतर उत्पन्न होने वाला स्वाभाविक संदेह कमज़ोर पड़ जाता है।
- डेटा उल्लंघन और प्राइवेसी का खतरा: सार्वजनिक सेवाओं के डिजिटलीकरण के साथ नागरिकों का भारी मात्रा में डेटा क्लाउड-आधारित बकेट और सरकारी डेटाबेस में संग्रहीत किया जाता है।
- गलत तरीके से कॉन्फिगर किया गया क्लाउड स्टोरेज (जैसे असुरक्षित AWS बकेट) या डेटाबेस लीक होने से व्यक्तिगत जानकारी, जैसे कि छात्र रिकॉर्ड या पहचान दस्तावेज़ उजागर हो सकते हैं।
- उदाहरण के लिये, वर्ष 2016 में हिताची पेमेंट गेटवे में हुई सेंधमारी भारतीय बैंकिंग इतिहास में सबसे बड़े डेटा उल्लंघनों में से एक थी।
- इसके परिणामस्वरूप प्रमुख बैंकों के लगभग 32 लाख डेबिट कार्डों की सूचना लीक हो गई।
- कृत्रिम बुद्धिमत्ता प्रणालियों पर प्रतिकूल हमले: वित्त, स्वास्थ्य सेवा, शासन एवं रक्षा जैसे क्षेत्रों में कृत्रिम बुद्धिमत्ता (AI) को तेज़़ी से अपनाने से AI मॉडल और उनके प्रशिक्षण डेटा को लक्षित करने वाले साइबर खतरों की एक नई श्रेणी का निर्माण हुआ है।
- साइबर अपराधी AI सिस्टम को नुकसान पहुँचाने, भ्रामक परिणाम उत्पन्न करने, सुरक्षा उपायों को दरकिनार करने या संवेदनशील जानकारी निकालने के लिये प्रॉम्प्ट इंजेक्शन, डेटा पॉइज़निंग और मॉडल मैनिपुलेशन जैसी तकनीकों का उपयोग करते हैं।
- इस तरह के हमले कृत्रिम बुद्धिमत्ता (AI) द्वारा संचालित निर्णय लेने की विश्वसनीयता को कमज़ोर कर सकते हैं, महत्त्वपूर्ण सेवाओं को बाधित कर सकते हैं और संगठनों को वित्तीय, परिचालन एवं सुरक्षा जोखिमों के प्रति संवेदनशील बना सकते हैं। जैसे-जैसे AI भारत के डिजिटल पारिस्थितिकी तंत्र का अभिन्न अंग बनता जा रहा है, AI प्रणालियों को शत्रुतापूर्ण हमलों से सुरक्षित रखना एक प्रमुख साइबर सुरक्षा चुनौती के रूप में उभर रहा है।
साइबर सुरक्षा को सुदृढ़ करने के लिये भारत कौन-से प्रमुख उपाय अपना रहा है?
- AI-आधारित सुरक्षा प्रणालियाँ: मई 2026 में CERT-In ने विशेष रूप से AI-सहायता प्राप्त साइबर हमलों से निपटने के लिये एक व्यापक योजना जारी की। यह संगठनों को स्थिर सुरक्षा मॉडलों से हटाकर अनुकूलनीय, AI-सक्षम सुरक्षा प्रणालियों की ओर ले जाती है।
- संगठनों को AI-संचालित खतरों का मुकाबला करने के लिये AI का उपयोग करने के लिये प्रोत्साहित किया जाता है, जिसमें तेज़़ी से पता लगाने एवं स्वचालित भेद्यता खोज पर ध्यान केंद्रित किया जाता है।
- CERT-In ने संगठनों को परामर्श दिया है कि वे दुर्भावनापूर्ण साइबर हमलों से सुरक्षा सुनिश्चित करने हेतु, यथासंभव इंटरनेट से जुड़े तंत्रों की सतत निगरानी करें तथा सर्वाधिक महत्त्वपूर्ण प्रणालियों को प्रभावित करने वाली पहचान की गई कमज़ोरियों का उनकी पहचान के 12 घंटों के भीतर निराकरण सुनिश्चित करें।
- राज्य डेटा ढाँचे को मज़बूत बनाना: इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने सभी 36 राज्यों और केंद्र शासित प्रदेशों के लिये राष्ट्रीय साइबर सुरक्षा नीति संरचना बनाने के लिये चार चरणों वाले विभागीय शिखर सम्मेलन की शुरुआत की है।
- यह सुनिश्चित करता है कि राज्य सरकारों के पास मौजूद नागरिक डेटा (स्वास्थ्य, भूमि अभिलेख, कल्याण डेटाबेस) को प्रशासनिक विकल्प के बजाय कानूनी दायित्व के रूप में संरक्षित किया जाए।
- डिजिटल व्यक्तिगत डेटा संरक्षण (DPDP) अधिनियम, 2023 साइबर सुरक्षा को ‘सर्वोत्तम प्रयास’ प्रतिबद्धता से डेटा न्यासियों के लिये एक कानूनी जनादेश में परिवर्तित कर देता है।
- महत्त्वपूर्ण सूचना अवसंरचना (CII) की सुरक्षा: राष्ट्रीय महत्त्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र (NCIIPC) राष्ट्रीय सुरक्षा के लिये आवश्यक क्षेत्रों, जैसे कि बिजली ग्रिड, बैंकिंग और दूरसंचार की रक्षा के लिये नोडल एजेंसी के रूप में कार्य करता है।
- NCIIPC ने टेम्पलेट-आधारित जाँच से हटकर SCADA (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण) प्रणालियों की रियल टाइम की निगरानी को अनिवार्य कर दिया है।
- इसमें यह अनिवार्य किया गया है कि महत्त्वपूर्ण अवसंरचना का संचालन करने वाले किसी भी संगठन को उन्नत खतरे का पता लगाने वाले सेंसर को एकीकृत करने की आवश्यकता है, जो असामान्य ट्रैफिक पैटर्न की पहचान और निगरानी करते हैं, जैसे: किसी आउटर IP एड्रेस द्वारा विद्युत संयंत्र की शीतलन प्रणाली के दबाव अथवा तापमान विन्यास में अचानक परिवर्तन करने का प्रयास।
- यह सूचना प्रौद्योगिकी अधिनियम, 2000 के तहत कार्य करता है तथा साइबर आतंकवाद एवं महत्त्वपूर्ण अवसंरचना में व्यवधान की रोकथाम हेतु संवेदनशील क्षेत्रों में खतरे की निगरानी और समुत्थानशक्ति के सुदृढ़ीकरण का समन्वय करता है।
- NCIIPC ने टेम्पलेट-आधारित जाँच से हटकर SCADA (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण) प्रणालियों की रियल टाइम की निगरानी को अनिवार्य कर दिया है।
- उन्नत खतरे की पहचान और साइबर रेज़िलीएंस: भारत ने 231 से अधिक साइबर सुरक्षा ऑडिट संगठनों को सूचीबद्ध किया है, जो सरकारी और निजी संस्थाओं के लिये नियमित रूप से भेद्यता आकलन एवं प्रवेश परीक्षण (VAPT) करते हैं।
- CERT-In के साइबर स्वच्छता केंद्र (CSK) ने मुफ्त बॉटनेट-रिमूवल वाले उपकरणों के 89.55 लाख डाउनलोड की सुविधा प्रदान की है, जिससे नागरिकों को संक्रमित उपकरणों को सक्रिय रूप से क्लीन करने तथा व्यापक मैलवेयर प्रसार को रोकने में सहायता मिली है।
- I4C (भारतीय साइबर अपराध समन्वय केंद्र) की संदिग्ध रजिस्ट्री ने साइबर धोखाधड़ी में ₹8000 करोड़ से अधिक की रकम को अवरुद्ध किया है, लाखों फर्ज़ी खातों की पहचान की है और गिरफ्तारियों में सहायता की है।
- ज़ीरो-ट्रस्ट सुरक्षा का अंगीकरण: सरकारी आदेश और CERT-In की सलाहें ज़ीरो-ट्रस्ट आर्किटेक्चर को बढ़ावा देने के लिये लगातार दबाव डाल रही हैं।
- इसमें मल्टी-फैक्टर ऑथेंटिकेशन (MFA), माइक्रो-सेगमेंटेशन और सत्रों की कड़ी निगरानी शामिल है। यह ‘कभी भरोसा न करें, हमेशा सत्यापित करें’ के सिद्धांत पर कार्य करता है, यहाँ तक कि नेटवर्क पेरिमीटर के भीतर मौजूद उपयोगकर्त्ताओं के लिये भी।
- अकेले वर्ष 2025 में CERT-In ने 29.44 लाख से अधिक साइबर घटनाओं का निपटान किया, 1530 तकनीकी अलर्ट और 390 भेद्यता नोट्स जारी किये, ताकि संगठनों को अपने सिस्टम को सक्रिय रूप से सुरक्षित करने में सहायता मिल सके।
- इसके अलावा, ट्रस्टेड टेलीकॉम पोर्टल दूरसंचार ऑपरेटरों से यह सख्ती से अपेक्षा करता है कि वे 5G और कोर नेटवर्क हार्डवेयर केवल सत्यापित ‘विश्वसनीय स्रोतों’ से ही प्राप्त करें।
- अत्याधुनिक AI सुरक्षा के लिये वैश्विक भागीदारी: भारत को प्रोजेक्ट ग्लास विंग जैसी अंतरराष्ट्रीय पहलों में शामिल किया गया है, जहाँ संगठनों को उन्नत साइबर सुरक्षा मॉडल (जैसे एंथ्रोपिक का माइथोस ) तक पहुँच प्राप्त होती है।
- इससे भारतीय साइबर सुरक्षा एजेंसियों और कंपनियों को AI का उपयोग करके बड़े पैमाने पर प्रमुख सॉफ्टवेयर कमज़ोरियों की पहचान करने में सहायता मिलती है, इससे पहले कि उनका फायदा शत्रुतापूर्ण तत्त्वों द्वारा उठाया जा सके, जिससे भारत AI-संचालित साइबर रक्षा में वैश्विक अग्रणी के रूप में स्थापित होता है।
- इसके अलावा, वर्ष 2026 के आरंभ में, भारत-इज़रायल ‘विशेष रणनीतिक साझेदारी’ के परिणामस्वरूप साइबर सुरक्षा प्रौद्योगिकी का महत्त्वपूर्ण अंतरण हुआ।
- रेडिंगटन इंडिया लिमिटेड जैसी भारतीय कंपनियों ने चेक प्वाइंट जैसी इज़रायली फर्मों के साथ साझेदारी की है, ताकि भारतीय MSME (सूक्ष्म, लघु और मध्यम उद्यम) को इज़रायल में विकसित उन्नत साइबर सुरक्षा समाधान वितरित किये जा सकें, जिससे उस कमी को पूरा किया जा सके, जहाँ छोटे व्यवसायों के पास प्रायः रैंसमवेयर से सुरक्षा के लिये परिष्कृत उपकरणों की कमी होती है।
- डिजिटल गवर्नेंस और क्षमता निर्माण: ‘CERT-In संवाद’ जैसे सम्मेलनों के माध्यम से सरकार नीति निर्माताओं, उद्योग के मुख्य सूचना सुरक्षा अधिकारियों (CISO) और सुरक्षा शोधकर्त्ताओं के बीच के अंतराल को कम करती है।
- ई-गवर्नेंस के लिये राष्ट्रीय पुरस्कार- 2026 में अब ‘सर्वोत्तम ई-गवर्नेंस प्रथाओं/साइबर सुरक्षा में नवाचार’ के लिये विशिष्ट श्रेणियाँ शामिल की गई हैं, जो राज्य एवं स्थानीय निकायों को अपने डिजिटल परिवर्तन परियोजनाओं में सुरक्षित डिज़ाइन को प्राथमिकता देने के लिये प्रोत्साहित करती हैं।
- जून 2026 में IIT कानपुर के C3iHub ने ‘साइबर सुरक्षा पहल’ शुरू की, जिसके तहत भारतीय सेना के कर्मियों को महत्त्वपूर्ण राष्ट्रीय अवसंरचना को लक्षित करने वाले खतरों से निपटने के लिये साइबर रक्षा में प्रशिक्षण दिया गया।
- डीपफेक और AI-ड्रिवेन डीप-फेक्स से मुकाबला: सार्वजनिक विश्वास, चुनावी शुचिता और राष्ट्रीय सुरक्षा के लिये AI-ड्रिवेन कंटेंट के बढ़ते खतरे की पहचान करते हुए, भारत ने डीपफेक एवं कृत्रिम मीडिया का मुकाबला करने के लिये अपने नियामक ढाँचे को मज़बूत किया है।
- IT संशोधन नियम, 2026 के अंतर्गत पहचान किये गये डीपफेक तथा कृत्रिम रूप से सृजित अन्य प्रकार की मिथ्या सूचनाओं के लिये 3 घंटे के भीतर अनिवार्य रिमूवल की व्यवस्था लागू की गई।
- इस सक्रिय दृष्टिकोण का उद्देश्य संज्ञानात्मक युद्ध को रोकना, झूठी कहानियों के तेज़़ी से प्रसार को रोकना और डिजिटल सूचना पारिस्थितिकी तंत्र की लचीलता को बढ़ाना है।
भारत में साइबर सुरक्षा को सुदृढ़ करने हेतु और कौन-से उपाय अपनाये जाने की आवश्यकता है?
- क्वांटम क्रिप्टोग्राफी के उत्तर-युग (PQC) की ओर संक्रमण: क्वांटम कंप्यूटिंग बैंकिंग और सरकारी संचार में उपयोग किये जाने वाले वर्तमान एंक्रिप्शन (रिवेस्ट-शमीर-एडलमैन और एलिप्टिक कर्व क्रिप्टोग्राफी) के लिये एक अस्तित्वगत खतरा उत्पन्न करती है।
- ‘भारत में क्वांटम सुरक्षित पारिस्थितिकी तंत्र’ नामक रिपोर्ट में वर्ष 2029 तक सभी महत्त्वपूर्ण सूचना अवसंरचनाओं (CII) में क्वांटम रेज़िलीएंस हासिल करने का लक्ष्य निर्धारित किया गया है।
- इसमें ‘क्रिप्टो-एजाइल’ पब्लिक की इंफ्रास्ट्रक्चर (PKI) सिस्टम की तैनाती अनिवार्य है, जिन्हें क्वांटम-रेज़िस्टेंट एल्गोरिदम के मानक बनने पर अपडेट किया जा सकता है।
- IT और OT सुरक्षा का अभिसरण: भारत को एक एकीकृत सुरक्षा ढाँचे का अंगीकरण चाहिये जो IT और OT जोखिम प्रबंधन, रियल टाइम की निगरानी तथा नेटवर्क विभाजन को एकीकृत करता हो, ताकि अवसंरचना को साइबर-फिज़िकल अटैक्स से बचाया जा सके।
- राष्ट्रीय महत्त्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र (NCIIPC) ने अब SCADA (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण) प्रणालियों की रियल टाइम यातायात निगरानी को अनिवार्य कर दिया है।
- इससे IT स्तर की सेंधमारी (जैसे किसी कार्यालय के कंप्यूटर का हैक होना) को OT स्तर के व्यवधान (जैसे पावर ग्रिड के वोल्टेज में परिवर्तन करना) में परिवर्तित होने से रोका जा सकता है।
- एकीकृत साइबर कमान: वर्तमान में आसूचना और प्रतिक्रिया CERT-In, NCIIPC और I4C (गृह मंत्रालय) के बीच पृथक-पृथक संचालित होती है। इसके स्थान पर एक एकल ‘अपैक्स साइबर कमांड’ की स्थापना की जानी चाहिये जो खतरे से संबंधित आसूचनाओं को एक सामरिक डैशबोर्ड में समेकित करे।
- विशेषज्ञों का मत है कि असममित युद्ध की चुनौतियों का प्रभावी ढंग से सामना करने के लिये भारत को ऐसी केंद्रीकृत कमान की आवश्यकता है जो सभी राज्य तथा केंद्रीय एजेंसियों को वास्तविक समय में एकीकृत दृश्यता प्रदान करे और दूरसंचार तथा बैंकिंग जैसे अत्यधिक परस्पर-संबद्ध क्षेत्रों में होने वाली ‘क्रमिक विफलता’ की स्थिति को रोके।
- सुरक्षा को प्राथमिकता देने वाली ‘सुरक्षा उल्लंघन की आशंका’ दृष्टिकोण: स्थिर ऑडिट अब पर्याप्त नहीं हैं; संस्थाओं को निरंतर हमलों की परिस्थितियों में अपनी सुरक्षा प्रणालियों की जाँच करने की आवश्यकता है। वार्षिक ऑडिट के स्थान पर सतत ‘रेड टीमिंग’ अपनाई जानी चाहिये, जिसमें सुरक्षा विशेषज्ञ वास्तविक आक्रमणकारियों की भाँति कार्य करते हुए कमज़ोरियों की पहचान करते हैं।
- उदाहरण के लिये, भारत NCX 2025 (राष्ट्रीय साइबर सुरक्षा अभ्यास) वास्तविक परिस्थितियों पर आधारित हमलों के अनुकरण पर केंद्रित था, जिसमें AI-संचालित खतरे, डीपफेक, औद्योगिक नियंत्रण प्रणाली (ICS) सुरक्षा तथा अन्य उभरती परिस्थितियाँ सम्मिलित थीं।
- अब निजी क्षेत्र के उद्यमों को ‘अज्यूम ब्रीच’ की इस नीति के अंगीकरण के लिये प्रोत्साहित किया जा रहा है, जिसमें सुरक्षा टीमों का मूल्यांकन इस आधार पर किया जाता है कि वे किसी खतरे को कितनी तीव्रता से नियंत्रित कर सकती हैं, न कि केवल इस आधार पर कि वे इसे कितनी अच्छी तरह रोकती हैं।
- AI-साइबर अपराधों के लिये विधायी विकास: वर्तमान कानून प्रायः AI द्वारा उत्पन्न खतरों या ‘डीपफेक’ वित्तीय धोखाधड़ी के लिये जवाबदेही परिभाषित करने में विफल रहते हैं। AI मॉडल डेवलपर्स और ऑपरेटरों के लिये स्पष्ट जवाबदेही ढाँचे को शामिल करने के लिये IT अधिनियम, 2000 को अद्यतन किया जाना चाहिये।
- DPDP अधिनियम, 2023 इस दिशा में उत्प्रेरक का कार्य कर रहा है। सरकार वर्तमान में विशिष्ट ‘AI जवाबदेही खंड’ तैयार कर रही है, जो प्लेटफॉर्मों को ज़िम्मेदार ठहराएगा यदि उनके एल्गोरिदम ‘डिजिटल अरेस्ट’ जैसे बड़े पैमाने पर साइबर धोखाधड़ी को बढ़ावा देते हैं।
- ‘स्वायत्त सुरक्षा’ के लिये कौशल विकास: ऐसे कार्यबल का विकास करना, जो मैन्युअल कार्यों को करने के बजाय AI-संचालित सुरक्षा उपकरणों का प्रबंधन कर सके।
- माइक्रोसॉफ्ट और DSCI द्वारा संचालित साइबर शिक्षा (CyberShikshaa) पहल जैसे कार्यक्रम विशेष रूप से उद्योग को मात्रा-आधारित भर्ती से हटाकर गहन एवं विशिष्ट विशेषज्ञता आधारित मॉडल की ओर ले जाने के लिये विकसित किये गये हैं।
- AI/ML सुरक्षा में विशिष्ट तथा मॉड्यूलर प्रशिक्षण उपलब्ध कराकर ये कार्यक्रम सुनिश्चित करते हैं कि नये अभ्यर्थी प्रारंभिक स्तर से ही कार्य निष्पादन के लिये तैयार हों और उन्हें दीर्घकालिक कार्यस्थल प्रशिक्षण की आवश्यकता न पड़े।
- माइक्रोसॉफ्ट और DSCI द्वारा संचालित साइबर शिक्षा (CyberShikshaa) पहल जैसे कार्यक्रम विशेष रूप से उद्योग को मात्रा-आधारित भर्ती से हटाकर गहन एवं विशिष्ट विशेषज्ञता आधारित मॉडल की ओर ले जाने के लिये विकसित किये गये हैं।
- ज़ीरो-ट्रस्ट एक्सेस फ्रेमवर्क की ओर अग्रसर होना: भारतीय फिनटेक और बैंकिंग संस्थानों को ज़ीरो-ट्रस्ट एक्सेस (ZTA) फ्रेमवर्क की ओर संक्रमण की आवश्यकता है, जिसमें प्रत्येक मशीन-टू-मशीन इंटरैक्शन को भी मानव लॉग-इन के समान कठोर प्रमाणीकरण प्रक्रिया से गुज़रना हो, यह एक प्राथमिकता है जिसे वर्तमान में डेटा सुरक्षा परिषद ऑफ इंडिया (DSCI) अपने अद्यतन उद्यम सुरक्षा मैनुअल में आगे बढ़ा रहा है।
निष्कर्ष
भारत की साइबर सुरक्षा व्यवस्था प्रतिक्रियात्मक सुधार से आगे बढ़कर सक्रिय, AI-समेकित प्रत्यास्थता की दिशा में विकसित हो रही है। डीपफेक, रैनसमवेयर तथा CII पर होने वाले हमलों जैसे खतरों के बढ़ते परिदृश्य में ज़ीरो-ट्रस्ट संरचना, पोस्ट-क्वांटम क्रिप्टोग्राफी तथा एकीकृत साइबर कमान की ओर संक्रमण अपरिहार्य हो गया है।
भारत के डिजिटल भविष्य को सुरक्षित करने के लिये विधायी प्रावधानों, तीव्र प्रौद्योगिकीय अनुकूलन तथा क्षमता निर्माण के मध्य समन्वय स्थापित करना आवश्यक है।
