जटिल कंप्यूटर कोड से कहीं बड़ा साइबर सुरक्षा खतरा क्यों है इंसानी थकान

तकनीकी खामियों के बजाय 'सोशल इंजीनियरिंग' (लोगों को झांसा देने) की तरफ हुए इस बदलाव ने डिजिटल खतरों की पूरी तस्वीर को बदल कर रख दिया है। कई वर्षों से, वैश्विक साइबर सुरक्षा उद्योग ने बड़े फायरवॉल बनाने और उन्नत एंटीवायरस सॉफ़्टवेयर लगाने पर बहुत ध्यान केंद्रित किया है। इसके बावजूद, 'आईबीएम कॉस्ट ऑफ ए डेटा ब्रीच' (IBM Cost of a Data Breach) रिपोर्ट का डेटा लगातार दिखाता है कि चोरी किए गए या हैक किए गए पासवर्ड और फ़िशिंग (धोखाधड़ी वाली) योजनाएं ही सबसे आम शुरुआती हमले के तरीके बने हुए हैं। संयुक्त राज्य अमेरिका में, 'साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी' ने बार-बार चेतावनी दी है कि रैंसमवेयर हमलावर उन्नत सुरक्षा प्रणालियों को दरकिनार करके सबसे कमजोर यानी इंसानी कड़ियों को निशाना बना रहे हैं। हमने 2018 में ऐसा ही देखा था जब अटलांटा शहर पूरी तरह से ठप हो गया था। हैकर्स ने कोई बहुत जटिल डिजिटल हथियार इस्तेमाल नहीं किया था; उन्होंने सैम-सैम (SamSam) नामक एक जाने-पहचाने रैंसमवेयर का इस्तेमाल करके कमजोर पासवर्ड और इंटरनेट से जुड़े सर्वर को निशाना बनाया। इस हमले ने नगरपालिका सेवाओं को पंगु बना दिया, शहर के कर्मचारियों को हाथ से रिपोर्ट लिखने के लिए मजबूर किया और स्थानीय अदालत प्रणाली में अराजकता फैला दी। अंततः इस समस्या को ठीक करने में करदाताओं के लाखों डॉलर खर्च हो गए।

इस कमजोरी का मुख्य कारण उन उपकरणों के बीच खतरनाक तालमेल की कमी है जिनका उपयोग समाज करता है और उन लोगों के बीच जिन पर इन्हें बनाए रखने की जिम्मेदारी है। दुनिया भर में, महत्वपूर्ण बुनियादी ढांचे का प्रबंधन स्थानीय सरकारों, क्षेत्रीय स्वास्थ्य सेवा नेटवर्क और पब्लिक स्कूल जिलों द्वारा तेजी से किया जा रहा है। ये संगठन दैनिक जीवन के ताने-बाने में गहराई से बुने हुए हैं, फिर भी वे बहुत कम बजट और पुरानी प्रणालियों पर काम करते हैं। जबकि अंतरराष्ट्रीय बैंक और बहुराष्ट्रीय प्रौद्योगिकी समूह चौबीसों घंटे नेटवर्क ट्रैफिक की निगरानी के लिए सुरक्षा विश्लेषकों की फौज रख सकते हैं, एक काउंटी (जिला) जल उपचार सुविधा या क्षेत्रीय अस्पताल ऐसा नहीं कर सकता। इसके अलावा, मानव थकान का तत्व भी शामिल है जिससे इनकार नहीं किया जा सकता। इन सार्वजनिक क्षेत्रों के कर्मचारियों को आमतौर पर कम संसाधनों के साथ अधिक काम करने के लिए कहा जाता है, जो रोज़ाना सैकड़ों ईमेल और डिजिटल अनुरोधों को प्रोसेस करते हैं। जब साइबर अपराधी कृत्रिम बुद्धिमत्ता (AI) का लाभ उठाकर पूरी तरह से लिखे गए, अत्यधिक व्यक्तिगत फ़िशिंग ईमेल तैयार करते हैं जो किसी भरोसेमंद सुपरवाइजर या विक्रेता के लहजे की नकल करते हैं, तो एक लंबी शिफ्ट के अंत में थका हुआ कर्मचारी स्वाभाविक रूप से इसका शिकार हो जाता है। यह माहौल की विफलता है, न कि व्यक्तिगत बुद्धि की।

इस ढांचागत कमजोरी के परिणाम केवल लॉक हुई कंप्यूटर स्क्रीन और फिरौती में मांगी गई क्रिप्टोकरेंसी से कहीं अधिक व्यापक हैं। जब नागरिक और स्वास्थ्य नेटवर्क विफल हो जाते हैं, तो इसके परिणाम प्रत्यक्ष, भौतिक और बहुत चिंताजनक होते हैं। 2022 में, कोस्टा रिका सरकार ने रैंसमवेयर हमलों की एक भयंकर लहर के बाद राष्ट्रीय आपातकाल घोषित कर दिया था। इस हमले ने उनके वित्त मंत्रालय को पंगु बना दिया, सीमाओं पर अंतर्राष्ट्रीय व्यापार रोक दिया, और राष्ट्रीय स्वास्थ्य प्रणाली को गंभीर रूप से बाधित कर दिया। नागरिकों को समय पर चिकित्सा निदान नहीं मिल सका, और निर्यात व्यवसायों को भारी नुकसान उठाना पड़ा क्योंकि गोदामों में सामान सड़ने लगा। इसी तरह, संयुक्त राज्य अमेरिका में, स्वास्थ्य सेवा नेटवर्क पर रैंसमवेयर हमलों ने नियमित रूप से अस्पतालों को अपनी आपातकालीन सेवाओं से एम्बुलेंसों को वापस मोड़ने और जीवन रक्षक सर्जरी में देरी करने के लिए मजबूर किया है। जब मरीजों के रिकॉर्ड अचानक एन्क्रिप्ट (लॉक) हो जाते हैं और उन तक पहुंच नहीं बन पाती है, तो डॉक्टरों को बिना जानकारी के इलाज करने के लिए मजबूर होना पड़ता है, जो मूल रूप से मरीज की सुरक्षा से एक बड़ा समझौता है। डिजिटल दुनिया अब पूरी तरह से भौतिक दुनिया में प्रवेश कर चुकी है, जिसका मतलब है कि स्थानीय अस्पताल पर किया गया साइबर हमला अब केवल डेटा चोरी नहीं है, बल्कि सार्वजनिक स्वास्थ्य और मानव जीवन के लिए एक सीधा खतरा है।

इस खतरनाक प्रवृत्ति को उलटने के लिए समाज द्वारा डिजिटल सुरक्षा को देखने के नजरिए में गहरा बदलाव लाने की आवश्यकता है। सरकारों और संस्थानों को साइबर सुरक्षा को केवल सूचना प्रौद्योगिकी का खर्च मानना बंद करना चाहिए और इसे सार्वजनिक सुरक्षा का एक मुख्य स्तंभ मानना शुरू करना चाहिए। इसकी शुरुआत उस दृष्टिकोण में बदलाव से होती है जिसे उद्योग विशेषज्ञ 'ज़ीरो-ट्रस्ट आर्किटेक्चर' कहते हैं; यह एक ऐसा ढांचा है जो मानकर चलता है कि नेटवर्क के भीतर पहले से ही खतरे मौजूद हैं और संवेदनशील डेटा तक पहुंचने की कोशिश करने वाले किसी भी उपयोगकर्ता के लिए निरंतर सत्यापन (वैरिफिकेशन) की मांग करता है। हालांकि, केवल तकनीकी ढांचे पर्याप्त नहीं हैं। सबसे प्रभावी बचाव इंसानी लचीलेपन और मजबूती पर केंद्रित होना चाहिए। नगरपालिकाओं और स्वास्थ्य सेवा प्रदाताओं को साइबर सुरक्षा प्रशिक्षण और सिस्टम के आधुनिकीकरण के लिए संघीय या राष्ट्रीय सरकारों से मजबूत, निरंतर फंडिंग की आवश्यकता है। कर्मचारियों को उबाऊ, साल में एक बार दिखाए जाने वाले अनुपालन (कंप्लायंस) वीडियो दिखाने के बजाय, संगठनों को सुरक्षा की ऐसी संस्कृति विकसित करनी चाहिए जहां कर्मचारी काम धीमा होने पर फटकार के डर के बिना संदिग्ध अनुरोधों को जांचने के लिए सशक्त महसूस करें। इसके अलावा, उन वित्तीय नेटवर्कों को ट्रैक करने और नष्ट करने के लिए अंतरराष्ट्रीय सहयोग आवश्यक है जो रैंसमवेयर गिरोहों को बिना किसी डर के फिरौती की रकम को ठिकाने लगाने (लॉन्डरिंग) की अनुमति देते हैं।

बहुत लंबे समय से, डिजिटल सुरक्षा से जुड़ी सार्वजनिक चर्चा तकनीकी शब्दावली और तकनीकी विशेषज्ञों पर गलत तरीके से केंद्रित होने के कारण अस्पष्ट रही है। हमने बेहतरीन अलार्म से लैस डिजिटल किले बनाए हैं, लेकिन सामने का दरवाजा खुला छोड़ दिया है क्योंकि हम उन लोगों का समर्थन करना भूल गए जिनके हाथों में चाबियां हैं। जैसे-जैसे दैनिक जीवन हमारे पानी, हमारे स्वास्थ्य और हमारी अर्थव्यवस्थाओं का प्रबंधन करने वाले नेटवर्क से पूरी तरह से जुड़ता जा रहा है, डिजिटल रक्षा के मानवीय पहलू को नज़रअंदाज़ करना एक बहुत बड़ा जोखिम बन गया है। केवल बेहतर सॉफ़्टवेयर लिखने से सुरक्षित भविष्य की गारंटी नहीं मिलेगी। इसे यह मानकर सुरक्षित किया जाएगा कि हमारा डिजिटल बुनियादी ढांचा उतना ही मजबूत है जितना कि इसका रखरखाव करने वाले मानव संस्थान और थके हुए कर्मचारी। आधुनिक साइबर सुरक्षा का असली युद्ध का मैदान किसी दूर स्थित सर्वर पर नहीं है, बल्कि समाज को चालू रखने वाले लोगों की दैनिक दिनचर्या में है।