सीईआरटी-इन निर्देशों का उद्देश्य साइबर सुरक्षा में सुधार करना है, लेकिन दृष्टिकोण गोपनीयता संबंधी चिंताओं को बढ़ाता है
[ad_1]
भारत के डिजिटलीकरण के प्रयास फल दे रहे हैं क्योंकि आईटी आधारित विकास विभिन्न क्षेत्रों को प्रभावित कर रहे हैं। साथ ही, प्रतिकूल प्रभाव अधिक स्पष्ट हो गए हैं, अकेले 2021 की पहली छमाही में 6,07,220 साइबर सुरक्षा घटनाएं दर्ज की गई हैं। साइबर हमलों के विश्लेषण में अंतर।
इस संबंध में, सीईआरटी-इन दृष्टिकोण में डेटा केंद्रों, वर्चुअल प्राइवेट सर्वर (वीपीएस) प्रदाताओं, क्लाउड सेवा प्रदाताओं और वर्चुअल प्राइवेट नेटवर्क (वीपीएन) सेवा प्रदाताओं, आदि द्वारा डेटा का अनिवार्य संग्रह, भंडारण और एकीकरण शामिल है। हालांकि यह महत्वपूर्ण है। साइबर सुरक्षा में सुधार के लिए, सीईआरटी-इन द्वारा प्रस्तावित कुछ निर्देश गोपनीयता असुरक्षित हो सकते हैं और डेटा सुरक्षा में बाधा उत्पन्न कर सकते हैं, भारतीय स्टार्टअप के लिए लागत में वृद्धि कर सकते हैं और बाजार के निहितार्थ हो सकते हैं।
सीईआरटी-इन निर्देशों के बारे में गोपनीयता संबंधी चिंताएं
साइबर सुरक्षा में सुधार करना महत्वपूर्ण है, लेकिन डेटा केंद्रों, वीपीएस और क्लाउड प्रदाताओं, और वर्चुअल प्राइवेट नेटवर्क (वीपीएन) प्रदाताओं को कुछ मेटाडेटा (निर्देश में सूचीबद्ध) को पंजीकृत और संग्रहीत करने के लिए कहना अनुपातहीन हो सकता है। इसी तरह, पांच साल की डेटा प्रतिधारण अवधि अत्यधिक है और इसके लिए बुनियादी ढांचे में महत्वपूर्ण निवेश की आवश्यकता होगी।
दूसरा, केवाईसी जानकारी रखने के लिए वीए सेवा प्रदाताओं, वीए एक्सचेंज सेवा प्रदाताओं और कस्टोडियल वॉलेट प्रदाताओं की आवश्यकता व्यापक और अत्यधिक है, भले ही भारत केवाईसी के लिए फाइनेंशियल एक्शन टास्क फोर्स की सिफारिशों को स्वीकार करता है। इसके अलावा, भारत के केवाईसी दिशानिर्देश वित्तीय सेवा प्रदाताओं को अनुपालन करने की आवश्यकता से अधिक जानकारी एकत्र करने की अनुमति देते हैं। हालांकि, एक प्रक्रिया के रूप में केवाईसी में कई समस्याएं हैं। डीपस्ट्रैट और द डायलॉग द्वारा प्राथमिक मात्रात्मक अध्ययन ने भारत में केवाईसी प्रक्रियाओं में भुगतान पारिस्थितिकी तंत्र में कई हितधारकों द्वारा अपनाई गई प्रमुख खामियों की पहचान की है। अध्ययन में एकत्र किए गए प्राथमिक साक्ष्य से पता चलता है कि धोखाधड़ी से धन प्राप्त करने वाले खातों में अक्सर गलत या गलत केवाईसी विवरण होता है। विभिन्न सेवाओं में केवाईसी के सामंजस्य की कमी के साथ युग्मित यह समस्या, कानून प्रवर्तन के लिए केवाईसी डेटा का उपयोग करके जांच करना मुश्किल बना देती है।
भारत में केवाईसी बुनियादी ढांचे में बड़े बदलाव की जरूरत है। कानून प्रवर्तन और तकनीकी विशेषज्ञों के परामर्श से, सरकार को यह निर्धारित करना चाहिए कि कानून प्रवर्तन उद्देश्यों के लिए कौन से डेटा सेट एकत्र किए जाने चाहिए। जब तक यह सुनिश्चित नहीं हो जाता, केवल कंपनियों को केवाईसी डेटा संग्रहीत करने के लिए कहने से साइबर सुरक्षा लक्ष्यों को प्राप्त करने में मदद नहीं मिल सकती है।
बाजार और सुरक्षा पर सीईआरटी-दिशा का प्रभाव
इस निर्देश के बाजार स्तर पर कई निहितार्थ होंगे। सबसे पहले, सीईआरटी-इन को रिपोर्ट की जाने वाली घटनाओं का वर्गीकरण अत्यधिक व्यापक लगता है। वर्तमान में, कई श्रेणियों में साइबर सुरक्षा की घटनाओं को वर्गीकृत करने और सभी के लिए अनिवार्य रिपोर्टिंग को ट्रिगर करने की क्षमता है। इससे कंपनियों के आंतरिक संचालन पर दबाव बढ़ेगा, अधिक कर्मचारियों को काम पर रखने के लिए धन का दबाव बढ़ेगा और यह सुनिश्चित करने के लिए प्रक्रियाएं स्थापित होंगी कि यह आदेश पूरा हो। इसके अलावा, बड़ी संख्या में घटना की रिपोर्ट से व्यावहारिक जानकारी एकत्र करना मुश्किल हो जाएगा।
दूसरा, निर्देश (i), जो संगठनों को राष्ट्रीय सूचना विज्ञान केंद्र (एनआईसी) या राष्ट्रीय भौतिक प्रयोगशाला (एनपीएल) नेटवर्क टाइम प्रोटोकॉल (एनटीपी) सर्वर के साथ अपने आईसीटी सिस्टम को जोड़ने और सिंक्रनाइज़ करने के लिए प्रोत्साहित करता है, बहुराष्ट्रीय कंपनियों को प्रभावित करेगा। कई क्षेत्रों में समय का समन्वय करने वाले बहुराष्ट्रीय संगठनों के लिए सिंक्रनाइज़ेशन प्रक्रिया जटिल है। चूँकि पृथ्वी की कक्षा में विसंगतियाँ समय सीमा में छोटी-छोटी विसंगतियों का कारण बनती हैं, इसलिए उनके आईटी बुनियादी ढांचे के एक हिस्से को एक अलग समय मानक के साथ सिंक्रनाइज़ करने का अर्थ है सेवाओं को बाधित करना और घटनाओं का जवाब देना कठिन बनाना। इसके अलावा, यह छोटे व्यवसायों और स्टार्टअप के लिए परिचालन लागत में भी वृद्धि करेगा जो विभिन्न क्लाउड सर्वर का उपयोग करते हैं क्योंकि उन्हें एनटीपी एनआईसी या एनपीएल सर्वर के साथ स्थानांतरित या सिंक करने की आवश्यकता होती है। यूटीसी (कोऑर्डिनेटेड यूनिवर्सल टाइम) के साथ सिंक्रोनाइज़ेशन को पहचानना आदर्श है क्योंकि एनपीएल सर्वर यूटीसी में योगदान करते हैं।
तीसरा, वीपीएन सेवा प्रदाताओं का अनिवार्य मेटाडेटा प्रतिधारण उनके व्यवसाय को प्रभावित करता है क्योंकि विश्वास कारक, वीपीएन व्यवसाय का एक अभिन्न अंग, समझौता किया जा सकता है। इसके अलावा, वीपीएन समझौता वीपीएन का उपयोग करने वाली भारतीय कंपनियों की गतिविधियों को भी प्रभावित करेगा।
चौथा, एक घटना की रिपोर्ट करना महत्वपूर्ण है, एक एकीकृत टाइमस्टैम्पिंग सिस्टम साइबर घटनाओं की रिपोर्ट करने के लिए कंपनियों को केवल छह घंटे देता है, जो व्यवसाय के लिए परिचालन बाधा उत्पन्न कर सकता है क्योंकि वे क्षति प्रबंधन में भी शामिल होंगे। ज्यादातर मामलों में, उल्लंघन और उसकी सीमा का पता लगाने में कई दिन या उससे अधिक समय लग सकता है। इसलिए, वास्तविक उल्लंघन और इसकी सीमा के बारे में छह घंटे के भीतर पूरी जानकारी प्राप्त करना मुश्किल है, जो इस तथ्य की ओर जाता है कि घटना के पीड़ितों को एक अनफ़िल्टर्ड डेटा डंप प्राप्त होता है। यह कुछ बेहतरीन अंतरराष्ट्रीय प्रथाओं के खिलाफ भी जाता है। उदाहरण के लिए, जनरल डेटा प्रोटेक्शन रेगुलेशन के तहत, व्यवसायों को उल्लंघन की खोज के 72 घंटों के भीतर घटनाओं की रिपोर्ट करनी चाहिए, जबकि सिंगापुर का डेटा प्रोटेक्शन एक्ट उल्लंघन का आकलन किए जाने के समय से 72 घंटे की अवधि के लिए प्रदान करता है। पीडीपी 2019 बिल पर संयुक्त संसदीय समिति की रिपोर्ट में 72 घंटे की समय-सीमा भी सूचीबद्ध है, जिसके भीतर कंपनियों को डेटा सुरक्षा प्राधिकरण को डेटा उल्लंघनों की रिपोर्ट करनी होगी।
अंत में, सेवा प्रदाताओं को पांच साल के लिए डेटा बनाए रखने की आवश्यकता गोपनीयता की चिंताओं को जोड़ती है और व्यवसायों के लिए उच्च वित्तीय लागत में परिणाम देती है। यह सामान्य और संबंधित सेवाओं और उत्पादों में आईटी के लिए हानिकारक हो सकता है, क्योंकि कुछ खिलाड़ियों को डेटा एकत्र करने और संग्रहीत करने के लिए नई प्रणालियों को लागू करने की आवश्यकता हो सकती है। इसी तरह, सीईआरटी-इन दिशानिर्देशों में निर्दिष्ट ग्राहकों के नाम, पते और संपर्क नंबरों के सत्यापन से स्टार्टअप्स, डेटा सेंटर आदि के लिए परिचालन लागत में भी वृद्धि होगी क्योंकि वे पहली बार नए बुनियादी ढांचे और प्रक्रियाओं को स्थापित करते हैं।
अपने वीपीएन प्रदाता से पंजीकरण/कनेक्शन के दौरान उपयोग किए गए आईपी पते और टाइमस्टैम्प जैसे विवरणों के लिए पूछने से उन व्यक्तियों और कंपनियों के लिए सुरक्षा समस्याएं हो सकती हैं जो एक असुरक्षित इंटरनेट बुनियादी ढांचे पर सुरक्षित कनेक्शन का उपयोग करने की कोशिश कर रही हैं।
आगे बढ़ने का रास्ता
जबकि साइबर घटना की रिपोर्टिंग डेटा सुरक्षा के दृष्टिकोण से महत्वपूर्ण है, छह घंटे के भीतर रिपोर्टिंग व्यवसायों के लिए परिचालन में बाधा उत्पन्न कर सकती है क्योंकि वे क्षति प्रबंधन में भी शामिल होंगे। इसके बजाय, सुरक्षा के लिए जोखिम-आधारित दृष्टिकोण का पालन करना आदर्श होगा। प्रभाव की गंभीरता और पैमाने और कंपनियों के व्यापार मॉडल के अनुसार रिपोर्टिंग का समय निर्धारित करना आगे बढ़ने का एक अधिक स्थायी तरीका है। यह संगठनों को बेहतर प्रतिक्रिया परिणाम प्राप्त करने की अनुमति देगा जो क्षति सीमा पर ध्यान केंद्रित कर सकते हैं, साथ ही उन्हें घटना विश्लेषण के लिए सीईआरटी-इन के साथ गुणवत्ता की जानकारी साझा करने में सक्षम बनाते हैं। सीईआरटी-इन को डेटा संग्रह और प्रबंधन के लिए जोखिम-आधारित दृष्टिकोण अपनाना चाहिए, उद्यमों को सुरक्षा इवेंट लॉग एकत्र करने और प्रबंधित करने के लिए एक योजना विकसित करने का निर्देश देना चाहिए जो संगठन की जोखिम भूख और ऑपरेटिंग मॉडल के अनुरूप हो।
इसलिए, जैसा कि हम भारतीय साइबरस्पेस को सुरक्षित करने की दिशा में आगे बढ़ रहे हैं, एक सकारात्मक-सम गेम सुनिश्चित करना महत्वपूर्ण है, साइबर सुरक्षा को गोपनीयता के अधिकार, बाजार के निहितार्थ और सुरक्षा चिंताओं के साथ संतुलित करना।
यह भी पढ़ें | व्यक्तिगत डेटा संरक्षण विधेयक: अत्यधिक डेटा प्रोसेसिंग अपवाद सरकार के अपने मामले को कमजोर करते हैं
कामेश शेखर द डायलॉग में सीनियर फेलो और द इंटरनेट सोसाइटी में फेलो हैं। काज़िम रिज़वी एक सार्वजनिक नीति उद्यमी और द डायलॉग के संस्थापक हैं, जो एक नई नीति थिंक टैंक है। इस लेख में व्यक्त विचार लेखकों के हैं और इस प्रकाशन की स्थिति को नहीं दर्शाते हैं।
आईपीएल 2022 की सभी ताजा खबरें, ब्रेकिंग न्यूज और लाइव अपडेट यहां पढ़ें।
.
[ad_2]
Source link
