संदर्भ:
हाल ही में इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने CERT-In, CSIRT-Fin तथा साइबर सुरक्षा कंपनी SISA के सहयोग से डिजिटल थ्रेट रिपोर्ट 2025–26 का दूसरा संस्करण जारी किया है। यह रिपोर्ट भारत के बैंकिंग, वित्तीय सेवाओं, बीमा (BFSI) तथा डिजिटल भुगतान पारिस्थितिकी तंत्र के सामने उभर रहे साइबर खतरों का आकलन करती है तथा वित्तीय संस्थानों, नियामकों और साइबर सुरक्षा विशेषज्ञों के लिए रणनीतिक मार्गदर्शन प्रदान करती है।
डिजिटल थ्रेट रिपोर्ट 2025–26 के बारे में:
यह रिपोर्ट निम्नलिखित आधारों पर तैयार की गई है-
-
-
- डिजिटल फोरेंसिक एवं घटना प्रतिक्रिया (Incident Response) संबंधी अनुसंधान।
- CERT-In तथा CSIRT-Fin के अवलोकन।
- प्रतिकूल (Adversarial) कृत्रिम बुद्धिमत्ता (AI) का विश्लेषण।
- वित्तीय क्षेत्र को प्रभावित करने वाली वास्तविक साइबर घटनाओं का अध्ययन।
- डिजिटल फोरेंसिक एवं घटना प्रतिक्रिया (Incident Response) संबंधी अनुसंधान।
-
प्रमुख निष्कर्ष:
1. साइबर खतरों का तेजी से विकसित होना: साइबर कमजोरियों (Cyber Vulnerabilities) की पहचान और उनके दुरुपयोग (Exploitation) के बीच का समय पहले जहाँ वर्षों का होता था, अब घटकर कुछ महीनों या कई मामलों में केवल कुछ सप्ताह रह गया है।
2. साइबर हमलों की अधिक परिष्कृत तकनीकें: निम्नलिखित खतरे अब केवल उभरते हुए जोखिम नहीं रह गए हैं, बल्कि साइबर हमलों के सामान्य तरीके बन चुके हैं—
-
-
- सोशल इंजीनियरिंग (Social Engineering)
- क्रेडेंशियल चोरी (Credential Theft)
- सप्लाई-चेन से समझौता (Supply-Chain Compromise)
- क्लाउड सिस्टम का दुरुपयोग (Cloud Exploitation)
- सोशल इंजीनियरिंग (Social Engineering)
-
3. AI-सक्षम साइबर हमलों में वृद्धि: रिपोर्ट में "AI असमानता (AI Asymmetry)" को एक प्रमुख जोखिम बताया गया है। कृत्रिम बुद्धिमत्ता की सहायता से सीमित संसाधनों वाले हमलावर भी अत्यधिक परिष्कृत साइबर हमले मशीन की गति से कर सकते हैं, जबकि सुरक्षा एवं नियामक तंत्र उनके मुकाबले धीमी गति से प्रतिक्रिया दे पाते हैं।
4. साइबर हमले की प्रकृति पहचानना कठिन: आधुनिक साइबर हमले अक्सर निम्नलिखित के समान दिखाई देते हैं-
-
-
- वैध उपयोगकर्ता सत्र (Legitimate User Sessions)
- अधिकृत भुगतान लेन-देन (Authorized Payment Transactions)
- सामान्य कार्यप्रवाह (Normal Workflow Activities)
- वैध उपयोगकर्ता सत्र (Legitimate User Sessions)
-
इस कारण इनकी पहचान तब तक कठिन रहती है, जब तक वित्तीय या परिचालन संबंधी नुकसान नहीं हो जाता।
चार-स्तरीय साइबर विफलता (Cyber Failure) रूपरेखा:
रिपोर्ट में "साइबर विफलता की संरचना (Anatomy of Cyber Failure)" नामक रूपरेखा प्रस्तुत की गई है, जो बताती है कि किस प्रकार परस्पर जुड़ी कमजोरियों के कारण साइबर उल्लंघन (Cyber Breach) गंभीर रूप ले लेते हैं।
यह रूपरेखा निम्नलिखित चार स्तरों पर केंद्रित है-
-
-
- प्रणाली की रूपरेखा (System Design)
- सुरक्षा नियंत्रणों का क्रियान्वयन (Security Control Implementation)
- खतरे की पहचान करने वाले तंत्र (Detection Mechanisms)
- संस्थागत प्रतिक्रिया (Institutional Response)
- प्रणाली की रूपरेखा (System Design)
-
यह ढाँचा संस्थानों को प्रणालीगत कमजोरियों की पहचान करने तथा साइबर सुरक्षा निवेशों को प्राथमिकता देने में सहायता करता है।
18 माह का साइबर लचीलापन (Cyber Resilience) रोडमैप:
रिपोर्ट में वित्तीय संस्थानों के लिए निम्नलिखित सुझाव दिए गए हैं-
-
-
- बुनियादी सुरक्षा नियंत्रणों को मजबूत करना।
- निरंतर जोखिम आकलन (Continuous Risk Assessment) करना।
- संस्थानों और नियामकों के बीच सूचना साझाकरण को बढ़ावा देना।
- उन्नत साइबर लचीलापन (Advanced Cyber Resilience) विकसित करना।
- मजबूत एवं अनुकूलनशील सुरक्षा संरचना (Adaptive Security Architecture) तैयार करना।
- बुनियादी सुरक्षा नियंत्रणों को मजबूत करना।
-
भारत के लिए महत्त्व:
-
-
- भारत के तेजी से विकसित हो रहे डिजिटल वित्तीय पारिस्थितिकी तंत्र की साइबर सुरक्षा को सुदृढ़ बनाता है।
- डिजिटल बैंकिंग एवं भुगतान प्रणालियों में जनता के विश्वास को सुरक्षित रखता है।
- डिजिटल इंडिया तथा वित्तीय समावेशन (Financial Inclusion) जैसी पहलों को समर्थन देता है।
- विकसित हो रहे साइबर खतरों के विरुद्ध परिचालन लचीलापन (Operational Resilience) बढ़ाता है।
- सरकार, नियामकों तथा निजी क्षेत्र के बीच सहयोग को प्रोत्साहित करता है।
- भारत के तेजी से विकसित हो रहे डिजिटल वित्तीय पारिस्थितिकी तंत्र की साइबर सुरक्षा को सुदृढ़ बनाता है।
-
CERT-In के बारे में:
CERT-In (इंडियन कंप्यूटर इमरजेंसी रिस्पॉन्स टीम) भारत में साइबर सुरक्षा घटनाओं से निपटने वाली राष्ट्रीय नोडल एजेंसी है। यह इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय (MeitY) के अधीन कार्य करती है तथा सूचना प्रौद्योगिकी (संशोधन) अधिनियम, 2008 के अंतर्गत नामित एजेंसी है।
प्रमुख कार्य:
-
-
- साइबर घटनाओं की निगरानी एवं विश्लेषण करना।
- साइबर सुरक्षा संबंधी अलर्ट, परामर्श (Advisories) और भेद्यता (Vulnerability) संबंधी सूचनाएँ जारी करना।
- राष्ट्रीय स्तर पर साइबर घटनाओं के प्रति समन्वित प्रतिक्रिया सुनिश्चित करना।
- साइबर सुरक्षा के लिए निवारक एवं आपातकालीन उपायों की सिफारिश करना।
- साइबर घटनाओं की निगरानी एवं विश्लेषण करना।
-
CSIRT-Fin के बारे में:
CSIRT-Fin (कंप्यूटर सिक्योरिटी इंसिडेंट रिस्पॉन्स टीम–फाइनेंस) भारत के वित्तीय क्षेत्र की क्षेत्रीय (Sectoral) साइबर सुरक्षा एजेंसी है। यह बैंकों, बीमा कंपनियों, प्रतिभूति बाजार, पेंशन फंड तथा भुगतान प्रणालियों को साइबर सुरक्षा सहायता प्रदान करती है।
प्रमुख कार्य:
-
-
- साइबर घटनाओं की रोकथाम तथा उन पर त्वरित प्रतिक्रिया देना।
- साइबर सुरक्षा संबंधी अलर्ट एवं परामर्श जारी करना।
- विभिन्न वित्तीय संस्थानों के बीच साइबर प्रतिक्रिया का समन्वय करना।
- साइबर लचीलापन तथा साइबर सुरक्षा जागरूकता को बढ़ावा देना।
- साइबर घटनाओं की रोकथाम तथा उन पर त्वरित प्रतिक्रिया देना।
-
निष्कर्ष:
डिजिटल थ्रेट रिपोर्ट 2025–26 यह स्पष्ट करती है कि भारत की डिजिटल अर्थव्यवस्था की सुरक्षा के लिए साइबर सुरक्षा अत्यंत आवश्यक है। कृत्रिम बुद्धिमत्ता आधारित सुरक्षा तंत्र को मजबूत करना, निरंतर जोखिम आकलन करना तथा विभिन्न संस्थानों के बीच प्रभावी समन्वय स्थापित करना भारत के डिजिटल वित्तीय बुनियादी ढाँचे की सुरक्षा और डिजिटल सेवाओं में जनता के विश्वास को बनाए रखने के लिए अनिवार्य है।
