देश में महत्त्व पूर्ण अवसंरचनाओं पर साइबर हमलों के मामलों में वृद्धि को देखते हए ‘राष्ट्रीय सुरक्षा परिषद सचिवालय’ (NSCS) ने एक मसौदा राष्ट्रीय साइबर सुरक्षा(cyber security in hindi) रणनीति तैयार की है।
प्रमुख बिंदु
■ केंद्र सरकार के अनुसार, नवंबर 2022 तक देश में कुल 12,67,564 साइबर सुरक्षा घटनाएँ दर्ज की गई। वर्ष 2021 में ऐसी 14,02,809 घटनाएँ जबकि वर्ष 2020 में 11,58,208 तथा वर्ष 2019 में 3,94,499 घटनाएँ दर्ज की गई थीं।
■ गौरतलब है कि हाल ही में नई दिल्ली स्थित अखिल भारतीय आयुर्विज्ञान संस्थान के सर्वर पर साइबर हमले के कारण कई ऑनलाइन सुविधाओं को स्थगित करना पड़ा था।
■ इस संदर्भ vec H दिल्ली पुलिस द्वारा भारतीय दंड संहिता की धारा-385 एवं सूचना प्रौद्योगिकी अधिनियम की धारा-66 एवं 66-F के तहत मामला दर्ज किया गया है।
■ दिल्ली पुलिस ने केंद्रीय अन्वेषण ब्यूरो (सीबीआई) से इंटरपोल और अन्य एजेंसियों के सहयोग से इस मामले की जाँच के दौरान चीन और हॉन्गकॉन्ग से जुड़े दो ईमेल आईडी के बारे अधिक जानकारी एकत्र करने की मांग की है।
■ साथ ही इस मामले की जाँच ‘राष्ट्रीय सूचना विज्ञान केंद्र’ (NIC), राष्ट्रीय जाँच एजेंसी (NIA), और राष्ट्रीय सुरक्षा परिषद सचिवालय (NSCS) द्वारा की जा रही है।
स्वास्थ्य क्षेत्र में साइबर हमलों में वृद्धि
■ नवंबर 2022 तक भारत में स्वास्थ्य क्षेत्र में लगभग 19 लाख साइबर हमलों (या हमलों के प्रयास) के मामले दर्ज किये गए थे।
■ अगस्त 2022 में यूके में ‘राष्ट्रीय स्वास्थ्य सेवा’ (NHS) सॉफ्टवेयर पर हुए साइबर हमले में देश की एंबुलेंस, मरीजों की भर्ती, आपातकालीन स्वास्थ्य सेवा आदि को प्रभावित किया था।
■ हाल ही में अमेरिकन हॉस्पिटल एसोसिएशन ने स्वास्थ्य क्षेत्र में साइबर सुरक्षा को मज़बूत करने का आह्वान किया क्योंकि हैकरों द्वारा स्वास्थ्य इकाइयों पर साइबर हमलों से प्राप्त रोगी डेटा का उपयोग फिरौती माँगने या अन्य आपराधिक गतिविधियों के लिये किया जा सकता है।
■ एक अनुमान के अनुसार, एम्स दिल्ली में 40 फिजिकल सर्वर और 100 वर्चुअल सर्वर हैं, हालिया साइबर हमले में एम्स के 5 सर्वर प्रभावित होने का अनुमान है जिनमें लगभग 3-4 करोड़ मरीजों का डेटा होने का अनुमान है।
Table of Contents
कारण (cyber security in hindi)
केंद्र सरकार ने एम्स सर्वर में ‘अनुचित नेटवर्क विभाजन’ (Improper Network Segmentation) को इस साइबर हमले के लिये मुख्य कारण बताया।
साइबर हमला या साइबर अटैक (Cyber Attack)
■ साइबर अटैक से आशय किसी व्यक्ति अथवा संस्थान को क्षति या हानि
पहुँचाने के उद्देश्य से किसी कंप्यूटर या कंप्यूटर सिस्टम तक अवै पहुँच प्राप्त करने का प्रयास करने से है।
■ हालाँकि, वर्तमान समय में साइबर अटैक का उपयोग सेनाओं द्वारा शत्रु देश पर हमले करने, आतंकवादी समूहों द्वारा अराजकता फैलाने राजनीतिक उद्देश्यों, संगठित आपराध आदि के लिये भी किया जाता है।
साइबर हमलों के प्रकार (type of cyber attack)
■ बैकडोर ट्रोजनः एक बैकडोर ट्रोजन प्रभावित व्यक्ति/संस्थान के सिस्टम में एक बैकडोर भेद्यता पैदा करता है, जिससे हमलावर को कहीं भी बैठे हुए सिस्टम पर लगभग पूर्ण नियंत्रण प्राप्त करने की अनुमति मिलती है।।
■ डिनायल ऑफ सर्विस (DoS): Dos और डिस्ट्रीब्यूटेड – डिनायल ऑफ सर्विस ( DDoS) सिस्टम के संसाधनों पर हमला करते हैं, उनपर कार्य का दबाव बढ़ा देते हैं और उन्हें सेवा अनुरोधों पर प्रतिक्रिया करने से रोकते हैं, जिससे सिस्टम के प्रदर्शन की क्षमत कम हो जाती है। अक्सर, यह हमला किसी अन्य हमले के लिये एक सेटअप होता है।
■ मैलवेयरः मैलवेयर दुर्भावनापूर्ण उद्देश्यों के लिये प्रयुक्त सॉफ्टवेयर है। जो संक्रमित सिस्टम को निष्क्रिय कर सकता है। अधिकांश मैलवेया वेरिएंट ऑपरेटिंग सिस्टम को चलाने की क्षमता के आवश्यक महत्त्वपूर्ण फाइलों को हटाकर या मिटाकर डेटा को नष्ट कर देते हैं।
■ फिशिंगः इसके तहत अपराधी उपयोगकर्त्ताओं की व्यक्तिगत जानकारी या क्रेडिट कार्ड नंबर जैसे संवेदनशील डेटा को चुराने का प्रयास करते हैं। इस मामले में स्कैमर नकली हाइपरलिंक का उपयोग करके उपयोगकर्त्ताओं को ईमेल या टेक्स्ट संदेश के माध्यम से लक्षित करते हैं।
■ रैंसमवेयर: रैंसमवेयर परिष्कृत मैलवेयर है जो डेटा या सिस्टम की कार्यक्षमता को बंधक रखने के लिये मजबूत एन्क्रिप्शन का उपयोग करता है। इसके तहत आमतौर पर साइबर अपराधी सिस्टम के डेटा को पुनः छोड़ने के बदले में बड़ी धनराशि की मांग करते हैं।
चुनौतियाँ
■ जागरूकता का अभाव : हाल के वर्षों में साइबर अपराधों के मामलों में वृद्धि के बावजूद देश में सार्वजनिक सेवा से जुड़े प्रमुख में साइबर सुरक्षा के प्रति जागरूकता और इससे निपटने हेतु आवश्यक संसाधनों के वितरण में काफी कमी देखी गई है। संस्थानों
■ समन्वय की कमी: भारत में ‘पुलिस’ और ‘सार्वजनिक व्यवस्था’ राज्य सूची का विषय होने के कारण अपराध की जाँच करने और आवश्यक साइबर अवसंरचना बनाने का प्राथमिक दायित्व राज्यों का है। साथ आईटी अधिनियम और प्रमुख सुरक्षा कानून केंद्रीय विधान होने के कारण
केंद्र सरकार प्रवर्तन एजेंसियों के लिये समान वैधानिक प्रक्रियाओं को ही, विकसित करने के लिये उत्तरदायी है। ऐसे में साइबर सुरक्षा के क्षेत्र में केंद्र तथा राज्य के बीच समन्वय की कमी खास कारण बनता है।
■ प्रक्रियात्मक कोड का अभावः वर्तमान में भारत में साइबर या कंप्यूटर संबंधी अपराधों की जाँच के लिये कोई अलग प्रक्रियात्मक कोड नहीं है। गौरतलब है कि सामान्य अपराध के साक्ष्य की तुलना में साइबर अपराध के मामलों में इलेक्ट्रॉनिक साक्ष्य पूरी तरह से अलग प्रकृति के होते हैं, ऐसे में इलेक्ट्रॉनिक साक्ष्य से निपटने के लिये समान मानक और प्रक्रियाएँ निर्धारित करना आवश्यक है।
विशेषज्ञों की कमीः देश के अधिकांश राज्यों में साइबर अपराधों की जाँच के लिये पुलिस बलों को पर्याप्त प्रशिक्षण या विशेषज्ञों की नियुक्त पर बहुत अधिक ध्यान नहीं दिया गया है। साथ ही एक सामान्य पुलिस कर्मी प्राथमिक प्रशिक्षण के बाद भी केवल ‘फर्स्ट रिस्पोंडर्स’ के रूप में ही कार्य कर सकते हैं।
■ संसाधन एवं अवसंरचना विकासः राज्यों की साइबर फॉरेंसिक प्रयोगशालाओं को आधुनिक तकनीकी विकास के अनुरूप उन्नत किया जाना चाहिये। केंद्र सरकार द्वारा आधुनिकीकरण के लिये धन मुहैया कराकर राज्य प्रयोगशालाओं के उन्नयन में सहायता की जाती है। हालाँकि पिछले कुछ वर्षों में इस कोष में धीरे-धीरे गिरावट देखने को मिली है। ■ अंतर्राष्ट्रीय सहयोग की आवश्यकताः वर्तमान में अधिकांश साइबर अपराध विदेशी क्षेत्राधिकार के साथ ही एक से अधिक देशों से संबंधित होते हैं। साथ देश की सीमा से बाहर या अंतर्राष्ट्रीय क्षेत्राधिकार में साक्ष्य
का संग्रह न केवल कठिन बल्कि एक धीमी प्रक्रिया भी है।
■ सूचना प्रौद्योगिकी (आईटी) अधिनियम, 2000 इस बात पर जोर देता है। कि अधिनियम के तहत दर्ज अपराधों की जाँच एक पुलिस अधिकारी द्वारा की जानी चाहिये जो एक उप पुलिस अधीक्षक के पद से कम न हो। तथ्य यह है कि जिलों में पुलिस निरीक्षकों की संख्या सीमित है, और अधिकांश फील्ड जाँच सब-इंस्पेक्टरों द्वारा की जाती है। इसलिये, अधिनियम की धारा 80 में एक उपयुक्त संशोधन पर विचार करना और उप-निरीक्षकों को साइबर अपराधों की जाँच करने के लिये पात्र बनाना व्यावहारिक होगा।
सरकार के प्रयास
भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया दल’ (CERT-in) निरंतर कंप्यूटर और नेटवर्क की सुरक्षा के लिये नवीनतम साइबर खतरों और उनसे निपटने के उपायों के बारे में चेतावनी एवं सलाह जारी करता है। # साइबर स्वच्छता केंद्र: CERT-in साइबर स्वच्छता केंद्र (बोटनेट क्लीनिंग एंड मालवेयर एनालिसिस सेंटर) का संचालन करता है, इसका उद्देश्य दुर्भावनापूर्ण उद्देश्य से संचालित प्रोग्राम का पता लगाना तथा उन्हें हटाने के नागरिकों एवं संगठनों को साइबर सुरक्षा उपायों के प्रति जागरूक करना है।
• CERT-In और भारतीय रिजर्व बैंक (RBI] द्वारा संयुक्त रूप से डिजिटल इंडिया प्लेटफॉर्म के माध्यम से ‘वित्तीय धोखाधड़ी से सावधान तथा जागरूक रहने के मुद्दे पर साइबर सुरक्षा जागरूकता अभियान चलाया जाता है।
■ नोडल एजेंसी: केंद्रीय गृह मंत्रालय के तहत ‘भारतीय साइबर अपराध समन्वय केंद्र’ (I4C) को साइबर अपराध के खिलाफ कार्रवाई के लिये। नोडल एजेंसी के रूप में नामित किया गया है।
साइबर आतंकवाद का अपराधीकरण: वर्ष 2021 में संयुक्त राष्ट्र महासभा अपनाए गए प्रस्ताव 75/282 के तहत आपराधिक उद्देश्यों के।
लिये सूचना एवं संचार प्रौद्योगिकियों के उपयोग का मुकाबला करने पर व्यापक अंतर्राष्ट्रीय सम्मेलन’ की स्थापना हेतु सभी सदस्य देशों को शामिल करते हुए एक तदर्थ समिति का गठन किया गया था। इस समिति के एक सदस्य के रूप में भारत ने साइबर आतंकवाद के अपराधीकरण का प्रस्ताव दिया है।
■ मॉडल कंप्यूटर अवसंरचनाः राष्ट्रीय सूचना विज्ञान केंद्र (NIC) को एम्स और अन्य अस्पतालों के लिये एक ‘मॉडल’ कंप्यूटर आर्किटेक्चर बनाने का ज़िम्मा सौंपा गया है।
क्या किया जा सकता है?
अत्याधुनिक राष्ट्रीय साइबर फोरेंसिक लैब और दिल्ली पुलिस के ‘साइबर रोकथाम, जागरूकता और जाँच केंद्र’ (CyPAD) के माध्यम से राज्यों को उनकी प्रयोगशालाओं को अधिसूचित करने में सहायता प्रदान की जा सकती है।
भारत द्वारा 48 देशों के साथ प्रत्यर्पण संधियों (Extradition Treaties) और 12 देशों के साथ प्रत्यर्पण व्यवस्था (Extradition Arrangement) को लागू किया है, इसे अन्य देशों के साथ बढ़ाए जाने के साथ साइबर सुरक्षा(cyber security in hindi) सहयोग को मज़बूत करने के लिये क्षेत्रीय एवं अंतर्राष्ट्रीय संधियों को बढ़ावा दिया जाना चाहिये।
सरकार को व्यक्तिगत डेटा संरक्षण कानून में ‘डेटा स्थानीयकरण’ से जुड़े व्यापक प्रावधान शामिल करने चाहिये, जिससे प्रवर्तन एजेंसियों को किसी भी संदिग्ध डेटा की समय पर पहुँच प्राप्त हो सके।