ईरान की धमकी से Big Tech में हलचल, अपनी छिपी हुई कमजोरियों पर सोचने को मजबूर
2 अप्रैल 2026
कई लोग अब भी साइबर हमले का मतलब अचानक होने वाला ब्लैकआउट समझते हैं। जैसे कि किसी पाइपलाइन का हैक हो जाना, अस्पताल का नेटवर्क फ्रीज़ हो जाना, या कुछ घंटों की अफरा-तफरी। लेकिन बड़ी टेक्नोलॉजी कंपनियों के लिए ज़्यादा आम खतरा धीमा, शांत और अक्सर समझाने में मुश्किल होता है। जब ईरान के इस्लामिक रिवोल्यूशनरी गार्ड कॉर्प्स ने 18 बड़ी अमेरिकी टेक कंपनियों को धमकी दी, तो डर सिर्फ़ यह नहीं था कि वेबसाइट्स डाउन हो सकती हैं। डर यह था कि एक जियोपॉलिटिकल चेतावनी उन रोज़मर्रा के सिस्टम में घुस सकती है, जिन्हें लाखों लोग काम, बातचीत, पेमेंट, क्लाउड स्टोरेज और सॉफ्टवेयर अपडेट के लिए इस्तेमाल करते हैं।
यह इसलिए मायने रखता है क्योंकि अब दुनिया कुछ ही प्राइवेट डिजिटल प्लेटफॉर्म्स पर चलती है। "टेक कंपनियों" को दी गई धमकी कैलिफोर्निया में उनके कॉर्पोरेट हेडक्वार्टर पर ही नहीं रुकती। यह क्लाउड रीजन्स, टेलीकॉम लिंक्स, आउटसोर्स वेंडर्स, कंटेंट डिलीवरी नेटवर्क्स, ऐप स्टोर्स और आइडेंटिटी सिस्टम्स से होकर गुजरती है। जब तक एक आम यूज़र को कुछ पता चलता है, तब तक दबाव इंफ्रास्ट्रक्चर की कई परतों से गुजर चुका होता है।
इस जोखिम को गंभीरता से लेने की अच्छी वजह है। अमेरिकी सरकारी एजेंसियों ने बार-बार चेतावनी दी है कि ईरान से जुड़े सरकारी साइबर एक्टर्स सक्रिय और सक्षम बने हुए हैं। साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी, एफबीआई और एनएसए, सभी ने पिछले कुछ सालों में एडवाइजरी जारी की हैं। इनमें बताया गया है कि ईरानी समूह फिशिंग, पासवर्ड स्प्रेइंग, सॉफ्टवेयर की जानी-मानी कमजोरियों का फायदा उठाने और पब्लिक व प्राइवेट नेटवर्क पर बाधा डालने वाले हमलों का इस्तेमाल कर रहे हैं। 2023 और 2024 में भी, अमेरिकी अधिकारियों ने चेतावनी देना जारी रखा कि ईरान से जुड़े लोगों सहित विदेशी सरकारी एक्टर्स, महत्वपूर्ण इंफ्रास्ट्रक्चर और इंटरनेट-फेसिंग सिस्टम की जासूसी कर रहे हैं।
इस क्षेत्र में ईरान का एक रिकॉर्ड रहा है। अमेरिकी अधिकारियों और प्राइवेट साइबर सिक्योरिटी फर्मों ने 2010 की शुरुआत में अमेरिकी वित्तीय संस्थानों के खिलाफ डिस्ट्रिब्यूटेड डिनायल-ऑफ-सर्विस (DDoS) कैंपेन, खाड़ी देशों की कंपनियों के खिलाफ विनाशकारी गतिविधियों और सरकार, टेलीकॉम, एयरोस्पेस और टेक्नोलॉजी नेटवर्क्स को निशाना बनाने वाली बार-बार की जासूसी के लिए ईरान से जुड़े एक्टर्स को जिम्मेदार ठहराया है। माइक्रोसॉफ्ट, मैंडिएंट, चेक पॉइंट और अन्य प्रमुख सिक्योरिटी फर्मों ने ईरानी समूहों के बारे में बताया है जो न केवल क्लासिक जासूसी पर, बल्कि प्रभाव डालने वाले ऑपरेशनों और राजनीतिक तनाव के क्षणों का फायदा उठाने वाले हमलों पर भी ध्यान केंद्रित करते हैं। यह पैटर्न जाना-पहचाना है: जब तनाव बढ़ता है, तो साइबर ऑपरेशन अक्सर सबसे सस्ते और सबसे आसानी से नकारे जा सकने वाले हथियारों में से एक बन जाते हैं।
यह इतिहास अमेरिकी टेक फर्मों के खिलाफ धमकी का मतलब बदल देता है। इसका मतलब यह नहीं है कि कोई एक बड़ा हमला निश्चित है। इसका मतलब है कि जोखिम एक बड़े अटैक सरफेस में फैल जाता है। बड़ी टेक्नोलॉजी कंपनियाँ आकर्षक टारगेट होती हैं क्योंकि वे बहुत सारी आर्थिक गतिविधियों के केंद्र में होती हैं। एक क्लाउड प्रोवाइडर एक ही समय में सरकारी टूल्स, अस्पतालों, लॉजिस्टिक्स सॉफ्टवेयर, पेरोल सिस्टम और कंज्यूमर ऐप्स को होस्ट कर सकता है। एक आइडेंटिटी प्रोवाइडर यह प्रभावित कर सकता है कि हजारों संगठनों में वर्कप्लेस सिस्टम में कौन लॉग-इन कर पाता है। किसी सॉफ्टवेयर सप्लायर या मैनेज्ड सर्विस प्रोवाइडर में एक सफल घुसपैठ एक साथ कई ग्राहकों तक फैल सकती है।
यही छिपी हुई कमजोरी है। सार्वजनिक बहस अक्सर इस पर केंद्रित होती है कि क्या कोई विशेष कंपनी अपने नेटवर्क की रक्षा कर सकती है। गहरा सवाल यह है कि क्या व्यापक डिजिटल सप्लाई चेन दबाव झेल सकती है। रिसर्च बार-बार दिखाती है कि यह क्यों मुश्किल है। IBM की वार्षिक 'कॉस्ट ऑफ ए डेटा ब्रीच' रिपोर्टों में लगातार पाया गया है कि सप्लाई-चेन से जुड़े ब्रीच और चोरी हुए क्रेडेंशियल्स को रोकना विशेष रूप से महंगा और धीमा होता है। Verizon की 'डेटा ब्रीच इन्वेस्टिगेशन्स रिपोर्ट' ने बार-बार दिखाया है कि मानवीय गलती, कमजोर क्रेडेंशियल आदतें और बिना पैच वाले एज डिवाइस आम एंट्री पॉइंट बने हुए हैं। दूसरे शब्दों में, यहाँ तक कि गंभीर सिक्योरिटी बजट वाली बहुत बड़ी फर्में भी अक्सर पार्टनर्स, कॉन्ट्रैक्टर्स और पुराने सिस्टम पर निर्भर होती हैं जो बहुत कम सुरक्षित होते हैं।
क्लाउड का एक जगह केंद्रित होना इसे और भी बदतर बना देता है। आधुनिक इंटरनेट कुछ मायनों में लचीला है, लेकिन दूसरों में असामान्य रूप से केंद्रीकृत भी है। मुट्ठी भर कंपनियाँ क्लाउड कंप्यूटिंग, एडवरटाइजिंग, मोबाइल ऑपरेटिंग सिस्टम, एंटरप्राइज प्रोडक्टिविटी सॉफ्टवेयर और ग्लोबल कंटेंट डिलीवरी पर हावी हैं। इस मॉडल ने स्पीड और स्केल दिया है। इसने सिस्टमिक रिस्क के नए रूप भी बनाए हैं। अगर हमलावर किसी बड़े प्लेटफॉर्म के सामने के दरवाजे को नहीं तोड़ सकते, तो वे साइड के दरवाजों को निशाना बना सकते हैं: जैसे कि थर्ड-पार्टी सपोर्ट टूल्स, रीजनल टेलीकॉम कैरियर्स, खुले हुए एप्लीकेशन प्रोग्रामिंग इंटरफेस (APIs) या सोशल इंजीनियरिंग के दबाव में आए कर्मचारी।
इसके संभावित परिणाम कई पाठकों की सोच से कहीं ज़्यादा व्यापक हैं। उपभोक्ताओं को लग सकता है कि यह कॉर्पोरेट सिक्योरिटी टीमों की समस्या है, आम जीवन की नहीं। लेकिन अगर बड़ी अमेरिकी टेक फर्मों को लगातार हमलों का सामना करना पड़ता है, तो इसका असर पासवर्ड रीसेट, कस्टमर सपोर्ट चैनल्स, सॉफ्टवेयर पैच, इंटरनेट राउटिंग, क्लाउड लेटेंसी और अकाउंट वेरिफिकेशन सिस्टम तक पहुंच सकता है। छोटे व्यवसायों को इसका असर जल्दी महसूस होगा। साथ ही स्थानीय सरकारों, स्कूलों और अस्पतालों को भी, जो उन्हीं प्लेटफॉर्म्स पर निर्भर हैं। हाल के वर्षों में, रैनसमवेयर और सॉफ्टवेयर आउटेज ने पहले ही दिखा दिया है कि दैनिक जीवन डिजिटल बैक-एंड सिस्टम से कितनी मजबूती से जुड़ा हुआ है। राजनीतिक रूप से प्रेरित कोई भी रुकावट इसी निर्भरता का फायदा उठाएगी।
ज़रूरत से ज़्यादा प्रतिक्रिया का भी एक खतरा है। सार्वजनिक धमकी के तहत कंपनियाँ दिखने वाले लेकिन संकीर्ण सुरक्षा उपायों में जल्दबाजी कर सकती हैं, जबकि कठिन संरचनात्मक सुधारों की उपेक्षा कर सकती हैं। वे पब्लिक मैसेजिंग को सख्त कर सकती हैं, अस्थायी निगरानी जोड़ सकती हैं और बयान जारी कर सकती हैं, लेकिन फिर भी वेंडर एक्सेस को खराब तरीके से नियंत्रित छोड़ सकती हैं या सिंगल पॉइंट्स ऑफ फेलियर को कम करने में विफल हो सकती हैं। सुरक्षा शोधकर्ता लंबे समय से यह तर्क देते रहे हैं कि लचीलापन (resilience) उतना ही महत्वपूर्ण है जितना कि रोकथाम (prevention)। सीधे शब्दों में कहें तो, फर्मों को यह मानकर चलना चाहिए कि कुछ हमले सफल होंगे और ऐसे सिस्टम बनाने चाहिए जो विफल होने पर भी कम नुकसान पहुँचाएँ।
इसका मतलब है कई ठोस कदम उठाना। बड़ी टेक कंपनियों को प्रिविलेज्ड एक्सेस में अनावश्यक centralization को कम करना चाहिए, आंतरिक नेटवर्कों को और ज़्यादा आक्रामक तरीके से अलग-अलग करना चाहिए और इंटरनेट-फेसिंग सिस्टम के लिए पैच साइकल्स को छोटा करना चाहिए। उन्हें किसी ब्रीच को एक निजी आंतरिक घटना मानने के बजाय टेलीकॉम प्रोवाइडर्स, क्लाउड ग्राहकों और महत्वपूर्ण सप्लायर्स के साथ मिलकर इंसिडेंट रिस्पांस का अभ्यास करना चाहिए। मल्टी-फैक्टर ऑथेंटिकेशन, हार्डवेयर सिक्योरिटी कीज़ और कॉन्ट्रैक्टर एक्सेस पर सख्त नियंत्रण अब बुनियादी ज़रूरतें हैं, न कि प्रीमियम ऐड-ऑन। यही बात क्लाउड एनवायरनमेंट में बेहतर लॉगिंग के लिए भी सच है, जहाँ कई संगठनों के पास अभी भी ब्लाइंड स्पॉट्स हैं।
सरकारों की भी एक भूमिका है। पब्लिक एजेंसियों को छोटे व्यवसायों के साथ थ्रेट इंटेलिजेंस को तेज़ी से और सरल भाषा में साझा करना चाहिए, जो बड़े प्लेटफॉर्म्स पर निर्भर हैं लेकिन जिनके पास एलीट सिक्योरिटी टीमें नहीं हैं। खरीद के नियम वेंडरों को डिफ़ॉल्ट रूप से मज़बूत सुरक्षा की ओर धकेल सकते हैं। नियामकों को डिजिटल कंसंट्रेशन के जोखिम पर अधिक ध्यान देना चाहिए, क्योंकि कुछ ही कंपनियों पर बहुत अधिक निर्भरता एक कॉर्पोरेट हमले को एक सामाजिक समस्या में बदल सकती है।
यूज़र्स भी असहाय नहीं हैं। कंपनियाँ और व्यक्ति जहाँ संभव हो, महत्वपूर्ण कामों को अलग-अलग सर्विसेज़ में बाँटकर, ऑफलाइन बैकअप रखकर, पासवर्ड मैनेजर्स का उपयोग करके, मजबूत ऑथेंटिकेशन को सक्षम करके और तत्काल अकाउंट से जुड़े मैसेजों पर संदेह करके नुकसान को कम कर सकते हैं। ये मामूली कदम हैं, लेकिन ये तब मायने रखते हैं जब हमलावर घबराहट और भ्रम पर निर्भर होते हैं।
सबसे बड़ी गलतफहमी यह है कि इस तरह के खतरे जासूसी और सैन्य दिखावे की दूर की दुनिया से ताल्लुक रखते हैं। हकीकत में, वे कहीं ज़्यादा व्यक्तिगत चीज़ की ओर इशारा करते हैं। हमारे हाथों में मौजूद डिवाइस और हमारे काम के पीछे के क्लाउड टूल्स अब जियोपॉलिटिकल इंफ्रास्ट्रक्चर का हिस्सा हैं। जब कोई विदेशी सैन्य संगठन बड़ी टेक फर्मों को धमकी देता है, तो मुद्दा केवल राष्ट्रीय सुरक्षा का नहीं होता। मुद्दा यह है कि जिन डिजिटल सिस्टम पर लोग हर दिन भरोसा करते हैं, क्या वे बिना चुपचाप फेल हुए दबाव झेलने के लिए बनाए गए हैं। यह अब कोई तकनीकी साइड-स्टोरी नहीं है। यह आधुनिक इंटरनेट के केंद्रीय सार्वजनिक-हित के सवालों में से एक है।