साइबर सुरक्षा की सबसे कमज़ोर कड़ी: आपका पर्सनल इनबॉक्स

यह इसलिए मायने रखता है क्योंकि बड़े अधिकारियों की ज़िंदगी अलग-अलग हिस्सों में बंटी नहीं होती। उनकी काम की ज़िंदगी, निजी ज़िंदगी, कॉन्टैक्ट्स, कैलेंडर और रिकवरी के तरीक़े अक्सर एक-दूसरे से इस तरह जुड़े होते हैं कि हमलावरों को मौक़ा मिल जाता है। एक निजी इनबॉक्स में यात्रा की जानकारी, कॉन्टैक्ट लिस्ट, क़ानूनी नोटिस, वित्तीय रिकॉर्ड या पासवर्ड रीसेट लिंक हो सकते हैं। भले ही वहां कोई गोपनीय फ़ाइल न हो, फिर भी हमलावर को कुछ क़ीमती मिल जाता है: संदर्भ। साइबर ऑपरेशन में, संदर्भ ही ताक़त है। यह अपराधियों को धोखाधड़ी करने में, जासूसों को रिश्तों का पता लगाने में और सोशल इंजीनियर्स को ऐसे संदेश तैयार करने में मदद करता है जो इतने असली दिखें कि सतर्क लोग भी धोखा खा जाएं।

इसके सबूतों को नज़रअंदाज़ करना मुश्किल है। FBI के इंटरनेट क्राइम कंप्लेंट सेंटर ने बताया कि 2023 में अमेरिकियों ने साइबर क्राइम में 12.5 अरब डॉलर से ज़्यादा का नुकसान उठाया, जो एक रिकॉर्ड है। इनमें से कई मामले किसी सोफिस्टिकेटेड मैलवेयर से शुरू नहीं हुए थे। इनकी शुरुआत फ़िशिंग, अकाउंट से छेड़छाड़, पहचान की चोरी और किसी और का रूप धरने से हुई। Verizon की डेटा ब्रीच इन्वेस्टिगेशन रिपोर्ट में बार-बार पाया गया है कि ज़्यादातर उल्लंघनों में इंसानी पहलू की भूमिका होती है, चाहे वह चोरी हुए क्रेडेंशियल हों, सोशल इंजीनियरिंग हो या सामान्य गलती। Google और Mandiant भी सालों से चेतावनी दे रहे हैं कि अकाउंट पर कब्ज़े की शुरुआत अक्सर कमज़ोर ऑथेंटिकेशन आदतों से होती है, न कि किसी एडवांस्ड कोड से।

यह पैटर्न सिर्फ़ अमेरिका तक ही सीमित नहीं है। ब्रिटेन में, नेशनल साइबर सिक्योरिटी सेंटर ने बार-बार सरकारी अधिकारियों और आम नागरिकों से अपने पर्सनल ईमेल अकाउंट को सुरक्षित करने का आग्रह किया है क्योंकि वे बड़े सिस्टम में घुसने का ज़रिया बन सकते हैं। जर्मनी और फ़्रांस में भी साइबर एजेंसियों ने ऐसी ही सलाह जारी की है, जब सरकार समर्थित ग्रुप्स ने टारगेट की प्रोफ़ाइल बनाने के लिए निजी बातचीत और क्लाउड अकाउंट का इस्तेमाल किया। भले ही मक़सद सीधा हमला करना न हो, हमलावर किसी पर्सनल अकाउंट से इतनी जानकारी इकट्ठा कर सकते हैं कि वे दबाव बना सकें, ब्लैकमेल कर सकें या किसी और का रूप धरकर भरोसेमंद तरीक़े से धोखा दे सकें।

पर्सनल अकाउंट इतने असुरक्षित क्यों होते हैं? इसका एक जवाब मनोवैज्ञानिक है। लोग आमतौर पर काम पर ज़्यादा सावधान रहते हैं क्योंकि उन्हें पता होता है कि उन पर नज़र रखी जा रही है, उन्हें ट्रेनिंग दी गई है और उनका ऑडिट होता है। घर पर, वे तेज़ी से काम करते हैं। वे फ़ोन से क्लिक करते हैं, पुराने पासवर्ड इस्तेमाल करते हैं, सिक्योरिटी अलर्ट को नज़रअंदाज़ करते हैं और जाने-पहचाने प्लेटफ़ॉर्म को सुरक्षित मानते हैं। वही व्यक्ति जो सरकारी लैपटॉप पर कभी कोई अनजान फ़ाइल नहीं खोलेगा, हो सकता है कि रात का खाना बनाते समय लापरवाही से किसी लॉगिन प्रॉम्प्ट को मंज़ूरी दे दे। ध्यान में यही कमी वह चीज़ है जिसका हमलावर फ़ायदा उठाते हैं।

इसका एक और कारण ढांचागत है। आधुनिक डिजिटल ज़िंदगी एक-दूसरे से जुड़े होने पर बनी है। एक पर्सनल ईमेल अकाउंट बैंकिंग, मैसेजिंग, शॉपिंग, क्लाउड स्टोरेज और सोशल मीडिया के लिए रिकवरी एड्रेस हो सकता है। एक फ़ोन नंबर टू-फ़ैक्टर ऑथेंटिकेशन कोड को अनलॉक कर सकता है। एक फैमिली कैलेंडर यात्रा की योजनाओं का ख़ुलासा कर सकता है। एक कॉन्टैक्ट लिस्ट सहायकों, रिश्तेदारों, डॉक्टरों, वकीलों और सहकर्मियों की पहचान बता सकती है। एक वरिष्ठ सरकारी अधिकारी के लिए, यह जाल किसी हमलावर के लिए और भी ज़्यादा उपयोगी हो जाता है। इससे पता चल सकता है कि अगला निशाना किसे बनाना है और कौन सी कहानी बतानी है।

यह कोई काल्पनिक चिंता नहीं है। 2016 में अमेरिकी राजनीतिक हस्तियों के चुराए गए ईमेल के प्रकाशन ने दिखाया कि कैसे पर्सनल और कैंपेन अकाउंट राष्ट्रीय सुरक्षा और राजनीतिक हथियार बन सकते हैं। बाद के सालों में, शोधकर्ताओं और ख़ुफ़िया एजेंसियों ने विदेशी-समर्थित ग्रुप्स द्वारा अधिकारियों, पत्रकारों, असंतुष्टों और नीति विशेषज्ञों को ऑफिशियल चैनलों के बजाय पर्सनल प्लेटफ़ॉर्म के ज़रिए निशाना बनाने की बार-बार की कोशिशों का दस्तावेज़ीकरण किया। Microsoft ने बताया है कि कैसे सरकार समर्थित हैकर्स अक्सर किसी सुरक्षित नेटवर्क पर सीधे हमला करने के बजाय पासवर्ड स्प्रेइंग, टोकन थेफ़्ट या फ़िशिंग से शुरुआत करते हैं। ऐसा करना सस्ता और ज़्यादा ख़ामोशी से हो जाता है।

इसके परिणाम तेज़ी से फैल सकते हैं। सबसे पहले, टारगेट को सीधा नुकसान होता है: संदेशों की चोरी, कॉन्टैक्ट्स का खुलासा, निजी जानकारी का लीक होना और संभावित वित्तीय धोखाधड़ी। फिर संस्थागत नुकसान होता है। सहकर्मियों को भरोसेमंद दिखने वाले फ़र्ज़ी संदेश मिल सकते हैं। सुरक्षा टीमों को यह जांच करनी पड़ सकती है कि क्या आंतरिक सिस्टम पर भी अप्रत्यक्ष रूप से असर पड़ा। दुश्मन इस घटना का इस्तेमाल जनता के भरोसे को कमज़ोर करने, अक्षमता का सुझाव देने या यह जताने के लिए कर सकते हैं कि सेंध ज़्यादा गहरी थी, भले ही ऐसा न हुआ हो। क़ानून लागू करने वाली और ख़ुफ़िया एजेंसियों के प्रमुखों के लिए, प्रतिष्ठा को पहुंचने वाला यह नुकसान अपने आप में एक जोखिम है। यह देश में विश्वास को कमज़ोर कर सकता है और विदेश में ग़लत संकेत भेज सकता है।

यहां एक गहरी लोकतांत्रिक समस्या भी है। नागरिकों को अक्सर बताया जाता है कि राष्ट्रीय साइबर सुरक्षा मुख्य रूप से एलीट एजेंसियों, गोपनीय उपकरणों और अरबों डॉलर के डिफ़ेंस का मामला है। लेकिन पर्सनल अकाउंट से जुड़े मामले दिखाते हैं कि सार्वजनिक साइबर सुरक्षा सामान्य डिजिटल आदतों से जुड़ी है। अगर शीर्ष अधिकारी भी उन्हीं कमज़ोरियों के ज़रिए ख़तरे में आ सकते हैं जो लाखों घरों को प्रभावित करती हैं, तो साइबर सुरक्षा सिर्फ़ एक तकनीकी मुद्दा नहीं है। यह एक नागरिक मुद्दा है। यह आदतों, डिज़ाइन विकल्पों और इस बात पर निर्भर करता है कि क्या प्लेटफ़ॉर्म मज़बूत सुरक्षा को डिफ़ॉल्ट बनाते हैं, न कि एक वैकल्पिक सुविधा।

अच्छी ख़बर यह है कि कई बेहतरीन बचाव के तरीक़े रहस्यमयी नहीं हैं। सुरक्षा विशेषज्ञ लंबे समय से लोगों से पासवर्ड मैनेजर, यूनिक पासवर्ड, फ़िशिंग-प्रतिरोधी मल्टी-फ़ैक्टर ऑथेंटिकेशन और अकाउंट रिकवरी जैसे ज़रूरी कामों के लिए अलग-अलग ईमेल अकाउंट इस्तेमाल करने का आग्रह कर रहे हैं। अमेरिकी साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी ने सार्वजनिक अधिकारियों, पत्रकारों और एक्टिविस्ट जैसे ज़्यादा ख़तरे वाले लोगों के लिए हार्डवेयर सिक्योरिटी की के महत्व पर ज़ोर दिया है। Apple, Google और Microsoft अब मज़बूत अकाउंट सुरक्षा प्रोग्राम ऑफ़र करते हैं, लेकिन इसके लिए यूज़र्स को ख़ुद को एनरोल करना और उनका पालन करना पड़ता है।

संस्थाओं को भी पर्सनल डिवाइस और पर्सनल अकाउंट की सुरक्षा को एक शर्मनाक और मामूली मुद्दा मानना बंद करना होगा। वरिष्ठ अधिकारियों के लिए, इसे मानक रिस्क मैनेजमेंट का हिस्सा होना चाहिए। इसका मतलब है पर्सनल अकाउंट की नियमित सुरक्षा समीक्षा, परिवार के सदस्यों के लिए मज़बूत मार्गदर्शन, सार्वजनिक कर्तव्यों और निजी बातचीत के बीच स्पष्ट अलगाव, और किसी भी पर्सनल अकाउंट में सेंधमारी का संदेह होने पर तुरंत रिपोर्ट करने के नियम। ये क़दम दखल देने वाले लग सकते हैं, लेकिन इसका विकल्प और भी बुरा है। हमलावर पहले से ही समझते हैं कि नेटवर्क का किनारा उससे जुड़ी इंसानी ज़िंदगी ही है।

यहां एक सबक़ है जो किसी एक ख़बर या एक हेडलाइन से कहीं बड़ा है। साइबर सुरक्षा में विफलताएं हमेशा किसी फ़िल्म की तरह ज़ोरदार तरीक़े से नहीं होती हैं। अक्सर वे एक जाने-पहचाने ऐप, एक सामान्य लॉगिन, या एक निजी संदेश के ज़रिए घुसपैठ करती हैं, जो इतना साधारण लगता है कि उससे डर नहीं लगता। इसीलिए पर्सनल अकाउंट इतने मायने रखते हैं। वे अब सुरक्षा के दायरे से बाहर नहीं हैं। कई मामलों में, वे ख़ुद ही सुरक्षा का दायरा हैं। और जब तक नेता, संस्थाएं और जनता इसे स्वीकार नहीं कर लेते, तब तक अगली सेंधमारी किसी डिजिटल युद्ध के मैदान की तरह कम और रोज़मर्रा की ज़िंदगी की तरह ज़्यादा दिखती रहेगी।