छोटे शहर बन रहे हैं साइबर वसूली का नया निशाना

आंकड़े इस बदलाव को समझने में मदद करते हैं। साइबर सुरक्षा फर्म सोफोस (Sophos) ने अपनी सालाना रैंसमवेयर रिपोर्ट में बार-बार पाया है कि राज्य और स्थानीय सरकार, स्वास्थ्य सेवा और शिक्षा सबसे ज्यादा प्रभावित होने वाले क्षेत्रों में से हैं। अमेरिका में, मल्टी-स्टेट इंफॉर्मेशन शेयरिंग एंड एनालिसिस सेंटर, जो राज्य, स्थानीय, आदिवासी और क्षेत्रीय सरकारों की मदद करता है, कई सालों से चेतावनी दे रहा है कि रैंसमवेयर स्थानीय सार्वजनिक संस्थाओं के लिए सबसे बड़े खतरों में से एक है। संघीय एजेंसियों ने भी यही बात कही है। एफबीआई (FBI) के इंटरनेट क्राइम कंप्लेंट सेंटर ने अर्थव्यवस्था में अरबों डॉलर के वार्षिक साइबर अपराध के नुकसान की सूचना दी है। लेकिन ये आंकड़े शायद स्थानीय संस्थानों को हुए नुकसान को कम आंकते हैं, क्योंकि वे अक्सर हमलों की रिपोर्ट नहीं करते या डाउनटाइम की पूरी लागत का अनुमान नहीं लगा पाते।

इन हमलों को इतना नुकसानदायक सिर्फ फिरौती की मांग नहीं बनाती। असली नुकसान तब होता है जब कोई स्थानीय सिस्टम बंद हो जाता है। किसी शहर में इसका मतलब हो सकता है कि कोर्ट के रिकॉर्ड उपलब्ध नहीं हैं। कहीं और टैक्स का भुगतान रुक जाता है, 911 सिस्टम धीमा पड़ जाता है या स्कूल स्टाफ को छात्रों की फाइलों तक पहुंच नहीं मिल पाती। 2023 में, अमेरिका के कई नगर पालिकाओं के अधिकारियों ने ऐसी साइबर घटनाओं का खुलासा किया, जिनसे कई दिनों या हफ्तों तक सामान्य सेवाएं बाधित रहीं। यूनाइटेड किंगडम में भी, स्थानीय परिषदों को हाल के वर्षों में गंभीर डिजिटल समस्याओं का सामना करना पड़ा है। कुछ को तो सिस्टम ऑफलाइन होने के बाद कागजी काम पर वापस लौटना पड़ा। निवासियों के लिए यह सिर्फ एक कंप्यूटर की समस्या नहीं है। इसका मतलब है रुकी हुई तनख्वाह, परमिट में देरी, अपॉइंटमेंट रद्द होना और ऐसी सार्वजनिक सेवाएं जो अचानक कमजोर लगने लगती हैं।

हमलावर इस दबाव को समझते हैं। एक बड़ी कंपनी के पास बैकअप सिस्टम, साइबर बीमा, बाहरी वकील और एक समर्पित सुरक्षा टीम हो सकती है। लेकिन एक ग्रामीण इलाके के काउंटी ऑफिस के पास अक्सर इनमें से कुछ भी नहीं होता। कई स्थानीय एजेंसियां अभी भी पुराने सॉफ्टवेयर, बिना सपोर्ट वाले हार्डवेयर और छोटे आईटी स्टाफ पर निर्भर हैं। यही स्टाफ पेरोल सिस्टम से लेकर पब्लिक वाई-फाई तक सब कुछ संभालता है। कुछ जगहों पर तो एक या दो लोग ही पूरे शहर की डिजिटल जिंदगी के लिए जिम्मेदार होते हैं। यह काम लगभग असंभव हो जाता है, जब अपराधी समूह किसी बिजनेस की तरह काम करते हैं, जिनके पास कस्टमर सपोर्ट, वार्ताकार और बने-बनाए मैलवेयर टूल होते हैं।

रिसर्च से पता चला है कि ये कमजोरियां बहुत आम हैं। सेंटर फॉर इंटरनेट सिक्योरिटी की 2023 की एक रिपोर्ट में स्थानीय सरकारों को सीमित संसाधनों वाला और तेजी से निशाना बनने वाला बताया गया। गवर्नमेंट अकाउंटेबिलिटी ऑफिस के अलग-अलग विश्लेषणों ने भी चेतावनी दी है कि जल प्रणालियों सहित कई महत्वपूर्ण बुनियादी ढांचों में साइबर सुरक्षा की बड़ी खामियां हैं। यह समस्या छोटे समुदायों में और भी गंभीर है। बड़े शहरों को किसी घटना के बाद राज्य या संघीय सहायता मिल सकती है। लेकिन छोटी जगहों को अक्सर चुपचाप नुकसान झेलना पड़ता है।

जल प्रणालियों से पता चलता है कि यह मामला सिर्फ कागजी कार्रवाई से कहीं आगे का है। हाल के वर्षों में, अमेरिकी अधिकारियों ने बार-बार चेतावनी दी है कि पीने के पानी और वेस्टवाटर सुविधाओं में साइबर कमजोरियां सार्वजनिक सुरक्षा के लिए वास्तविक खतरा पैदा कर सकती हैं। पर्यावरण संरक्षण एजेंसी (Environmental Protection Agency) और अन्य एजेंसियों ने कमजोर पासवर्ड, पुराने सॉफ्टवेयर और असुरक्षित रिमोट एक्सेस सिस्टम को बार-बार होने वाली समस्याएं बताया है। 2021 में, फ्लोरिडा के ओल्ड्समार में एक हैकर ने वॉटर ट्रीटमेंट सिस्टम तक पहुंच बना ली थी। उसने पानी में सोडियम हाइड्रॉक्साइड की मात्रा बढ़ाने की कोशिश की। नुकसान होने से पहले ही इस बदलाव को पकड़ लिया गया। लेकिन यह मामला एक बड़ा उदाहरण बन गया कि कैसे एक साइबर उल्लंघन तेजी से असल दुनिया को प्रभावित कर सकता है। इस घटना ने यह भी दिखाया कि कैसे एक छोटी स्थानीय यूटिलिटी, न कि कोई बड़ा राष्ट्रीय टारगेट, एक गंभीर सार्वजनिक सुरक्षा चिंता का केंद्र बन सकती है।

स्कूलों की कहानी भी कुछ ऐसी ही है। वे बच्चों और परिवारों के बारे में बहुत व्यक्तिगत रिकॉर्ड रखते हैं, फिर भी कई जिलों का सुरक्षा बजट सीमित होता है। हाल के वर्षों में, मिनेसोटा, कैलिफोर्निया और न्यूयॉर्क जैसे राज्यों के जिलों ने रैंसमवेयर की घटनाओं या डेटा चोरी की सूचना दी है। इससे उपस्थिति, पेरोल, परामर्श रिकॉर्ड और विशेष शिक्षा की फाइलें प्रभावित हुईं। यह उल्लंघन सिर्फ तकनीकी नहीं है। यह बहुत जल्दी व्यक्तिगत हो जाता है। एक परिवार को अचानक चिंता हो सकती है कि उनके बच्चे के स्वास्थ्य रिकॉर्ड, घर का पता या अनुशासनात्मक इतिहास ऑनलाइन घूम रहा है। बच्चों के लिए, यह नुकसान स्कूल दोबारा शुरू होने के लंबे समय बाद तक बना रह सकता है।

यह अब क्यों हो रहा है? एक कारण साधारण अर्थशास्त्र है। साइबर अपराधी ऐसे टारगेट चाहते हैं जिनके भुगतान करने की संभावना हो। स्थानीय सरकारें और सार्वजनिक संस्थान अक्सर आवश्यक सेवाएं प्रदान करते हैं और लंबे समय तक ऑफलाइन नहीं रह सकते। इससे सिस्टम को जल्दी से ठीक करने का दबाव बनता है, भले ही अधिकारी सार्वजनिक रूप से कहें कि वे बातचीत नहीं करेंगे। दूसरा कारण है पहुंच। हमलावरों को अब नुकसान पहुंचाने वाले अभियान शुरू करने के लिए विशेष कौशल की आवश्यकता नहीं है। रैंसमवेयर-एज-ए-सर्विस (Ransomware-as-a-service) के प्रसार ने इसे बहुत आसान बना दिया है। आपराधिक समूह टूल खरीद सकते हैं, इंफ्रास्ट्रक्चर किराए पर ले सकते हैं और मुनाफा बांट सकते हैं। इसने वसूली को और अधिक व्यापक और निरंतर बना दिया है।

एक नीतिगत कमी भी है। साइबर सुरक्षा पर खर्च अभी भी बड़े बजट और मजबूत राजनीतिक आवाज वाले बड़े संस्थानों के पक्ष में होता है। इस बीच, स्थानीय एजेंसियों को चुनाव प्रणालियों, सार्वजनिक रिकॉर्ड, पुलिस डेटा, यूटिलिटीज़ और स्कूलों की रक्षा करने के लिए कहा जाता है। लेकिन उनके खरीद नियम और स्टाफ का स्तर खतरे के मुकाबले बहुत पीछे हैं। अमेरिका में, कांग्रेस और संघीय एजेंसियों ने हाल के वर्षों में अनुदान और सहायता कार्यक्रम बढ़ाए हैं। इसमें महत्वपूर्ण बुनियादी ढांचे और राज्य साइबर सुरक्षा योजना से जुड़ी सहायता भी शामिल है। लेकिन कई विशेषज्ञों का कहना है कि यह मदद अभी भी असमान है और हमलों की गति से मेल खाने के लिए बहुत धीमी है।

इसके परिणामों को कम आंकना आसान है क्योंकि वे आम जीवन में फैले हुए हैं। एक छोटे शहर पर रैंसमवेयर का हमला हमेशा वैश्विक खबर नहीं बनता। लेकिन स्थानीय निवासियों के लिए, इसका मतलब हो सकता है प्रॉपर्टी की बिक्री रुक जाना, एम्बुलेंस भेजने में देरी, लाइब्रेरी सिस्टम का बंद होना या यह विश्वास खो देना कि शहर उनके बुनियादी रिकॉर्ड की रक्षा कर सकता है। बार-बार होने वाले हमले सार्वजनिक संस्थानों में विश्वास को भी खत्म करते हैं। अगर कोई स्कूल, अस्पताल या काउंटी ऑफिस अपने नेटवर्क को सुरक्षित नहीं कर सकता, तो लोग स्वाभाविक रूप से पूछते हैं कि और क्या खतरे में है।

समाधान हैं, और वे उतने आकर्षक नहीं हैं जितना कई लोग सोचते हैं। बुनियादी साइबर हाइजीन आज भी मायने रखती है। CISA जैसी संघीय एजेंसियों के मार्गदर्शन में लंबे समय से कुछ प्रमुख कदमों पर जोर दिया गया है। जैसे: मल्टी-फैक्टर ऑथेंटिकेशन, ऑफलाइन बैकअप, नेटवर्क सेगमेंटेशन, समय पर सॉफ्टवेयर अपडेट और कर्मचारियों को नियमित ट्रेनिंग। ये कदम एकदम सही नहीं हैं, लेकिन वे जोखिम को बहुत कम कर देते हैं। उल्लंघन होने से पहले रिकवरी की योजना बनाना भी उतना ही महत्वपूर्ण है। समुदायों को परीक्षण किए गए बैकअप सिस्टम, स्पष्ट आपातकालीन योजनाओं और आपसी सहायता व्यवस्था की आवश्यकता है ताकि किसी एक स्थानीय कार्यालय को अकेले एक गंभीर हमले का सामना न करना पड़े।

पैसा भी मायने रखता है। स्थानीय साइबर सुरक्षा संकट के बाद मिलने वाले एकमुश्त अनुदान पर निर्भर नहीं रह सकती। इसके लिए स्थिर फंडिंग, साझा सेवाओं और क्षेत्रीय सहायता मॉडल की आवश्यकता है। ये मॉडल छोटे समुदायों को कुशल विशेषज्ञों तक पहुंचने में मदद करते हैं, जिन्हें वे खुद कभी काम पर नहीं रख सकते। कुछ राज्यों ने इस दिशा में बढ़ना शुरू कर दिया है। वे काउंटियों और स्कूल जिलों को केंद्रीकृत सुरक्षा संचालन, खतरे की निगरानी और घटना प्रतिक्रिया सहायता प्रदान कर रहे हैं। इस मॉडल को व्यापक समर्थन मिलना चाहिए।

सबसे बड़ी गलतफहमी यह है कि साइबर वसूली मुख्य रूप से अमीर कंपनियों और दूर की राजधानियों की समस्या है। वास्तव में, इसकी असली लड़ाई अक्सर छोटे शहरों, सामान्य स्कूल प्रणालियों और स्थानीय यूटिलिटीज़ में लड़ी जाती है। ये वे सेवाएं हैं जिनका लोग हर दिन उपयोग करते हैं और उनके बारे में तब तक नहीं सोचते जब तक वे काम करना बंद न कर दें। इसीलिए यह कहानी महत्वपूर्ण है। जब साइबर अपराध स्थानीय संस्थानों पर हमला करता है, तो यह सिर्फ डेटा नहीं चुराता। यह उन सामान्य प्रणालियों को बाधित करता है जो एक समुदाय को सुरक्षित, कार्यात्मक और वास्तविक महसूस कराती हैं।