कैसी होनी चाहिए भारत की नई साइबर सिक्योरिटी पॉलिसी, यहां समझिए

साइबर स्पेस सिक्योरिटी (Cyberspace security) इस दौर की बड़ी जरूरत बन गई है, क्योंकि कंपनियां बड़ी तेजी से डिजिटल बिजनेस मॉडल को अपना रही हैं. बोर्ड रूम मीटिंग्स में साइबर स्पेस सिक्योरिटी एक आम चिंता का विषय है.

कैसी होनी चाहिए भारत की नई साइबर सिक्योरिटी पॉलिसी, यहां समझिए

नई दिल्ली (शिखिल शर्मा): साइबर स्पेस सिक्योरिटी (Cyberspace security) इस दौर की बड़ी जरूरत बन गई है, क्योंकि कंपनियां बड़ी तेजी से डिजिटल बिजनेस मॉडल को अपना रही हैं. बोर्ड रूम मीटिंग्स में साइबर स्पेस सिक्योरिटी एक आम चिंता का विषय है. साइबर सिक्योरिटी को लेकर लोगों की बढ़ती रुचि और एक देश के तौर पर जो खतरा हम झेलते हैं, इसकी जमीनी सच्चाई को देखते हुए, 5 बातें देश की साइबर सिक्योरिटी पॉलिसी में जरूर शामिल की जानी चाहिए और इसमें हर 2 या 3 साल में सुधार भी करते रहना चाहिए.

राज्य प्रायोजित खतरा प्रतिशोध रणनीति
कोई देश जिस सबसे बड़े खतरे का सामना करता है, वो है दूसरे देशों से राज्य प्रायोजित निशाना बनाकर पैदा किए गए खतरे. हाल ही में ऑस्ट्रेलिया भी इसी तरह के राज्य प्रायोजित हमले का शिकार बन गया. इस तरह के हमलों में सरकारी निर्माण, निजी निर्माण और नागरिकों को एक ही समय पर सीरीज में साइबर हमलों के जरिए निशाने पर लिया जाता है. ये लगातार चलने वाली धमकी ही एक बड़ी चुनौती बनकर सामने आती है.

सच कहा जाए तो राज्य प्रायोजित एडवांस परसिस्टेंट थ्रेट (एपीटी) से निपटने के लिए सिर्फ एक नीति ही होना पर्याप्त नहीं होगा. उस नीति में जवाबी कार्रवाई का एक्शन प्लान भी होना चाहिए.

-नीति को राज्य प्रायोजित हमले के मामले में एक्शन प्लान को परिभाषित करने या बनाने का प्रावधान करना चाहिए.

-APT से युक्त होना ही काफी नहीं होगा. एपीटी या राज्य प्रायोजित खतरे के उदगम के बारे में पर्याप्त डाटा जुटाने के लिए एक स्पष्ट ‘ट्रैपिंग’ प्लान की जरूरत है.

-यदि दुश्मन को रोकने के लिए जरूरत पड़ती है तो जवाबी कार्रवाई की योजना भी होनी चाहिए.

·-इन योजनाओं को लागू करने वाले सरकारी विभाग के लिए नीति से सीधा वास्ता होना चाहिए. ऐसे परिदृश्य में ‘मॉक ड्रिल्स’ भी होते रहने चाहिए.

SOS लॉकडाउन पॉलिसी
जब एक साइबर हमला होता है तो सेवाओं/इंफ्रास्ट्रक्चर पर काफी बड़ा असर पड़ता है, बड़ा व्यवधान आता है. देश की अहम इमारतों, निर्माण के लिए एक स्पष्ट देशव्यापी लॉकडाउन की नीति होनी चाहिए. हम बात कर रहे हैं, न्यूक्लियर ग्रिड्स, पॉवर ग्रिड्स, वित्तीय संस्थाओं, सैटेलाइट कम्युनिकेशन आदि की.

जब एक देशव्यापी साइबर हमला होता है तो उसे पूरी तैयारी के साथ सोच-समझकर सालों नहीं तो महीनों के लिए तो प्लान किया ही जाता है. ऐसे मामलों में गलत इरादे वालों को पता होता है कि पहला हमला किस कंपनी पर करना है. इसीलिए ये बात महत्वपूर्ण हो जाती है कि एक देशव्यापी लॉकडाउन पॉलिसी हो ताकि ऐसे समय में नाजुक और अहम इंफ्रास्ट्रक्चर का बचाव किया जा सके और नुकसान पर नियंत्रण पाया जा सके.

 -एसओएस पॉलिसी को पूरी तरह सार्वजनिक नहीं किया जाना चाहिए क्योंकि इससे दुश्मन को सूचना मिल सकती है.

-लॉकडाउन पॉलिसी में जरूरत होगी कि हर नाजुक सेक्टर में साइबर सिक्योरिटी स्पेशलिस्ट्स को या तो नियुक्त किया जाए या फिर उन्हें प्रशिक्षित किया जाए.

cyber security

5जी और आईओटी सर्विसेज के लिए सिक्योरिटी फ्रेमवर्क
5जी जैसे-जैसे अपने पैर पसारेगी, आईओटी उपकरणों का उदय अवश्यम्भावी है. इसका मतलब होगा कि इंटरनेट से और एक दूसरे से पहले से ज्यादा डिवाइसेज जुड़ेंगी. इसका मतलब यह भी है कि जो कुछ भी हम सोच सकते हैं, उसमें स्मार्ट उपकरणों को जोड़ा जा रहा है.

बाजार में आने वाले सभी 5 जी उपकरणों को परिभाषित करने के लिए एक सुरक्षा मानक तैयार करने की जरूरत है. बेहतर तरीका ये होगा कि सरकार सिक्योरिटी कंपनियों की मदद लेकर इन नई इंटरनेट कनेक्टेड डिवाइसेज के लिए सुरक्षा मानक परिभाषित करे.

-आईओटी डिवाइसेज के लिए स्पष्ट रूप से परिभाषित किया हुआ सर्टिफिकेशन या ‘स्टैंडर्ड’ तैयार करने की जरूरत है

-सरकारी या सरकार अधिकृत विभागों/कम्पनियों को ये सुनिश्चित करना चाहिए कि ये नई आने वाली आईओटी डिवाइसेज निजता की जरूरतों और सुरक्षा मानकों पर खरी उतरें. ये तय करना होगा कि इनसे नागरिकों के निजी डाटा पर कोई खतरा न हो

-ये वो डिवाइसेज हैं जो हमारे घर में रखी जानी है, हमारी कार में, हमारे बेडरूम में रखी जानी हैं, निजता का खतरा कल्पना से परे है. कोई भी इस खतरे को मोल नहीं लेना चाहेगा.

देशव्यापी साइबर सिक्योरिटी ट्रेनिंग
भारत की ये जिम्मेदारी है कि वो 60 करोड़ की आबादी को इंटरनेट सेफ्टी के दायरे में लाए. ये भी सुनिश्चित किया जाना चाहिए कि इंटरनेट पर पहले से ही मौजूद आबादी (70 करोड़ से ज्यादा) सिक्योरिटी के प्रति जागरूक हो.

-‘हम उतने ही मजबूत हैं, जितना हमारी सबसे कमजोर कड़ी’, इसी सिद्धांत को ध्यान में रखकर हमारे ट्रेनिंग प्रोग्राम को बनाया जाना चाहिए. जब साइबर सुरक्षा की बात आती है तो हमारी सबसे बेहतरीन टेक सेवी संस्थाओं में भी इंसानों को ही सबसे कमजोर कड़ी पाया गया है.

-इस देशव्यापी ट्रेनिंग इस तरह की जानी चाहिए कि तकनीक के कम जानकारी लोग भी ये समझ पाएं कि इंटरनेट पर क्या करना है और क्या नहीं.

 -हमारे बैंक बड़े तौर पर बैकिंग फ्रॉड के बारे में जागरूकता फैलाने में कामयाब रहे हैं. ये हमेशा चलते रहने वाला काम है, लेकिन आज की दुनिया में ज्यादा लोग ये समझने लगे हैं कि उन्हें अपना ऑनलाइन बैंकिंग पासवर्ड, सीवीवी या अन्य कोई संवेदनशील जानकारी किसी को नहीं देनी है, चाहे कोई खुद को बैंक अधिकारी बताकर ही क्यों न बात करे. इस तरह की जागरूकता निश्चित रूप से साइबर सुरक्षा की एक निश्चित सीमा को पूरा करेगी. बेशक ऐसे मॉडल लगातार विकसित हो रहे हैं.

-एसएमएस, आईवीआर और ईमेल के जरिए बड़े पैमाने पर ट्रेनिंग करने की जरूरत है और वो भी ऐसे तरीके से जो आम लोगों के समझ आए.

निजी कंपनियों पर सुरक्षा मानक लागू करना और पुरस्कृत करना
किसी भी देश को हर निजी कंपनी के लिए सुरक्षा मानक परिभाषित करने चाहिए. हर कंपनी कम्युनिकेशन के लिए ईमेल का इस्तेमाल करती है और अगर इंटरनेट बिजनेस में न भी हो तो भी उसकी अपनी एक वेबसाइट होती है. सरकार को स्पष्ट रूप से ये परिभाषित करना चाहिए कि साइबर सिक्योरिटी के लिए निजी कंपनियों को क्या करना चाहिए और अगर वो उन मानकों को नहीं मानें तो उन पर क्या कार्रवाई होगी. आदर्श रूप से ये 2 पेज से बड़ी चेकलिस्ट नहीं होनी चाहिए. उसे एकदम सीधा सपाट बनाना चाहिए, जो आसानी से समझ आ सके और गाइडलाइंस फॉलो करने के लिए कंपनियों का हौसला बढ़ाना चाहिए.

जब एक देश साइबर सुरक्षा की चुनौती का सामना करता है, इसकी निजी संस्थाएं भी हैकर्स के राडार पर होती हैं, ये जरूरी है कि उनका इंफ्रास्ट्रक्चर भी सुरक्षित रहे.

-निजी कंपनियों के लिए परिभाषित किए गए सुरक्षा मानक चेकलिस्ट फॉर्म में होने चाहिए.

-सरकार को उन संस्थाओं को पुरस्कृत भी करना चाहिए, जो इन सुरक्षा मानकों का पूरी तरह से पालन करती हैं. ये पुरस्कार सार्वजनिक रूप से प्रदर्शन करने योग्य सर्टिफिकेट के रूप में होना चाहिए, जिन्हें किसी सरकारी वेबसाइट पर सत्यापित किया जा सके या फिर टैक्स में छूट दी जा सकती है.

सच्चाई यही है कि हमारी सरकार साइबर सिक्योरिटी पॉलिसी में सुधार की बातें कर रही है, और इसे आने वाली इनोवेशंस के लिए तैयार कर रही है, इसका मतलब है हम सही दिशा में जा रहे हैं. ये मानते हुए कि गोपनीयता की चिंताएं और डाटा दांव पर है, कम्युनिकेशन सिक्योरिटी एक विलासिता नहीं, आवश्यकता है. एक मजबूत साइबर सिक्योरिटी पॉलिसी होने का मतलब है कि सरकार केवल अपने नागरिकों के निजी डाटा की ही देखभाल नहीं कर रही है, बल्कि आत्मविश्वास की प्रेरणा भी दे रही है ताकि विदेशी कंपनियां अपने विस्तार के लिए बाकी देशों की बजाय भारत को चुनें.

मुझे पूरा भरोसा है कि जिन देशों के पास मजबूत साइबर सिक्योरिटी पॉलिसी है वो हर मोर्चे पर अग्रिम फायदे के साथ साफ-सुथरे तरीके से आने वाले सालों में उसे लागू करेंगे.  

(लेखक: ZEE समूह के इंटरनेशनल चैनल WION में कार्यरत हैं.)

(इस लेख में व्यक्त विचार लेखक के निजी विचार हैं.)