राष्ट्रीय साइबर सुरक्षा रणनीति (National Cyber Security Strategy)

राष्ट्रीय साइबर सुरक्षा नीति , जिसे पहली बार उन रिपोर्टों के मद्देनजर तैयार किया गया था कि अमेरिकी सरकार भारत पर जासूसी कर रही थी और इसके खिलाफ कोई तकनीकी या कानूनी सुरक्षा उपाय नहीं थे।

राष्ट्रीय साइबर सुरक्षा नीति 2013 में संचार और सूचना प्रौद्योगिकी मंत्रालय के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी विभाग (डीईआईटीवाई) द्वारा तैयार किया गया एक नीति दस्तावेज है, जिसका उद्देश्य सार्वजनिक और निजी बुनियादी ढांचे को साइबर हमलों से बचाना है । दिशानिर्देश इंटरनेट उपयोगकर्ताओं की व्यक्तिगत जानकारी, वित्तीय और बैंकिंग जानकारी और संप्रभु डेटा की सुरक्षा का भी प्रयास करता है।

2020 में, राष्ट्रीय साइबर सुरक्षा रणनीति की अवधारणा लेफ्टिनेंट जनरल राजेश पंत की अध्यक्षता में डेटा सिक्योरिटी काउंसिल ऑफ इंडिया (DSCI) द्वारा की गई थी। रिपोर्ट में भारत के लिए सुरक्षित, भरोसेमंद, लचीला और जीवंत साइबरस्पेस सुनिश्चित करने के लिए 21 क्षेत्रों पर ध्यान केंद्रित किया गया है।

इस नीति का उद्देश्य नागरिकों, व्यवसायों और सरकार के लिए एक सुरक्षित और लचीला साइबरस्पेस बनाना है। इसका मिशन साइबरस्पेस सूचना और बुनियादी ढांचे की रक्षा करना, साइबर हमलों को रोकने और जवाब देने के लिए क्षमताओं का निर्माण करना और संस्थागत संरचनाओं, लोगों, प्रक्रियाओं और प्रौद्योगिकी के समन्वित प्रयासों के माध्यम से नुकसान को कम करना है।

नीति के उद्देश्यों में एक सुरक्षित साइबर पारिस्थितिकी तंत्र बनाना, वैश्विक सुरक्षा मानकों का अनुपालन, नियामक ढांचे को मजबूत करना, खुफिया जानकारी इकट्ठा करने और प्रभावी प्रतिक्रिया के लिए चौबीसों घंटे तंत्र बनाना, 24× 7 सुरक्षा के लिए एक राष्ट्रीय महत्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र का संचालन शामिल है। महत्वपूर्ण सूचना अवसंरचना, सुरक्षा प्रौद्योगिकियों के लिए अनुसंधान और विकास, 500,000 मजबूत साइबर सुरक्षा कार्यबल बनाना, साइबर सुरक्षा प्रथाओं को अपनाने के लिए व्यवसायों को वित्तीय लाभ प्रदान करना, सहकारी साइबर सुरक्षा प्रयासों के लिए सार्वजनिक निजी भागीदारी का निर्माण करना।

संक्षेप में, राष्ट्रीय साइबर सुरक्षा नीति निम्नलिखित पहलुओं को शामिल करती है:

• एक विज़न और मिशन वक्तव्य जिसका उद्देश्य नागरिकों, व्यवसायों और सरकार के लिए एक सुरक्षित और लचीला साइबरस्पेस बनाना है ।
• सक्षम लक्ष्यों का उद्देश्य साइबर हमलों के प्रति राष्ट्रीय भेद्यता को कम करना, साइबर हमलों और साइबर अपराधों को रोकना, प्रतिक्रिया और पुनर्प्राप्ति समय को कम करना और प्रभावी साइबर अपराध जांच और अभियोजन करना है।
• सरकार के स्तर पर केंद्रित कार्रवाइयां, सार्वजनिक-निजी भागीदारी व्यवस्था, साइबर सुरक्षा से संबंधित प्रौद्योगिकी कार्रवाइयां, महत्वपूर्ण सूचना बुनियादी ढांचे और राष्ट्रीय अलर्ट और सलाह तंत्र की सुरक्षा, जागरूकता और क्षमता निर्माण और सूचना साझाकरण और सहयोग को बढ़ावा देना।
• देश के भीतर सभी हितधारक संस्थाओं के बीच सहयोग और समन्वय बढ़ाना।
• राष्ट्रीय साइबर सुरक्षा दृष्टिकोण और मिशन के समर्थन में उद्देश्य और रणनीतियाँ।
• रूपरेखा और पहल जिन्हें सरकारी स्तर, क्षेत्रीय स्तर के साथ-साथ सार्वजनिक-निजी भागीदारी मोड में आगे बढ़ाया जा सकता है।
• राष्ट्रीय स्तर पर साइबर सुरक्षा अनुपालन, साइबर हमले, साइबर अपराध और साइबर बुनियादी ढांचे के विकास जैसे प्रमुख रुझानों की निगरानी की सुविधा प्रदान करना।

राष्ट्रीय साइबर सुरक्षा नीति: रणनीतियाँ

• राष्ट्रीय नोडल एजेंसी जैसे उपायों के माध्यम से एक सुरक्षित साइबर पारिस्थितिकी तंत्र बनाना , संगठनों को वरिष्ठ प्रबंधन के एक सदस्य को मुख्य सूचना सुरक्षा अधिकारी के रूप में नामित करने और सूचना सुरक्षा नीतियों को विकसित करने के लिए प्रोत्साहित करना।
• एक आश्वासन ढाँचा बनाना।
• खुले मानकों को प्रोत्साहित करना।
• समय-समय पर समीक्षा के साथ-साथ नियामक ढांचे को मजबूत करना , अंतरराष्ट्रीय मानकों के साथ सामंजस्य स्थापित करना और कानूनी ढांचे के बारे में जागरूकता फैलाना।
• राष्ट्रीय प्रणालियों और प्रक्रियाओं के माध्यम से सुरक्षा खतरों और उन पर प्रतिक्रिया के लिए तंत्र बनाना। राष्ट्रीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-in) सभी साइबर सुरक्षा प्रयासों, आपातकालीन प्रतिक्रियाओं और संकट प्रबंधन के समन्वय के लिए नोडल एजेंसी के रूप में कार्य करती है।
• वैश्विक सर्वोत्तम प्रथाओं को लागू करके और सार्वजनिक कुंजी अवसंरचना के व्यापक उपयोग द्वारा ई-गवर्नेंस को सुरक्षित करना ।
• नोडल एजेंसी के रूप में कार्यरत राष्ट्रीय महत्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र के साथ महत्वपूर्ण सूचना अवसंरचना की सुरक्षा और लचीलापन ।
• साइबर सुरक्षा प्रौद्योगिकी के अत्याधुनिक अनुसंधान और विकास को बढ़ावा देना।
• क्षमता निर्माण के लिए शिक्षा और प्रशिक्षण कार्यक्रमों के माध्यम से मानव संसाधन विकास ।

एक राष्ट्रीय साइबर सुरक्षा रणनीति की आवश्यकता

• साइबर हमलों की बढ़ती संख्या: अमेरिकी साइबर सुरक्षा फर्म पालो अल्टो नेटवर्क्स की 2021 रिपोर्ट  के अनुसार  , महाराष्ट्र भारत में सबसे अधिक लक्षित राज्य  था   – सभी रैंसमवेयर हमलों में से 42% का सामना करना पड़ा।
  • रिपोर्ट में कहा गया है कि भारत हैकर समूहों के लिए आर्थिक रूप से अधिक  लाभदायक क्षेत्रों में से एक है  और इसलिए ये हैकर डेटा तक पहुंच हासिल करने के लिए भारतीय फर्मों से फिरौती का भुगतान करने के लिए कहते हैं, आमतौर पर क्रिप्टोकरेंसी का उपयोग करते हुए।
  • 2021 में चार में से एक भारतीय संगठन को रैंसमवेयर हमले का सामना करना पड़ा –  जो वैश्विक औसत 21% से अधिक है।
• साइबर युद्ध आक्रामक:
  • अमेरिका   उन कई देशों में से एक है, जिन्होंने न केवल हमले के खिलाफ सुरक्षा विकसित करने में, बल्कि  हानिकारक साइबर युद्ध आक्रामक आक्रमण करने की क्षमता विकसित करने में भी महत्वपूर्ण मात्रा में धन का निवेश किया है।
  • माना जाता है कि जिन देशों के पास सबसे अधिक विकसित साइबर युद्ध क्षमताएं हैं, वे हैं  अमेरिका, चीन, रूस, इज़राइल और यूनाइटेड किंगडम।
• कोविड के बाद बढ़ा डिजिटल उपयोग:
  • महत्वपूर्ण बुनियादी ढांचे का  बहुत तेजी से डिजिटलीकरण हो रहा है  – इसमें वित्तीय सेवाएं, बैंक, बिजली, विनिर्माण, परमाणु ऊर्जा संयंत्र आदि शामिल हैं।
• महत्वपूर्ण क्षेत्रों की सुरक्षा के लिए:
  • क्षेत्रों की बढ़ती परस्पर संबद्धता और इंटरनेट में प्रवेश बिंदुओं के प्रसार को देखते हुए यह विशेष रूप से महत्वपूर्ण है, जो  5जी को अपनाने के साथ और बढ़ सकता है।
  • इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन)  द्वारा रिपोर्ट की गई और ट्रैक की गई जानकारी के अनुसार, 2020 के पहले आठ महीनों में   6.97 लाख साइबर सुरक्षा घटनाएं दर्ज की गईं , जो पिछले चार वर्षों की कुल संख्या के बराबर है।
• हाल के साइबर हमले:
  • भारत के बिजली क्षेत्र के “बड़े हिस्से” को लक्षित करने के लिए रेड इको  नामक चीनी समूह द्वारा  मैलवेयर जैसे संसाधनों के उपयोग में भारी वृद्धि हुई है  ।
  • रेड इको ने शैडोपैड नामक मैलवेयर का उपयोग किया  , जिसमें सर्वर तक पहुंचने के लिए पिछले दरवाजे का उपयोग शामिल है।
  • स्टोन पांडा के नाम से जाने जाने वाले चीनी हैकर समूह  ने “  भारत बायोटेक और सीरम इंस्टीट्यूट ऑफ इंडिया के आईटी बुनियादी ढांचे और आपूर्ति श्रृंखला सॉफ्टवेयर में अंतराल और कमजोरियों की पहचान की थी ।
• सरकार के लिए:
  • एक स्थानीय, राज्य या केंद्र सरकार देश (भौगोलिक, सैन्य-रणनीतिक संपत्ति आदि)  और नागरिकों से संबंधित बड़ी मात्रा में गोपनीय डेटा रखती है। 
• व्यक्तियों के लिए:
  • सोशल नेटवर्किंग साइटों पर किसी व्यक्ति द्वारा साझा की गई तस्वीरें, वीडियो और अन्य व्यक्तिगत जानकारी का दूसरों द्वारा अनुचित उपयोग किया जा सकता है, जिससे गंभीर और यहां तक ​​कि जीवन-घातक घटनाएं हो सकती हैं।
• व्यवसायों के लिए:
  • कंपनियों के पास अपने सिस्टम पर बहुत सारा डेटा और जानकारी होती है।
  • साइबर हमले से  प्रतिस्पर्धी जानकारी  (जैसे पेटेंट या मूल कार्य) की हानि हो सकती है, और कर्मचारियों/ग्राहकों के निजी डेटा की हानि हो सकती है जिसके परिणामस्वरूप संगठन की अखंडता में सार्वजनिक विश्वास की पूर्ण हानि हो सकती है।

राष्ट्रीय साइबर सुरक्षा रणनीति के मुख्य घटक क्या हैं?

• सार्वजनिक सेवाओं का बड़े पैमाने पर डिजिटलीकरण:  सभी डिजिटलीकरण पहलों में डिजाइन के शुरुआती चरणों में सुरक्षा पर ध्यान दें।
  •  मुख्य उपकरणों के मूल्यांकन, मूल्यांकन, प्रमाणन और रेटिंग के लिए संस्थागत क्षमता विकसित करना
  • कमजोरियों और घटनाओं की समय पर रिपोर्टिंग।
• आपूर्ति श्रृंखला सुरक्षा: एकीकृत सर्किट (आईसीटी)  और इलेक्ट्रॉनिक्स उत्पादों  की आपूर्ति श्रृंखला की निगरानी और मानचित्रण  ।
  • रणनीतिक, सामरिक और तकनीकी स्तरों पर विश्व स्तर पर देश की  सेमीकंडक्टर  डिजाइन क्षमताओं का लाभ उठाना।
• महत्वपूर्ण सूचना अवसंरचना संरक्षण:  पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण (एससीएडीए)  सुरक्षा को  एकीकृत करना
  • कमजोरियों का भंडार बनाए रखना।
  • सेक्टर की समग्र स्तर की सुरक्षा आधार रेखा तैयार करना   और उसके नियंत्रणों पर नज़र रखना।
  • खतरे की तैयारी के लिए ऑडिट पैरामीटर तैयार करना   और साइबर-बीमा उत्पाद विकसित करना।
• डिजिटल भुगतान:  तैनात उपकरणों और प्लेटफार्मों की मैपिंग और मॉडलिंग, आपूर्ति श्रृंखला, लेनदेन करने वाली संस्थाएं, भुगतान प्रवाह,  इंटरफेस और डेटा एक्सचेंज।
• राज्य-स्तरीय साइबर सुरक्षा:  राज्य-स्तरीय साइबर सुरक्षा नीतियों का विकास करना,
  • समर्पित निधि का आवंटन,
  • डिजिटलीकरण योजनाओं की गहन जांच,
  • सुरक्षा वास्तुकला, संचालन और शासन के लिए दिशानिर्देश।
• छोटे और मध्यम व्यवसायों की सुरक्षा:  साइबर सुरक्षा तैयारियों के उच्च स्तर के लिए प्रोत्साहन प्रदान करने वाली साइबर सुरक्षा में नीतिगत हस्तक्षेप।
  • इंटरनेट ऑफ थिंग्स (IoT)  और  औद्योगीकरण को अपनाने के लिए सुरक्षा मानकों, रूपरेखाओं और आर्किटेक्चर का विकास करना  ।

रिपोर्ट क्या कदम सुझाती है?

• बजटीय प्रावधान: साइबर सुरक्षा के लिए  वार्षिक बजट  का न्यूनतम 0.25% आवंटन , जिसे  1% तक बढ़ाया जा सकता है  , अलग रखने की सिफारिश की गई है।
  • अलग-अलग मंत्रालयों और एजेंसियों के संदर्भ में,  आईटी/प्रौद्योगिकी व्यय का 15-20% साइबर सुरक्षा के लिए निर्धारित किया जाना चाहिए।
  • इसमें साइबर सुरक्षा के लिए फंड ऑफ फंड स्थापित करने   और राज्यों को उसी क्षेत्र में क्षमताएं बनाने के लिए केंद्रीय वित्त पोषण प्रदान करने का भी सुझाव दिया गया है।
• अनुसंधान, नवाचार, कौशल-निर्माण और प्रौद्योगिकी विकास:  रिपोर्ट में  आईसीटी के आधुनिकीकरण और डिजिटलीकरण में निवेश करने,  परिणाम-आधारित कार्यक्रमों के माध्यम से साइबर सुरक्षा के लिए एक लघु और दीर्घकालिक एजेंडा स्थापित करने और गहन तकनीक  साइबर सुरक्षा नवाचार में निवेश प्रदान करने का सुझाव दिया गया है।
  • डीएससीआई ने आगे भारतीय इंजीनियरिंग सेवाओं  से चुने गए कैडरों के साथ   ‘साइबर सुरक्षा सेवाएं’ बनाने की सिफारिश की है।
• संकट प्रबंधन:  किसी संकट से निपटने के लिए पर्याप्त तैयारी के लिए, डीएससीआई  साइबर सुरक्षा अभ्यास आयोजित करने की सिफारिश करता है  जिसमें वास्तविक जीवन के परिदृश्य और उनके प्रभाव शामिल होते हैं।
• साइबर बीमा:  साइबर बीमा एक ऐसा क्षेत्र है जिस पर अभी शोध होना बाकी है, इसमें  व्यापार और प्रौद्योगिकी  परिदृश्यों में साइबर सुरक्षा जोखिमों को संबोधित करने के साथ-साथ खतरे के जोखिम की गणना करने के लिए एक बीमांकिक विज्ञान होना चाहिए।
• साइबर कूटनीति: साइबर कूटनीति  भारत के वैश्विक संबंधों को आकार देने  में बहुत बड़ी भूमिका निभाती है । इसलिए बंगाल की खाड़ी बहु-क्षेत्रीय तकनीकी और आर्थिक सहयोग पहल (बिम्सटेक)  और  शंघाई सहयोग संगठन (एससीओ) जैसे प्रमुख क्षेत्रीय ब्लॉकों की साइबर सुरक्षा तैयारी   कार्यक्रमों, आदान-प्रदान और औद्योगिक समर्थन के माध्यम से सुनिश्चित की जानी चाहिए।
  •  बेहतर कूटनीति को आगे बढ़ाने के लिए, सरकार को साइबर सुरक्षा में एक जिम्मेदार खिलाड़ी के रूप में ब्रांड इंडिया को बढ़ावा देना चाहिए और प्रमुख देशों/क्षेत्रों के लिए  ‘साइबर दूत’ भी बनाने चाहिए।
• साइबर अपराध जांच:  दुनिया भर में साइबर अपराध में वृद्धि के साथ, रिपोर्ट स्पैमिंग और फर्जी खबरों को हल करने के लिए कानून बनाकर न्यायिक प्रणाली को बोझ मुक्त करने की सिफारिश करती है।
  •  इसमें संभावित प्रौद्योगिकी परिवर्तन को ध्यान में रखते हुए 5 साल का रोडमैप तैयार  करने, साइबर अपराधों से निपटने के लिए विशेष अदालतें स्थापित करने और साइबर अपराध के बैकलॉग को हटाने का भी सुझाव दिया गया है ।
  • इसके अलावा, डीएससीआई एजेंसियों को एआई/एमएल, ब्लॉकचेन,  आईओटी, क्लाउड, ऑटोमेशन के युग में बने रहने के लिए उन्नत फोरेंसिक प्रशिक्षण का सुझाव देता है। 

साइबर सुरक्षा के लिए सरकारी पहल

• साइबर सुरक्षित भारत पहल।
• साइबर स्वच्छता केंद्र।
• ऑनलाइन साइबर क्राइम रिपोर्टिंग पोर्टल।
• भारतीय साइबर अपराध समन्वय केंद्र (I4C)।
• राष्ट्रीय महत्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र (एनसीआईआईपीसी)।
• सूचना प्रौद्योगिकी अधिनियम, 2000।

मूल्यांकन

• नीति के उद्देश्य और रणनीतियाँ व्यापक हैं; हालाँकि, उन्हें पूरी तरह से संचालन में अनुवाद करना एक चुनौती बनी हुई है।
• गोपनीयता अधिकारों सहित भारतीयों की नागरिक स्वतंत्रता की सुरक्षा वांछित नहीं रही है।
• कथित निगरानी परियोजनाएं साइबरस्पेस में नागरिक स्वतंत्रता की सुरक्षा को हासिल करना कठिन बना रही हैं।
• भारत की आक्रामक और रक्षात्मक साइबर सुरक्षा क्षमताओं के लिए बहुत कुछ करने की आवश्यकता है।
• भारत को साइबरस्पेस और साइबर सुरक्षा क्षेत्र में अत्यधिक असुरक्षित माना जाता है और प्रस्तावित साइबर सुरक्षा नीति इस स्थिति को बदलने में विफल रही है।

आगे बढ़ने का रास्ता

• विशेषज्ञों ने साइबर सुरक्षा मुद्दों के समाधान और राष्ट्रीय स्तर पर कार्यान्वयन में सुधार के लिए एक राष्ट्रीय साइबर सुरक्षा एजेंसी (एनसीएसए) की स्थापना का सुझाव दिया है । ऐसी एजेंसी को ऐसे कर्मचारियों से लैस करने का सुझाव दिया गया है जो प्लेटफार्मों को एन्क्रिप्ट करने और खुफिया जानकारी एकत्र करने के लिए रक्षात्मक और आक्रामक साइबर ऑपरेशन दोनों में तकनीकी रूप से कुशल हों।
• संचार मेटाडेटा की स्क्रीनिंग और अन्य एजेंसियों की खुफिया जानकारी एकत्र करने की गतिविधियों का समन्वय करने के लिए एक साइबर-सुरक्षा और ई-निगरानी एजेंसी के रूप में एक राष्ट्रीय साइबर समन्वय केंद्र (एनसीसीसी) की स्थापना।
• सामान्य तौर पर, मजबूत ऑपरेटिंग सिस्टम कर्नेल, तेज़ एंटी-वायरस सॉफ़्टवेयर और वायरस का पता लगाना, कठिन फ़ायरवॉल और इंटरनेट ब्राउज़र – आज के नेटवर्क आर्किटेक्चर में मौजूद कमजोरियों को कम करने में मदद के लिए उठाए गए कुछ कदम हैं।
• सरकार और निजी क्षेत्र की साझेदारी एक आवश्यक कदम बनी हुई है क्योंकि देश के अधिकांश साइबर संसाधनों को सरकार के बाहर की संस्थाओं द्वारा नियंत्रित किया जाता है।
• भारत सरकार द्वारा समर्थित सरकार और सूचना प्रौद्योगिकी उद्योग के बीच एक दीर्घकालिक और कार्यात्मक साझेदारी साइबर स्पेस को और अधिक सुरक्षित बनाने में मदद करेगी।
• साइबर सुरक्षा विशेषज्ञों और आईटी सुरक्षा ऑडिटरों की संख्या बढ़ाने की जरूरत है , जिस पर देश इस समय संकट का सामना कर रहा है।
• भारत भाग्यशाली है कि उसके पास निजी आईटी क्षेत्र में प्रतिभा का भंडार है जिसका अगर उचित तरीके से उपयोग किया जाए तो यह लाभदायक हो सकता है। निजी क्षेत्र में साइबर सुरक्षा के विशेषज्ञों को सरकारी साइबर सुरक्षा पेशेवरों को प्रशिक्षित करने के लिए आमंत्रित किया जा सकता है और वे समय-समय पर सरकार और देश के अन्य साइबर नेटवर्क में सुरक्षा अभ्यास आयोजित करने में मदद कर सकते हैं।
• आशा है कि सरकार की पहल साइबर हमलों की तेजी से बदलती प्रकृति के साथ तालमेल बिठा सकती है।