बगैर भरोसेमंद सप्लायर के सुरक्षित सूचना और संचार प्रौद्योगिकी नामुमकिन

बढ़ते भू-राजनीतिक तनावों (Geopolitical Tensions) के साथ समाज की तकनीक पर लगातार बढ़ती निर्भरता, ख़ास कर  प्रतिकूल राष्ट्रों के मुख्यालय में सूचना और संचार प्रौद्योगिकी (Information and Communication Technology) विक्रेताओं की मौजूदगी से अभूतपूर्व सुरक्षा चिंताएं उत्पन्न हुई हैं. जैसा कि 5G, आर्टिफ़िशियल इंटेलिजेंस (Artificial Intelligence) और दूसरी उभरती तकनीक सामरिक रूप से महत्वपूर्ण ताकत में बदल गई हैं, तकनीकी जटिलताएं और विभाजनकारी अंतर्राष्ट्रीय सियासत (International Politics) के चलते आईसीटी सुरक्षा (ICT Security) को लेकर पारंपरिक दृष्टिकोण ज़्यादा भरोसेमंद नहीं ठहरता है. बावजूद इसके साइबर सुरक्षा (Cyber Security) को लेकर भरोसे का स्तर ही निर्णायक तत्व है.

नए संस्थानों को यह आकलन करने के लिए अधिकृत करता है कि वैश्विक आईसीटी आपूर्ति श्रृंखलाओं का संचालन करने वाले विक्रेताओं और उनके उप-आपूर्तिकर्ताओं की जटिल कड़ी भरोसेमंद हैं या नहीं. आईसीटी विक्रेताओं की सुरक्षा बेहद ज़रूरी है क्योंकि हम सभी आईसीटी पर सबसे ज़्यादा भरोसा करते हैं. स्थापित विक्रेता हों या फिर स्वतंत्र ट्रस्ट सेंटर्स भरोसे के स्तर के आकलन में इनकी भूमिका सबसे अहम होती है जो इसके लिए बेहद ज़रूरी दृष्टिकोण, पारदर्शिता, कीमत प्रभावी खरीद और ऑपरेशन संबंधी निर्णय प्रदान करने के साथ ही थर्ड पार्टी जोख़िम को भी कम करता है.

प्रजातांत्रिक राष्ट्र जो तकनीक से जुड़ी जोख़िम, विदेशी सप्लायरों पर निर्भरता को कम करना चाहते हैं और घरेलू औद्योगिक नीति को बढ़ावा देना चाहते हैं लेकिन जिस मुल्क से तकनीक की उत्पत्ति होती है वह साइबर सिक्युरिटी का कोई भरोसेमंद संकेतक नहीं है, कठोर सच यही इशारा करते हैं कि कथित सुरक्षा चुनौतियां इसमें शामिल नहीं होती हैं. 

मौजूदा वैश्विक राजनीतिक माहौल के बीच नीति निर्माता बाहर के विक्रेताओं पर पाबंदी और प्रतिबंध लगाने की वकालत करते हैं और एक जैसी सोच रखने वाले मुल्कों के बीच तकनीकी सहयोग की बात करते हैं. प्रजातांत्रिक राष्ट्र जो तकनीक से जुड़ी जोख़िम, विदेशी सप्लायरों पर निर्भरता को कम करना चाहते हैं और घरेलू औद्योगिक नीति को बढ़ावा देना चाहते हैं लेकिन जिस मुल्क से तकनीक की उत्पत्ति होती है वह साइबर सिक्युरिटी का कोई भरोसेमंद संकेतक नहीं है, कठोर सच यही इशारा करते हैं कि कथित सुरक्षा चुनौतियां इसमें शामिल नहीं होती हैं. आखिरकार दुश्मन मुल्क घरेलू या फिर विदेशी आईसीटी के बीच शायद ही अंतर करते हैं और वो सभी तकनीकी और मानवीय कमजोरियों का शोषण करेंगे. एक ऐसे विश्व में जहां वैश्विक सप्लाई चेन और सर्वव्यापी आईसीटी में भौतिक और डिजिटल सुरक्षा और  संरक्षण को ख़तरे में डालने की क्षमता है जिसका परिणाम विनाश और नुकसान है, वहां आईसीटी सप्लायरों की विश्वनीयता सुरक्षा के लिए बेहद ज़रूरी हैं.

अंतर्राष्ट्रीय स्तर पर स्वीकृत ढांचा

ऐतिहासिक तौर पर सरकारें और कंपनियां आईसीटी व्यवस्था की सर्टिफिकेशन और मानकीकरण पर भरोसा करती हैं जिससे सुरक्षात्मक कमियां और तकनीक का सही चुनाव हो सके. सामान्य तौर पर इसके लिए कुछ मानक हैं, उदाहरण के तौर पर, यह उत्पाद सुरक्षा का परीक्षण और प्रामाणिक करने के लिए एक अंतर्राष्ट्रीय स्तर पर स्वीकृत ढांचा प्रदान करता है. यह किसी उत्पाद की सुरक्षा ज़रूरतों की व्याख्या करता है और एक स्वतंत्र परीक्षण लैब यह परीक्षण करता है कि क्या ये मानदंड आईसीटी सर्टिफिकेशन की ज़रूरतों को पूरा करते हैं –  यह प्रामाणिकता एक निश्चित समय पर सॉफ़्टवेयर की सुरक्षा की स्थिति को प्रमाणित करता है.

दुर्भाग्यवश, आज की सच्चाई यही है कि सॉफ्टवेयर लगातार बदल रहे हैं – निरंतर, छोटे से बड़े बदलाव, ज़बर्दस्त तरीके से इंटरकनेक्टेड सिस्टम जिन्हें एक बार सर्टिफिकेट दिया जा चुका है, कुछ ही समय बाद वही सॉफ्टवेयर पुराने पड़ जाते हैं. सॉफ्टवेयर और हार्डवेयर की बढ़ती जटिलता और नए उद्योगों में उनके व्यापक उपयोगिता से आईसीटी सुरक्षा से संबंधित अनिश्चितता और बढ़ती जा रही है. एक आधुनिक कार 100 मिलियन से ज़्यादा कोड से चलती है, आज के सामान्य मकसद से तैयार किए गए प्रोसेसर में कम से कम कई बिलियन ट्रांजिसटर्स लगे होते हैं.

सॉफ्टवेयर और हार्डवेयर की बढ़ती जटिलता और नए उद्योगों में उनके व्यापक उपयोगिता से आईसीटी सुरक्षा से संबंधित अनिश्चितता और बढ़ती जा रही है.

ऐसी जटिलताओं के चलते इन्हें व्यवस्था के तौर पर गारंटी दिलवाना लगभग नामुमकिन है, जबकि दुर्भावनापूर्ण या शोषण के लिए इस्तेमाल किए गए किसी कोड की अनुपस्थिति को साबित करना तो और मुश्किल है.  जोख़िम प्रबंधन में भरोसा बढ़ाने के लिए, जोख़िम गणना को एक से बहुआयामी आईसीटी सुरक्षा मूल्यांकन में बदलने की ज़रूरत है जिसमें आईसीटी आपूर्तिकर्ताओं की विश्वसनीयता सामने आ सके.

निरंतर सत्यापन के जरिेए भरोसा अर्जित करना

जो अग्रणी आईसीटी विक्रेताओं ने अपने उत्पादों और सेवाओं की सुरक्षा का आकलन करने के लिए सरकारों और कॉर्पोरेट ग्राहकों के लिए ट्रस्ट सेंटर स्थापित किए हैं. अगर सही तरीके से इसे किया जाता है तो ट्रस्ट केंद्र विक्रेता की विश्वसनीयता के मूल्यांकन के लिए आवश्यक पारदर्शिता प्रदान कर सकते हैं.  खरीददार एक विक्रेता के सुरक्षित सॉफ़्टवेयर विकास के पूरे लाइफसाइकल, गुणवत्ता प्रबंधन और सुरक्षा उपायों के साथ-साथ व्यावसायिक प्रक्रियाओं और थर्ड पार्टी विक्रेता प्रबंधन में नई अवधारणा प्राप्त कर सकते हैं. बाहरी विशेषज्ञों को कोड की सुरक्षा और गुणवत्ता का निरीक्षण करने का मौका मिलने से फायदा होता है. ट्रस्ट केंद्र इस बात की प्रत्यक्ष जानकारी देते हैं कि एक विक्रेता सामान्य उद्योग सुरक्षा के बेहतर तरीकों को कितनी अच्छी तरह से लागू करता है और खरीददारों को यह आकलन करने की स्वतंत्रता देता है कि क्या ये उत्पाद और सेवाएं उनकी सुरक्षा आवश्यकताओं को पूरा करती हैं, या जोख़िम को स्वीकार्य बनाने के लिए अतिरिक्त भरोसा दिए जाने की ज़रूरत है. आश्वासन की आवश्यकता है. लंबे समय में विक्रेताओं और खरीददारों के बीच ट्रस्ट सेंटर भरोसा विकसित करने का काम करते हैं.

सरकार और ICT विक्रेताओं के बीच विश्वसनीय संबंध

मौजूदा वक्त में, ऑपरेटिंग ट्रस्ट सेंटर विक्रेताओं पर यह प्रदर्शित करने के लिए सरकारी दबाव का नतीजा होता है कि क्या उनके उत्पाद भरोसेमंद हैं, यह संचालन और सेटअप में अंतर के बावजूद एक समानता है जो वे आपस में साझा करते हैं. चीन के बीजिंग में माइक्रोसॉफ्ट का ट्रांसपेरेंसी सेंटर चीनी बाज़ार तक पहुंच हासिल करने और चीनी सरकार को विंडोज ऑपरेटिंग सिस्टम बेचने के लिए मुमकिन बनाने में सहायक रहा था.  ब्रिटेन में  हुआवेई साइबर सुरक्षा मूल्यांकन केंद्र (एचसीएसईसी) चीनी दूरसंचार उपकरण निर्माता को ब्रिटिश दूरसंचार ऑपरेटरों को अपने 3जी और 4जी नेटवर्क उपकरण बेचने की अनुमति देने के प्रारंभिक निर्णय के लिए ज़रूरी था. कास्पर्सकी, मॉस्को स्थित एक एंटी-वायरस फर्म, हाल में एक टेक फर्म है – और एकमात्र साइबर सुरक्षा फर्म है – जो 2017 में अमेरिकी सरकार को अपने उत्पादों को बेचने के लिए कथित जासूसी चिंताओं पर प्रतिबंध लगाने के बाद अब ट्रस्ट सेंटर खोल रही है. क्योंकि 2017 में कास्पर्सकी की वैश्विक पारदर्शिता पहल की शुरुआत के बाद से कंपनी ने 2021 में न्यू ब्रंसविक, कनाडा के साथ ज्यूरिख़, मैड्रिड, कुआलालंपुर और साओ पाउलो में पारदर्शिता केंद्र खोले हैं.

चीन के बीजिंग में माइक्रोसॉफ्ट का ट्रांसपेरेंसी सेंटर चीनी बाज़ार तक पहुंच हासिल करने और चीनी सरकार को विंडोज ऑपरेटिंग सिस्टम बेचने के लिए मुमकिन बनाने में सहायक रहा था. 

एक उदाहरण के तौर पर, एचसीएसईसी ने ब्रिटिश सरकार को हुआवेई की इंजीनियरिंग परिपक्वता में इनसाइट प्रदान की थी, जिसका यह नतीजा हुआ कि राष्ट्रीय साइबर सुरक्षा केंद्र ने यह निष्कर्ष निकाला कि चीनी उपकरण निर्माता “बड़ी जोख़िम वाला विक्रेता” होता है. एचसीएसईसी की वार्षिक निरीक्षण रिपोर्ट ने हुआवेई के सॉफ़्टवेयर को विकसित करने के तरीकों में कई कमियां निकाली हैं, जिसके कारण ब्रिटिश सरकार ने हुआवेई  के नेटवर्क उपकरण की साइबर सुरक्षा और इसकी सॉफ़्टवेयर विकास प्रक्रियाओं की गुणवत्ता और स्थिरता पर सवाल उठाया है. हालांकि इसके जवाब में, हुआवेई ने घोषणा की कि वह अपनी इंजीनियरिंग प्रक्रियाओं को सुधारने और साइबर सुरक्षा को मज़बूत करने के लिए 2 अरब अमेरिकी डॉलर का निवेश करने को तैयार है. एचसीएसईसी जैसे ट्रस्ट सेंटर के बिना ऐसी इनसाइट के यह संभव नहीं हो पाता; ये केंद्र आपूर्तिकर्ताओं को जवाबदेह बनाने और सुरक्षा को मज़बूत करने वाली सुधारात्मक कार्रवाइयों को बढ़ावा देने के लिए प्रोत्साहन प्रदान करते हैं, जो आख़िरकार एक विक्रेता की विश्वसनीयता को बढ़ाते हैं. हर उद्योग के स्तर को बढ़ाने के लिए, हालांकि, जोख़िम-आधारित भरोसे वाले उपायों को सभी विक्रेताओं पर समान रूप से लागू करने की ज़रूरत है: जो मूल देश में पैदा तकनीकी सुरक्षा का निर्धारण करने वाला कारक नहीं होता है.

विश्वसनीयता में सुधार करना ही अंतिम लक्ष्य

हाल में ट्रस्ट केंद्रों की बढोतरी इस सच्चाई का समर्थन करती है कि बढ़ती राष्ट्रीय सुरक्षा चिंताओं और लगातार बढ़ती भू-राजनीतिक तनावों के मद्देनज़र सरकारों और खरीदारों को समग्र साइबर सुरक्षा बढ़ाने के लिए विक्रेताओं की विश्वसनीयता के लिए बेहतर संकेतकों की ज़रूरत है. यह वैसा ही है जिस तरह कि भरोसा किसी को दिया नहीं जाता है, उसी तरह सुरक्षा के लिए उद्योगों का दृष्टिकोण सुरक्षित आईसीटी सिस्टम से आगे बढ़कर सभी विक्रेताओं की पारदर्शिता और विश्वसनीय विक्रेता-सरकार संबंधों को सुनिश्चित करना है. यही वजह है कि आईसीटी विक्रेताओं की विश्वसनीयता का निर्धारण करने के लिए ट्रस्ट केंद्र आवश्यक हैं. लगातार सत्यापन और प्रभावी, जोख़िम की सूचना देने वाले उपायों के जरिए साइबर सुरक्षा को मज़बूत करना एक साझा ज़िम्मेदारी है जिसे समाज के सभी वर्गों के लिए साइबर सुरक्षा स्थापित करने के लिए आईसीटी विक्रेताओं, ऑपरेटरों और विक्रेताओं को उठाना चाहिए.

• Cyber Security
• Internet Governance
• Cyber and Technology
• India
• 4जी नेटवर्क
• अंतरराष्ट्रीय राजनीति
• एच.एस.एस.ई.सी अधिकारी
• कास्परस्की
• कास्पर्सकी
• खिड़कियाँ
• चीन
• टेक और मीडिया
• तृतीय पक्ष भेद्यता
• ब्रिटेन
• भरोसेमंद आपूर्तिकर्ता
• भूराजनीतिक तनाव
• माइक्रोसॉफ्ट
• मेरा
• राष्ट्रीय सुरक्षा
• वैश्विक आपूर्ति श्रृंखला
• साइबर और प्रौद्योगिकी
• साइबर सुरक्षा
• साइबर सुरक्षा और इंटरनेट प्रशासन
• सूचना और संचार प्रौद्योगिकी
• सॉफ़्टवेयर टेस्ट लैब
• हुआवेई
• हुवाई

The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.