साइबर की दुनिया में चुनौती और भारत की दुविधाएं

सितंबर 2019 में भारत के कुडनकुलम एटमी पावर प्लांट (KKNPP) के प्रशासनिक नेटवर्क और भारतीय अंतरिक्ष अनुसंधान संगठन (ISRO) के नेटवर्क में साइबर घुसपैठ हो गई थी. इसके बाद से इस बात पर काफ़ी चर्चा हो रही है कि सामरिक रूप से अहम इन दोनों ही संस्थानों में साइबर घुसपैठ का दायरा कितना बड़ा था और इसका किस हद तक बुरा असर हिंदुस्तान पर पड़ सकता है. इस बात का भी विश्लेषण हो रहा है कि भारत अंतरराष्ट्रीय क़ानूनों के दायरे में रहते हुए इन साइबर हमलों का जवाब कैसे दे सकता है. साइबर जासूसी के जवाब में अगर कोई पलटवार सशस्त्र हमले के तौर पर किया जाता है, तो ये कई लोगों की नज़र में ज़रूरत से ज़्यादा प्रतिक्रिया कहा जाएगा. भारत इन साइबर हमलों का जवाब ऐसे ही साइबर हमलों से देगा, या फिर वो अपनी सामरिक सुविधाओं में इस घुसपैठ का किसी और तरीक़े से जवाब देगा, अभी इस बात की अटकलें ही लगाई जा रही हैं. अगर भारत उत्तर कोरिया के सरकारी नेटवर्क पर साइबर हमला करता है, तो इसे भारत की अति उत्तेजक प्रतिक्रिया कहा जाएगा. या फिर भारत, हैकरों के लज़ारस समूह के डीट्रैक (DTRACK) वायरस अटैक जैसी ही साइबर घुसपैठ अपने किसी वायरस के माध्यम से करेगा. इन साइबर हमलों का भारत किस तरह से जवाब देगा ये तय नहीं है. या फिर हो सकता है कि साइबर हमलों की शक्ल में इनका जवाब न ही दिया जाए. भारत पर साइबर हमले की कैसी प्रतिक्रिया होगी, इस चर्चा के दौरान बहुत कम लोगों ने इस बात पर गंभीरता से ग़ौर किया है कि अगर देश पर बार-बार ऐसे साइबर अटैक होते हैं और ये तेज़ भी होते जाते हैं, तो भारत की तरफ़ से इनका जवाब कौन देगा? इन साइबर हमलों की प्रतिक्रिया स्वरूप किस तरह से पलटवार करेगा?

भारत ने मई 2019 में डिफ़ेंस साइबर एजेंसी (DCA) के नाम से एक एजेंसी की स्थापना की थी. इसका मक़सद भारत के सैन्य बलों की साइबर ज़रूरतों के हिसाब से नई नीतियां बनाना और उन्हें अमल में लाना था.  इसके लिए डीसीए को डिफेंस रिसर्च ऐंड डेवेलपमेंट  ऑर्गेनाइजेशन (DRDO), नेशनल टेक्निकल रिकनेसां  ऑर्गेनाइजेशन (NTRO), रिसर्च ऐंड एनालिसिस विंग (RAW) और नेशनल सिक्योरिटी काउंसिल (NSC) के साथ मिल कर काम करना होगा. डीसीए को जो ज़िम्मेदारी दी गई है, उस में और स्पष्टीकरण की और विस्तार करने की ज़रूरत है. इस की स्थापना के क़रीब एक साल पहले मीडिया में ऐसी ख़बरें आई थीं कि डीसीए की ज़िम्मेदारी, भारत पर होने वाले साइबर हमलों के पलटवार की होगी. ख़ासतौर से जब साइबर हैकर भारत के सैन्य या दूसरे सामरिक रूप से अहम संगठनों या ठिकानों को निशाना बनाते हैं. डीसीए को जो काम सौंपा गया है, उसका सब से स्पष्ट जो पहलू है, वो ये है कि ये तीनों सेनाओं से बनी एजेंसी है. जिसके सदस्य तीनों सेनाओं से आएंगे. और उन्हें ट्रेनिंग और ज़रूरी संसाधनों से लैस करना इसकी ज़िम्मेदारी होगी. इस एजेंसी के लिए काम करने वालों को तीनों सेनाओं के अलग-अलग क्षेत्रीय कमांड मुख्यालयों में बनी साइबर यूनिट से लिया जाएगा. डीसीए का केंद्रीय मुख्यालय नई दिल्ली में इंटीग्रेटेड डिफेंस सर्विसेज (IDS) के मुख्य़ालय के साथ ही संबद्ध होगा. इस एजेंसी का दायरा और इसका काम क्या होगा, ये अभी तय किया जा रहा है. ऐसे में हमारे लिए ये सही और उपयुक्त मौक़ा है कि डीसीए किस तरह से लज़ारस हैकर्स के समूह जैसे और हमलों की सूरत में किस तरह से पलटवार करेगा. ऐसा मानने के कई कारण हैं कि लज़ारस ग्रुप, उत्तर कोरियाई सरकार का ही एक हिस्सा है.

भारत की हाल ही में गठित एजेंसी डीसीए को ओसीओ या डीसीओ-आरए की तरह की दुश्मन पर हमला करके उसके नेटवर्क और अहम साइबर ठिकानों को तबाह करने की ज़िम्मेदारी दी जानी चाहिए, ताकि भारत के किसी अहम नागरिक ठिकाने पर साइबर अटैक हो, तो ऐसा हमला करने वाले को अच्छा सबक़ सिखाया जा सके

इसीलिए, आज भारत सरकार के लिए ये ज़रूरी हो गया है कि वो ये निर्धारित करे कि डीसीए नागरिक संस्थाओं और प्रशासन की मदद करेगा या नहीं. न्यूक्लियर पावर कॉरपोरेशन ऑफ़ इंडिया लिमिटेड (NPCIL) भारत सरकार के परमाणु ऊर्जा आयोग (DAE) के तहत काम करने वाली नागरिक संस्था है. एनपीसीआईल का काम भारत के परमाणु ऊर्जा संस्थानों की निगरानी और रख-रखाव करना है. एटमी पावर प्लांट भारत के लिए अहम रणनीतिक संसाधन हैं. हालांकि, अगर कुदनकुलमप न्यूक्लियर पावर प्लांट के प्रशासनिक कंप्यूटर नेटवर्क या इसरो के कंप्यूटर नेटवर्क पर हमले के अलावा भविष्य में किसी अन्य कंप्यूटर नेटवर्क ऑपरेशन पर साइबर हमला होता है, तो ये ज़िम्मेदारी एनपीसीआईएल की नहीं होती. ऐसे हमलों के जवाब दो तरह से दिए जाते हैं. एक तो अपने कंप्यूटर नेटवर्क की सुरक्षा को बढ़ाना और दूसरा, साइबर अटैक करने वाले पर पलटवार करना. सैन्य दृष्टिकोण से देखें, तो अमरीका के रक्षा मंत्रालय के साइबर अभियानों को तीन हिस्सों में बांटा जा सकता है. डिफेंस साइबर ऑपरेशन्स (DCO), डिपार्टमेंट ऑफ़ डिफेंस इन्फॉर्मेशन नेटवर्क (DODIN) और ऑफ़ेंसिव साइबर ऑपरेशन्स (OCO). इसके अलावा डीसीओ के भी दो दर्जे हैं. मिसाल के तौर पर, डीसीओ-इंटर्नल डिफेंसिव मेज़र (DCO-IDM). ये तब काम आता है, जब अमरीका के अपने अंदरूनी नेटवर्क को निशाना बनाया जाता है, या फिर उसे कोई ख़तरा होता है. तब ये नेटवर्क की सुरक्षा का काम करता है, और किसी नुक़सान की सूरत में इसे तुरंत पूरी तरह से पटरी पर वापस लाने का काम करता है. डीसीओ-आईडीएम के काम से बिल्कुल अलग होता है डीसीओ-रिस्पॉन्स एक्शन्स. इसकी ज़िम्मेदारी किसी दुश्मन के हमले के बाद उस पर पलटवार की होती है. इस में दुश्मन के नेटवर्क पर अपनी सैन्य ताक़त का इस्तेमाल भी शामिल है. वहीं, डीओडीआईएन का रोल अमेरिका के नेटवर्क की साइबर सुरक्षा की है. ये आम तौर पर रक्षात्मक रोल निभाता है. और साइबर हमलों की ड्रेस रिहर्सल जैसे काम को अंजाम देता है. कंप्यूटर नेटवर्क की सुरक्षा से जुड़ी जानकारियां लोगों को देता है. और इसे इस्तेमाल करने वालों को सजग करने का काम करता है. ओसीओ अपने नेटवर्क के दायरे से बाहर काम करता है. और राष्ट्रीय इमरजेंसी या खुले तौर पर मिली धमकी से निपटने का काम करता है. इसका काम दुश्मन के अहम साइबर ठिकानों और नेटवर्क को तबाह करना भी होता है. हालांकि, अभी ये स्पष्ट नहीं है कि ओसीओ और डीसीओ-आरए में क्या फ़र्क़ है. लेकिन, भारत की हाल ही में गठित एजेंसी डीसीए को ओसीओ या डीसीओ-आरए की तरह की दुश्मन पर हमला करके उसके नेटवर्क और अहम साइबर ठिकानों को तबाह करने की ज़िम्मेदारी दी जानी चाहिए, ताकि भारत के किसी अहम नागरिक ठिकाने पर साइबर अटैक हो, तो ऐसा हमला करने वाले को अच्छा सबक़ सिखाया जा सके. यहां हमारे कहने का मतलब ये है कि किसी साइबर हमले की सूरत में ज़बरदस्त पलटवार करने के लिए अमेरिका की ओसीओ की तर्ज पर ही भारत की डीसीए को काम करना चाहिए. लेकिन, इसके लिए ज़रूरी ये है कि डीसीए के काम काज को साफ़ तौर से परिभाषित किया जाए और  इसके लक्ष्य और मिशन भी स्पष्ट किए जाएं.

एकतरफ़ा और घरेलू क़दम उठाने के साथ-साथ भारत को, जापान और दक्षिण कोरिया के साथ मिल कर भी ऐसे साइबर हमलों का जवाब देने की कोशिश की जानी चाहिए.

साइबर जासूसी या घुसपैठ और हमले का कैसा जवाब दिया जाए, ये सवाल भारत ही नहीं, कई और देशों के सामने भी खड़ा होता है. क्योंकि ये एक ऐसा व्यापक सवाल है, जो बढ़ते साइबर स्पेस के साथ हर देश की दुविधा बढ़ा रहा है. मगर, दिक़्क़त ये है कि साइबर दुनिया केवल सामरिक रूप से अहम ठिकानों की ही नहीं बनी है. आज बहुत से कारोबारी, नागरिक और औद्योगिक कारोबार भी साइबर हमलों की ज़द में आ जाते हैं. इसका नतीजा ये होता है कि डीसीए, जो फिलहाल सैनिक कमांड में काम करेगा, वो केवल सैन्य ठिकानों की हिफ़ाज़त के लिए ही ज़िम्मेदार होगा. लेकिन, अक्सर उसे परमाणु उर्जा विभाग, एटमी पावर प्लांट, नेशनल क्रिटिकल इन्फ्रास्ट्रक्चर प्रोटेक्शन सेंटर (NCIIPC) और CERT-In के नेटवर्क की सुरक्षा और इन पर हुए हमलों के जवाब का काम भी सौंपा जाएगा. किसी साइबर हमले की सूरत में तीन ऐसे विकल्प हैं, जो अलग अलग क्षेत्र से हैं, मगर साइबर हमले के जवाब के विकल्प के तौर पर आज़माए जा सकते हैं. हालांकि बेहतर होगा कि भारत सरकार इंट्राडोमेन साइबर तैयारी, योजना, साइबर सुरक्षा और जवाबी साइबर हमले के क्षेत्र में और निवेश करे. जैसे ही ये पता लग जाए कि किस ने साइबर हमला किया है और उसका ठिकाना कहां है, तो इसका जवाब देने के लिए डीसीए ही सब से सही एजेंसी होगी.  इसके लिए डीसीए को विदेशों में साइबर ठिकानों पर हमले के लिए तैयार करना होगा और संसाधन देने होंगे, ताकि ये भारत के नागरिक नेटवर्क पर हमलों का जवाब दे सके.  इसके लिए ज़रूरत होगी कि साइबर टीमों की स्थापना की जाए, जो टेक्निकल इंटेलिजेंस की टीमों के साथ सहयोग करते हुए काम करें. इनका काम भारत के अहम नेटवर्क की हिफ़ाज़त ही नहीं, दुश्मन पर पलटवार का भी होगा. पलटवार असरदार हो, इसके लिए दुश्मन के नेटवर्क की भी अच्छी समझ होनी चाहिए, जिसे तकनीकी भाषा में ऑपरेटिंग एनवायरमेंट (OE) कहते हैं. डीसीए की ये ज़िम्मेदारी होनी चाहिए कि वो किसी साइबर हमले के जवाब में कोड के माध्यम से सैन्य पलटवार भी कर सके. इसके लिए उस के पास कमांड ऐंड कंट्रोल का ढांचा होना चाहिए और दुश्मन के डिजिटल ठिकानों की जानकारी भी. फिलहाल, डीसीए की यही ज़िम्मेदारी परिभाषित की गई है. लेकिन, अगर भारत के असैन्य नेटवर्क भी साइबर हमलों के शिकार होते हैं, तो उन हमलों का पलटवार भी डीसीए की ज़िम्मेदारी होनी चाहिए.

एकतरफ़ा और घरेलू क़दम उठाने के साथ-साथ भारत को, जापान और दक्षिण कोरिया के साथ मिल कर भी ऐसे साइबर हमलों का जवाब देने की कोशिश की जानी चाहिए. जापान के पास उत्तर कोरिया से होने वाले ऐसे साइबर हमलों से निपटने का लंबा अनुभव रहा है. जापान के पास साइबर हमलों से निपटने और अपने नेटवर्क की सुरक्षा का अनुभव रूस में स्टालिन के दौर से ही रहा आया है. भारत और जापान के बीच पहले से ही द्विपक्षीय साइबर सुरक्षा डायलॉग होता रहा है. इस संवाद का तीसरा दौर फ़रवरी 2019 में टोक्यो में हुआ था. इस संवाद से जुड़े जो सबूत उपलब्ध हैं, उन के मुताबिक़ दोनों देशों ने बातचीत के दौरान साइबर हमलों, घरेलू नेटवर्क की सुरक्षा जैसे कई मामलों पर विस्तार से चर्चा की. इस दौरान ऐसे हमलों से निपटने की नीतियों से लेकर संसाधनों तक पर भारत और जापान ने बात की. फिलहाल, भारत और जापान साइबर सुरक्षा पर सालाना बात करते हैं. इसे साल में दो बार किया जाना चाहिए.  ख़ासतौर से कुदनकुलम पावर प्लांट और इसरो के ठिकानों पर साइबर हमलों के बाद इसकी ज़रूरत और बढ़ गई है. जापान और भारत को चाहिए कि वो अपने साइबर अभियानों की साझा योजनाएं बनाएं और ज़रूरत पड़ने पर मिलकर दुश्मन पर पलटवार भी करें.

• Media and Internet
• Cyber and Technology
• India
• परमाणु सुरक्षा
• भारत
• मीडिया और इंटरनेट
• रणनीतिक अध्ययन
• साइबर और प्रौद्योगिकी

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.