ये लेख हमारी- रायसीना एडिट 2024 सीरीज़ का एक भाग है
पिछले कुछ वर्षों के दौरान महत्वपूर्ण इंफ्रास्ट्रक्चर पर साइबर हमलों में नाटकीय ढंग से बढ़ोतरी हुई है. ये हमले बार-बार हो रहे हैं, इनका पैमाना, जटिलता और गंभीरता बढ़ गई है. वैश्विक महामारी ने पेचीदा साइबर ख़तरों को बढ़ाने का काम किया. इन ख़तरों ने आपात स्थिति में कहर बरपाया और अर्थव्यवस्था एवं मरीज़ों की देखभाल को समान रूप से नुकसान पहुंचाया. अस्पतालों को निशाना बनाने वाले रैंसमवेयर से लेकर बिजली एवं पानी के सिस्टम, वित्तीय संस्थानों और संचार नेटवर्क के ख़िलाफ़ विघटनकारी हमलों तक, इन दिनों कई ज़रूरी सेवाएं साइबर अपराधियों और सरकार प्रायोजित हमलों का शिकार बन रही हैं. महत्वपूर्ण क्षेत्रों को बर्बाद करने और रोकने के उद्देश्य से भी साइबर घटनाएं बढ़ रही हैं क्योंकि ये दुनिया भर में अंतर्राष्ट्रीय सशस्त्र संघर्षों में पसंदीदा हथियार बन गई हैं. असैन्य नाज़ुक इंफ्रास्ट्रक्चर के मुख्य लक्ष्य होने के साथ कोई देश और कोई संगठन हमलावरों के लिए वर्जित नहीं है.
साइबर क्षमताओं तक व्यापक पहुंच और साइबर हमले एवं अभियान चलाने के लिए सीमा और क्षमताओं के लगातार कम होने से ख़तरे के परिदृश्य में अब सरकारी किरदारों और गैर-सरकारी किरदारों के साथ दुर्भावनापूर्ण (मलिसियस) गतिविधियां चलाने वाले कई गैर-पारंपरिक किरदार जैसे कलेक्टिव्स, हैक्टिविस्ट और साइबर क्रिमिनल ग्रुप शामिल हैं. रूस-यूक्रेन संघर्ष में स्वतंत्र हैकर्स एनोनिमस जैसे कलेक्टिव्स में शामिल हो गए हैं जिसने रूस के ख़िलाफ़ ‘साइबर युद्ध’ का एलान किया था या किलनेट है जिसने रूस को अपना पूरा समर्थन दिया है और महत्वपूर्ण इंफ्रास्ट्रक्चर पर जवाबी साइबर हमलों की धमकी दी है. सरकार प्रायोजित धमकी देने वाले किरदार जैसे कि सैंडवॉर्म- एक एडवांस्ड परसिस्टेंट थ्रेट (APT) किरदार जो कि रूस की एक सैन्य खुफिया सेवा से जुड़ा है- ने 2022 में बड़े पैमाने पर सैन्य आक्रमण से भी पहले यूक्रेन में साइबर अभियान चलाए थे. घटनाएं जैसे कि 2015 में यूक्रेन के पावर ग्रिड के ख़िलाफ़ ब्लैक एनर्जी मालवेयर अटैक और 2017 में नॉटपेट्या वाइपर अटैक, जो चेर्नोबिल के रेडिएशन मॉनिटरिंग सिस्टम और अमेरिका के हेल्थकेयर संगठनों जैसी महत्वपूर्ण प्रणालियों में फैल गया था, दुनिया भर में सरकारों और संगठनों को अनजाने में या जानबूझकर नुकसान पहुंचाने की क्षमता को दिखाती हैं.
महत्वपूर्ण क्षेत्रों को बर्बाद करने और रोकने के उद्देश्य से भी साइबर घटनाएं बढ़ रही हैं क्योंकि ये दुनिया भर में अंतर्राष्ट्रीय सशस्त्र संघर्षों में पसंदीदा हथियार बन गई हैं.
साइबर हमले
साइबर पीस इंस्टीट्यूट जनवरी 2022 से यूक्रेन और रूस के बीच अंतर्राष्ट्रीय सशस्त्र संघर्ष से जुड़े आंकड़े इकट्ठा कर रहा है. दो साल में हमने नाज़ुक इंफ्रास्ट्रक्चर के ख़िलाफ 126 थ्रेट एक्टर्स (ख़तरे के किरदारों) के द्वारा किए गए 3,225 साइबर हमलों और अभियानों का पता लगाया है. इनमें से लगभग 80 प्रतिशत के लिए ‘ख़ुद-ज़िम्मेदार’ बताए गए. इसका ये मतलब है कि दोषियों ने सार्वजनिक रूप से अपनी हरकतों का ख़ुलासा किया. प्रमाणित स्व-घोषित साइबर हमले ऐसी कार्रवाइयों के भू-राजनीतिक महत्व और इस तथ्य की ओर इशारा करते हैं कि कि कुछ दुर्भावनापूर्ण किरदार हमला करने में गर्व महसूस करते हैं. वैसे तो इन हमलों का स्वरूप नया नहीं है लेकिन उनकी हदें और नाज़ुक इंफ्रास्ट्रक्चर के ख़िलाफ हथियार के रूप में इन हमलों का इस्तेमाल बहुत ज़्यादा चिंता पैदा करते हैं.
साइबर स्पेस के एक-दूसरे से जुड़े होने के स्वरूप की वजह से साइबर अटैक का असर अलग-अलग देशों और क्षेत्रों में महसूस किया जाता है. साइबर हमलों को लेकर इंस्टीट्यूट के इन-हाउस डेटा कलेक्शन ने उजागर किया कि इन भू-राजनीतिक तौर पर प्रेरित घटनाओं ने 23 अलग-अलग क्षेत्रों में 58 देशों को प्रभावित किया है. इन आंकड़ों के वास्तविक नतीजे हैं. साइबर हमलों से सिस्टम या डेटा की बर्बादी होती है, आवश्यक सेवाओं में रुकावट आती है, डेटा चोरी और लीक होता है और सटीक जानकारी तक पहुंच सीमित हो जाती है जो आर्थिक एवं परिचालन की गतिविधियों पर ख़राब और बहुत अधिक असर डाल सकती हैं और लोगों की रोज़ की ज़िंदगी को प्रभावित कर सकती हैं.
साइबर स्पेस के दुर्भावनापूर्ण उपयोग से होने वाले गंभीर नुकसान के मामले केवल युद्ध के संदर्भ तक सीमित नहीं हैं और किसी भी क्षेत्र के संवेदनशील डेटा को प्रभावित कर सकते हैं.
31 दिसंबर 2023 को एक दिन में यूक्रेन ने सरकारी मंत्रालय, राष्ट्रीय न्यूज़ मीडिया और 8 ब्लड डोनेशन सेंटर की वेबसाइट के ख़िलाफ़ विघटनकारी हमलों को झेला. इसके दो हफ्ते पहले यूक्रेन पर एक बड़ा हैकर अटैक हुआ. यूक्रेन की बड़ी मोबाइल फोन कंपनी कीवस्टार पर 12 दिसंबर को साइबर हमला हुआ जिसकी वजह से इंटरनेट और मोबाइल सेवा में रुकावट आई. ये कंपनी यूक्रेन के आधे से ज़्यादा लोगों को सेवा मुहैया कराती है. साइबर हमले की वजह से 2.4 करोड़ उपभोक्ताओं पर असर पड़ा और फ़ोन एवं इंटरनेट कनेक्टिविटी कट जाने से एक युद्धग्रस्त देश, जहां ज़्यादातर लोग हवाई हमलों के रेड अलर्ट को लेकर मोबाइल फोन पर निर्भर हैं, के लिए एक गंभीर स्थिति खड़ी हो गई. हमले के एक हफ्ते बाद तक सेवाओं को बहाल नहीं किया जा सका. यूक्रेन की सरकार ने हमले के पीछे सैंडवर्म को ज़िम्मेदार ठहराया है.
साइबर स्पेस के दुर्भावनापूर्ण उपयोग से होने वाले गंभीर नुकसान के मामले केवल युद्ध के संदर्भ तक सीमित नहीं हैं और किसी भी क्षेत्र के संवेदनशील डेटा को प्रभावित कर सकते हैं. अक्टूबर 2023 में बायोटेक कंपनी 23 एंड मी को डेटा में सेंध का सामना करना पड़ा जहां हमला करने वाले कंपनी के ग्राहकों के पुराने पासवर्ड का इस्तेमाल करके 69 लाख यूज़र का निजी डेटा हासिल करने में कामयाब रहे. हमला करने वाले संवेदनशील डेटा जैसे कि यूज़र के माता-पिता का नाम, जन्मदिन और लोकेशन प्राप्त करने में सफल रहे. अक्टूबर 2022 में ऑस्ट्रेलिया की हेल्थ इंश्योरेंस कंपनी मेडिबैंक पर एक रैंसमवेयर अटैक किया गया. इस दौरान साइबर अपराधियों ने लगभग 1 करोड़ ग्राहकों का रिकॉर्ड हासिल कर लिया. बाद में इस साइबर हमले के पीछे रूस के रैंसमवेयर ग्रुप REvil से जुड़े एक व्यक्ति को ज़िम्मेदार ठहराया गया.
जब सरकारें, कंपनियां और इंश्योरेंस कंपनियां साइबर हमलों के नतीजों का आकलन करने की कोशिश करती हैं तो वो मुख्य रूप से निशाना बनाए गए सिस्टम या संगठनों पर सीधा असर की तरफ ध्यान देती हैं यानी परिचालन की क्षमता को बहाल करने में लगने वाला समय, वित्तीय नुकसान और सेंधमारी किए गए डेटा की मात्रा. इस संकुचित मूल्यांकन में एक मूलभूत तत्व की कमी है: साइबर हमले से लोगों और समाज को क्या ठोस नुकसान हुआ है?
समाज और किसी व्यक्ति को पूरे नुकसान का आकलन करना मुश्किल है, चाहे कई अलग-अलग घटनाओं को मिलाकर जुड़ा हो या एक बड़ी रुकावट हो. साइबर अटैक लोगों पर नकारात्मक प्रभाव डाल सकते हैं, ख़ास तौर पर उन लोगों पर जिन्हें बहुत ज़्यादा निशाना बनाया जाता है या जो कमज़ोर स्थिति में हैं. साइबर हमलों का छोटे स्तर का या लंबे समय तक असर भी हो सकता है लेकिन वो बड़े पैमाने पर लोगों को प्रभावित करते हैं. साइबर हमलों से लोगों को होने वाला नुकसान कुछ समय बाद या परोक्ष रूप से भी हो सकता है, विशेष रूप से अगर हम पीड़ितों पर कई संभावित प्रभावों पर विचार करें. इन प्रभावों में उनकी शारीरिक, मनोवैज्ञानिक, सामाजिक और आर्थिक भलाई; शारीरिक या आर्थिक सुरक्षा; या पर्यावरण शामिल हैं.
निष्कर्ष
ऊपर बताए गए साइबर हमलों को उदाहरण के तौर पर उपयोग करें तो संवेदनशील सूचना जैसे व्यक्तिगत स्वास्थ्य के रिकॉर्ड की गोपनीयता के उल्लंघन का लोगों के लिए अपूरणीय मनोवैज्ञानिक, सामाजिक और आर्थिक परिणाम हो सकता है, ख़ास तौर पर कमज़ोर लोगों जैसे कि मानसिक स्वास्थ्य की स्थिति, लत या बीमारी से जूझने वाले लोगों पर. इसी तरह यूक्रेन की कंपनी कीवस्टार के लाखों ग्राहकों के लिए फोन की कनेक्टिविटी नहीं होने से युद्ध के दौरान ख़तरे को टालने के लिए ऑनलाइन जानकारी पर निर्भर लोगों को नुकसान हो सकता है या उनकी जान जा सकती है.
साइबर अटैक की घटनाएं न केवल तकनीक को नुकसान पहुंचाती हैं बल्कि इनका लोगों पर भी सीधा असर पड़ सकता है.
समय के साथ साइबर अटैक के कई तरह के नतीजों को लेकर बढ़ती जागरूकता के बावजूद साइबर हमलों से होने वाले नुकसान को समझने और उन पर निगरानी रखने के लिए डेटा जमा करने, टूल्स और फ्रेमवर्क (रूपरेखा) मुहैया कराने की वर्तमान समय में कोई स्थापित कार्यप्रणाली नहीं है. इस खामी को दूर करने के लिए साइबर पीस इंस्टीट्यूट एक नुकसान की कार्यप्रणाली विकसित कर रहा है ताकि नुकसान के अलग-अलग संकेतकों और श्रेणियों में हमलों के असर की समीक्षा करने के साधनों की पहचान की जा सके. साइबर हमलों के असर और उनसे नुकसान को मापने के लिए एक मानकीकृत (स्टैंडर्डाइज़्ड) डेटा से प्रेरित दृष्टिकोण मज़बूत और संपूर्ण जवाबदेही उपायों को तैयार करने में मदद कर सकता है और पीड़ित को केंद्र में रखकर नीति निर्माण, सामर्थ्य के प्रयासों और संसाधन के आवंटन के लिए एक व्यावहारिक साधन बन सकता है.
साइबर अटैक की घटनाएं न केवल तकनीक को नुकसान पहुंचाती हैं बल्कि इनका लोगों पर भी सीधा असर पड़ सकता है. ये असर ऐसे होते हैं जिन्हें अक्सर ठीक नहीं किया जा सकता है. साइबर स्पेस में सबसे कमज़ोर लोगों की रक्षा करने की हमारी सामूहिक क्षमता सुरक्षित साइबर स्पेस की तरफ हमारे सफर में समाधान के योग्य सबसे तात्कालिक और महत्वपूर्ण मुद्दा है. नीति निर्माताओं, उद्योग, सिविल सोसायटी समूहों और साइबर हमलों का हल निकालने और इनकी गंभीरता को कम करने में शामिल तकनीकी समूहों के लिए ये अनिवार्य है कि वो इन हमलों की मानवीय और सामाजिक कीमत को स्वीकार करें और उन्हें समझें. ऐसा करना सहयोग को बढ़ावा देने और उन लोगों को ज़िम्मेदार ठहराने के लिए महत्वपूर्ण है जो जान-बूझकर और अंधाधुंध तरीके से भू-राजनीतिक लाभ के लिए आम लोगों और असैन्य इंफ्रास्ट्रक्चर को नुकसान पहुंचाते हैं.
पवलिना पवलोवा साइबर पीस इंस्टीट्यूट में पब्लिक पॉलिसी एडवाइज़र हैं.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.