ये लेख हमारी सीरीज़, पोखरण के 25 साल: भारत के एटमी सफ़र की समीक्षा, का एक हिस्सा है.
साइबर हमले लगातार बेहद जटिल और परिष्कृत होते जा रहे हैं. परमाणु केंद्रों समेत, देश के लिए महत्वपूर्ण मूलभूत ढांचों को चोट पहुंचाना अब भू-राजनीतिक संघर्षों का अहम हथियार बन गया है. जिससे सरकारी, आर्थिक और सामाजिक कार्यों की बुनियाद कही जाने वाली ज़रूरी सेवाओं और जनता की सुरक्षा और राष्ट्र की हिफ़ाज़त को नुक़सान पहुंचाया जा सके. इसीलिए, राष्ट्रीय सुरक्षा के व्यापक दायरे के तहत परमाणु इन्फ्रास्ट्रक्चर की साइबर सुरक्षा, चिंता का एक महत्वपूर्ण विषय बन गया है.
आज जब भारत राष्ट्रीय साइबर डिफेंस को बढ़ा रही है, तो भारत के एटमी मूलभूत छांचे को सुरक्षित बनाने की राह में चुनौतियां बनी हुई हैं.
साइबर दुनिया में मची इस भू-राजनीतिक उठा-पटक से भारत भी अछूता नहीं है. हालांकि, अभी तक भारत के कंप्यूटर नेटवर्क या अहम राष्ट्रीय इन्फ्रास्ट्रक्चर को भारी नुक़सान पहुंचाने वाला कोई साइबर हमला नहीं हुआ है. फिर भी, आज जब भारत राष्ट्रीय साइबर डिफेंस को बढ़ा रही है, तो भारत के एटमी मूलभूत छांचे को सुरक्षित बनाने की राह में चुनौतियां बनी हुई हैं.
जब मई 1998 में भारत ने एटमी धमाके किए थे, तो साइबर सुरक्षा के वैश्विक परिदृश्य पर वायरस संक्रमण, स्पाईवेयर, फिशिंग के ज़रिए साइबर अपराध या फिर वेबसाइट का स्वरूप बिगाड़ने जैसे ‘उपद्रवी क़िस्म के हमलों’ का बोलबाला था. उस वक़्त तक, डिस्ट्रीब्यूटेड डिनायल ऑफ सर्विसेज़ (DDoS) या रैनसमवेयर के वो हमले बहुत अधिक नहीं हो रहे थे, जिनसे किसी वेबसाइट या दूसरी अहम इन्फ्रास्ट्रक्चर सेवाओं में बाधा पड़े. बहुत से पक्ष ऐसे थे जो आक्रमक या बदनीयती से साइबर हमले करने की क्षमता रखते थे. लेकिन, ऐसी क्षमताएं बड़ी सैनिक ताक़तों के पास ही थीं. इसके अलावा, उस वक़्त तक भू-राजनीतिक दुश्मनियां साइबर दुनिया में नहीं फैली थीं. इसीलिए, साइबर ख़तरे का परिदृश्य, आज की तुलना में बहुत कम जटिल था.
स्टक्सनेट वायरस के बारे में कहा जाता है कि इसे अमेरिका और इज़राइल ने मिलकर तैयार किया था. इसके ज़रिए ईरान के नाटांज परमाणु केंद्र पर निशाना साधा गया था, जहां यूरेनियम संवर्धन का काम होता था. वायरस हमले से सेंट्रीफ्यूज बेक़ाबू हो गए और इससे रिएक्टर के काम पर बुरा असर पड़ा था.
भारत के परमाणु परीक्षण के बाद के दो दशकों के दौरान, नाटकीय बदलाव देखने को मिले हैं. आज इंटरनेट और सूचना और संचार तकनीक पर निर्भरता बहुत आम बात हो गई है और इसीलिए हमले की आशंकाएं भी बहुत बढ़ गई हैं. आज बहुत से देश बदनीयती से हमला करने वाली क्षमताओं से लैस हो चुके हैं; कई देशों ने अपने दुश्मनों की कमज़ोरियों को निशाना बनाकर हमले करने के लिए ख़ास इकाइयां तक बना ली हैं. वहीं, कुछ देश छद्म ग़ैर सरकारी संस्थाओं के ज़रिए अपने दुश्मनों पर निशाना साध रहे हैं. इसी वजह से अहम राष्ट्रीय मूलभूत ढांचों को निशाना बनाकर किए जाने वाले साइबर हमलों की तादाद में भी इज़ाफ़ा हुआ है.
सुरक्षा पर रिसर्च करने वाले बरसों से इस आशंका पर चर्चा करते रहे हैं कि कोई अराजक देश या फिर ग़ैर सरकारी संगठन, अहम इन्फ्रास्ट्रक्चर के काम-काज में खलल डाल सकता है. 2010 में पहली बार स्टक्सनेट वॉर्म द्वारा ईरान की परमाणु सुविधाओं में सेंध लगाने के बाद पहली बार ऐसे वास्तविक हमलों के संभावित दुष्परिणामों का एहसास कराया था. स्टक्सनेट वायरस के बारे में कहा जाता है कि इसे अमेरिका और इज़राइल ने मिलकर तैयार किया था. इसके ज़रिए ईरान के नाटांज परमाणु केंद्र पर निशाना साधा गया था, जहां यूरेनियम संवर्धन का काम होता था. वायरस हमले से सेंट्रीफ्यूज बेक़ाबू हो गए और इससे रिएक्टर के काम पर बुरा असर पड़ा था. ईरान में अपने लक्ष्य तक पहुंचने से पहले स्टक्सनेट ने अन्य देशों में भी कंप्यूटर नेटवर्क की उन्हीं कमज़ोरियों का फ़ायदा उठाया था. इसका नतीजा ये हुआ था इस वायरस ने दुनिया के कई देशों में महत्वपूर्ण इन्फ्रास्ट्रक्चर सुविधाओं को संक्रमित कर दिया था.
स्टक्सनेट का निशाना तो ईरान के परमाणु कार्यक्रम पर था. लेकिन, जिस बात ने भारतीय अधिकारियों के लिए ख़तरे की घंटी बजाई वो ये थी कि ये वायरस बड़ी तेज़ी से पूरे देश में फैल गया था और इसने ईरावन के 80 हज़ार कंप्यूटरों को संक्रमित कर दिया था. वैसे तो इससे बहुत उठा-पटक नहीं मची. मगर, इस घटना ने क्रिटिकल इन्फ्रास्ट्रक्चर की हिफ़ाज़त को भारत की साइबर सुरक्षा के एजेंडे का हिस्सा बना दिया. इसी घटना की वजह से 2013 में भारत की राष्ट्रीय साइबर सुरक्षा नीति को अपनाया गया, जिसमें ‘सूचना के मूलभूत ढांचे की हिफ़ाज़त और, साइबर दुनिया में उपलब्ध सूचनाओं की अक्षुण्णता और गोपनीयता के संरक्षण’ को साइबर क्षेत्र को सुरक्षित बनाने की धुरी बताया गया था. इसके अलावा, 2014 में सरकार ने नेशनल क्रिटिकल इन्फॉर्मेशन इन्फ्रास्ट्रक्चर प्रोटेक्शन सेंटर बनाया, ताकि वो सार्वजनिक और निजी क्षेत्र के साथ मिलकर अहम मूलभूत ढांचे की सुरक्षा में कमज़ोरियों को दूर कर सके. [i]
लेकिन, एक दशक से भी कम समय में ये बात उजागर हो गई कि ये उपाय पर्याप्त नहीं हैं, जब सितंबर 2019 में तमिलनाडु के कुदनकुलम परमाणु रिएक्टर पर एक वायरस से हमला किया गया. भारत के परमाणु ऊर्जा निगम (NPCIL) के मुताबिक़, इस हमले ने एटमी प्लांट के प्रशासनिक नेटवर्क में सेंध ज़रूर लगा दी थी, लेकिन इससे ज़्यादा नुक़सान या ख़लल नहीं पैदा हुआ. ख़बरों के मुताबिक़ रिएक्टर के कंप्यूटर नेटवर्क में सेंध लगाने के लिए ख़ास तौर से ये मैलवेरयर बनाया गया था. वैसे तो ये बात साफ़ नहीं हो सकी कि इस हमले में किसका हाथ था. लेकिन, इन अटकलों को ख़ूब हवा मिली थी कि इस हमले में उत्तर कोरिया का हाथ था.
अचरज की बात नहीं थी कि इस घटना ने भारत के परमाणु केंद्रों की साइबर सुरक्षा को लेकर कई सवाल खड़े किए. ख़ास तौर से सरकार की इन हमलों से निपटने की व्यवस्था को लेकर, क्योंकि पहले तो अधिकारियों ने सुरक्षा में सेंध लगने की बात से ही इनकार किया था. लेकिन, बाद में उन्होंने हमले की बात स्वीकार कर ली.
लेकिन, इस साइबर हमले की बात स्वीकार करते हुए भी भारतीय अधिकारियों ने बड़ी सावधानी से ये बात रेखांकित की कि इस वायरस अटैक का असर सीमित रहा और परमाणु केंद्र को भविष्य में किसी सेंध लगने से सुरक्षित कर लिया गया. इसमें, इजाज़त देने, पुष्टि करने और पहुंच सीमित करने की व्यवस्थाएं शामिल थीं; कंप्यूटर नेटवर्क की साइबर सुरक्षा को फिर से मज़बूत बनाया गया; और निगरानी बढ़ाई गई. दूसरी एजेंसियां भी आगे आईं. मिसाल के तौर पर परमाणु सुविधाओं में सूचना की सुरक्षा को मज़बूत बनाने के लिए भाभा एटॉमिक रिसर्च सेंटर ने USB आधारित ‘अणुनिष्ठा’ हार्डवेयर डिवाइस का विकास किया (ताकि बिना इजाज़त किसी ऐप और फर्मवेयर के मॉड्यूल को एक्टिवेट न किया जा सके). इसके अलावा MEGH-3 क्लाउड कंप्यूटिंग सिस्टम और ‘अणुडॉक्स’ नाम का इंटरनेट पर आधारित दस्तावेज़ शेयर करने का सिस्टम भी विकसित किया गया.
इन क़दमों ने भारत की एटमी सुरक्षा को मज़बूत किया है और कुदनकुलम जैसी घटना दोबारा होने से रोका है. हालांकि, भारत के न्यूक्लियर इन्फ्रास्ट्रक्चर की व्यापक साइबर सुरक्षा व्यवस्था बनाने में दो बड़े मसले बाधक बने हुए हैं.
क्रिटिकल इन्फ्रास्ट्रक्चर के काम-काज, जिसमें एटमी ऊर्जा के रिएक्टर भी शामिल हैं, का प्रबंधन करने वाले सुपरवाइज़री कंट्रोल ऐंड डेटा एक्वेज़िशन (SCADA) सिस्टम की सुरक्षा लगातार चिंता का विषय बनी हुई है. SCADA के कुछ सिस्टम पुराने हैं, जिन्हें दशकों पहले तब स्थापित किया गया था, जब नेटवर्क आधारित ख़तरे या साइबर हमले नियमित रूप से नहीं होते थे. वो नेटवर्क से अल,ग थलग होने के कारण सुरक्षित रहते थे, क्योंकि वो दूर दराज़ के ठिकानों में होते थे और केवल सीमित औद्योगिक नेटवर्क का ही इस्तेमाल करते थे. हालांकि आज जब रिमोट संचालित अभियान और उसी समय सूचना के आदान प्रदान की बातें नियम बन गई हैं, तो ये व्यवस्थाएं भी ऑनलाइन आ गईं और इन पर साइबर हमलों का ख़तरा पैदा हो गया. ये जोखिम तब और बढ़ जाता है क्योंकि पैच्ड सिस्टम की कमी है (और पुराने पड़ चुके कमज़ोर सिस्टम लगे हैं), जो आसानी से साइबर हमलों का निशाना बन सकते हैं.
भारत में साइबर ख़तरों से निपटने वाली प्रमुख तकनीकी संस्था कंप्यूटर इमरजेंसी रिस्पॉन्स टीम (CERT) के गोपनीय आंकड़े बताते हैं कि भारत के SCADA सिस्टमों पर हर साल सैकड़ों हमले होते हैं और सुबूतों से पता चलता है कि पिछले कुछ वर्षों से उनकी संख्या और गंभीरता, दोनों ही बढ़ते जा रहे हैं. मिसाल के तौर पर अप्रैल 2022 में अमेरिका की साइबर सुरक्षा कंपनी रिकॉर्डेड फ्यूचर ने ये राज़ खोला था कि चीन की सेना से जुड़े हैकर्स ने कम से कम सात राज्यों के स्टेट लोड डिस्पैच सेंटर्स को निशाना बनाया था, जिनके ज़रिए उत्तरी भारत में बिजली ग्रिड का प्रबंधन करने वाले SCADA सिस्टम का प्रबंधन किया जाता है.
भारत के परमाणु केंद्रों का साइबर लचीलापन दिखाने के लिए भारतीय अधिकारी अक्सर एयर गैप वाले सिस्टम पर ज़ोर देते हैं- जिसमें कंप्यूटर और दूसरे महत्वपूर्ण उपकरणों को किसी सुरक्षित या असुरक्षित नेटवर्क से अलग रखा जाता है. हालांकि, वायरस संक्रमित USB उपकरणों के ज़रिए इस अलगाव वाली व्यवस्था में भी बहुत आसानी से सेंध लगाई जा सकती है. मिसाल के तौर पर ईरान के रिएक्टर्स को नुक़सान पहुंचाने वाले स्टक्सनेट वॉर्म को एक USB ड्राइव के ज़रिए ही वहां के कंप्यूटर नेटवर्क में घुसाया गया था. ये घटना भितरघात के ख़तरे को भी उजागर करती है. यानी उन लोगों से जोखिम, जो किसी संगठन के भौतिक या डिजिटल संसाधनों तक पहुंच रखते हैं.
इन चुनौतियों के अलावा भारत की परमाणु सुरक्षा के संदर्भ में विचार का एक बड़ा विषय उसकी ‘उन्नत परमाणु तकनीक से लैस एक उत्तरदायी देश’ की पहचान है. इसीलिए, भारत के एटमी इन्फ्रास्ट्रक्चर में किसी भी तरह की साइबर सेंध से न केवल ऑपरेशन को चोट पहुंचेगी, बल्कि एक जवाबदेह परमाणु शक्ति होने की भारत की छवि को भी करारा झटका लगेगा. ऐसा कोई भी साइबर हमला, भारत की इज़्ज़त पर बट्टा लगाएगा. क्योंकि, इससे भारत के परमाणु कार्यक्रम की सुरक्षा संस्कृति और मानकों पर सवाल खड़े होंगे.
पोखरण में परमाणु परीक्षणों के 25 साल बाद भारत सरकार ने देश के एटमी मूलभूत ढांचे को सुरक्षित बनाने का एक ढांचा खड़ा किया है. हालांकि, अहम मूलभूत राष्ट्रीय ढांचों (जिसमें परमाणु केंद्र और ठिकाने भी शामिल हैं) पर साइबर ख़तरों की बढ़ती पेचीदगी और उनके परिष्कृत होने के साथ ही, नीति निर्माताओं को भी एक जोखिम का विश्लेषण करने वाली एक व्यापक रूप-रेखा बनानी चाहिए, जो ख़तरों के उभरते केंद्रों के साथ क़दमताल मिला सकें और सुरक्षा व्यवस्था में लचीलापन ला सकें.
[i] India uses Critical Information Infrastructure (CII) to describe critical national infrastructure. The Information Technology Act, 2000 defines CII as that “computer resource, the incapacitation or destruction of which, shall have a debilitating impact on national security, economy, public health or safety”.
The views expressed above belong to the author(s). ORF research and analyses now available on Telegram! Click here to access our curated content — blogs, longforms and interviews.
Dr Sameer Patil is Senior Fellow, Centre for Security, Strategy and Technology and Deputy Director, ORF Mumbai. His work focuses on the intersection of technology ...
Read More +
PREV
