साइबरस्पेस में सुरक्षा की खोज

आईआईटी की जानकारी

भारत में परिवर्तन (IiT, आय आय टी) के ज़रिये दुनिया भर के विद्वानों को विभिन्न विचारों का आदान प्रदान करने का मौक़ा देता है. इन सब विचार-विमर्शों का संगठित अभिलेखागार यहां पर रखा जाएगा. आज भारत के अर्थव्यवस्था, पर्यावरण, विदेशनीति, राष्ट्रीय सुरक्षा, मानव पूंजी, विज्ञान, प्रौद्योगिकी, सामाजिक और सांस्कृतिक क्षेत्रों में जो बदलाव हो रहे हैं, उन सब का संक्षिप्त और विश्लेषणात्मक नज़रिया IiT (आय आय टी) के द्वारा आप के सामने पेश किया जाएगा. हर प्रकाशित लेख का हिंदी अनुवाद CASI (कासी) के वेबसाइट पर उपलब्ध होगा, और उसके साथ जुड़े ऑनलइन संसाधन भी उपस्तित होंगे.

CASI (कासी) की वेबसाइट के आलावा, सब IiT (आय आय टी) के लेख The Hindu: Business Line (दी हिन्दू - बिसिनेसलाइन) में प्रकाशित होते हैं. गुज़रें मुद्दों पर Hindustan Times (हिंदुस्तान टाइम्स, जिस के पच्चीस लाख पाठक हैं) में संपादकीय लेख छपे थे और Livemint (लाइवमिंट), जो Wall Street Journal (वॉल स्ट्रीट जर्नल) का ऑनलइन प्रकाशन है, इन दोनों अख़बारों में प्रकाशित हुए. इन सब लेखों में जो दृष्टिकोण और निष्कर्ष प्रस्तुत किये गए हैं, वह सब लेखकों के व्यक्तिगत विचार हैं, CASI (कासी) के नही है.

26/08/2013

संदीप भारद्वाज

विदेश नीति और सुरक्षा

विज्ञान और प्रौद्योगिकी

राजनीति

IiT English Page:

Searching for Security in Cyberspace

भारत सरकार अपनी तमाम कोशिशों और कुछ हद तक बेहद रचनात्मक सोच के बावजूद साइबरस्पेस में अपना स्वतंत्र मार्ग बनाने में लगातार विफल होती रही है और उसे निराशा ही हाथ लगी है. पिछले महीने ही प्रकाशित इसकी साइबर सुरक्षासंबंधी नीति विचारणीय है. अमेरिकन इलैक्ट्रॉनिक ईव्ज़ड्रॉपिंग प्रोग्राम के खुलासे के कारण उत्पन्न विवाद के दौर में प्रकाशित नीति संबंधी यह दस्तावेज़ उन तमाम चर्चा-परिचर्चाओं की परिणति है जो पिछले तीन साल से भारतीय सुरक्षा प्रतिष्ठान और विभिन्न साझेदारों के बीच होती रही हैं. इसका निर्धारित लक्ष्य था, पब्लिक-प्राइवेट भागीदारी की परिधि में संतुलित और समग्र दृष्टि से राष्ट्रीय सूचना ढाँचे के संरक्षण के लिए एक ठोस योजना बनाना. दुर्भाग्यवश जो कुछ इस दस्तावेज़ में उभरकर सामने आया है वह उन लक्ष्यों की एक धुँधली-सी सूची है जिसे कार्यान्वित करने के लिए सरकार के पास कोई स्पष्ट रणनीति नहीं है.

पहली बात तो यह है कि इस दस्तावेज़ में परिभाषाएँ ही परिभाषाएँ हैं. इतना ही नहीं बार-बार “साइबर सुरक्षा” का अर्थ भी अकारण ही बताया गया है “साइबरस्पेस की सुरक्षा”. वास्तव में इस मूलभूत परिभाषा के अभाव में शुरुआत से ही सारी नीति गलत हो जाएगी. यदि आगे बढ़ने के लिए उद्देश्यों को स्पष्ट रूप में निर्दिष्ट नहीं कर लिया जाता या फिर जिस ढाँचे में हमें काम करना है उसकी रूपरेखा स्पष्ट रूप में तय नहीं कर ली जाती तो सारी नीति ही गलत हो जाएगी. इस दस्तावेज़ में कुछ ठोस उपायों की चर्चा की गयी है, जैसे राष्ट्रीय सूचना अवसंरचना संरक्षण केंद्र (NCIIPC) का संचालन किया जाएगा और हर संगठन से मुख्य सूचना सुरक्षा अधिकारी को नामित करने की अपेक्षा की जाएगी. शेष उपायों में केवल सामान्य ढंग के नुस्खे ही बताये गये हैं जो निर्विवाद तो हैं, लेकिन कार्यान्वयन की स्पष्ट रणनीति के बिना ये उपाय निष्प्रभावी ही रहेंगे.

उदाहरण के लिए इन उपायों में खुले मानकों को प्रोत्साहित करने का वायदा भी किया गया है जिसे मानकीकृत निर्माण प्रक्रिया के आरंभ से ही पूरे विश्व में स्वीकार किया गया है, लेकिन इसमें यह स्पष्ट नहीं किया गया है कि समन्वय के उन मामलों को कैसे निपटाया जाएगा जो पिछले कई वर्षों से दुनिया भर में खुले मानक की स्वीकृति में बाधक बने हुए हैं. यह भी वायदा किया गया गया है कि प्रौद्योगिक गतिविधियों के लिए गतिशील नियामक ढाँचा तैयार किया जाएगा, लेकिन यह स्पष्ट नहीं किया गया कि इस ढाँचे से क्या किया जाएगा ; भारत की सीमाओं के बाहर चल रही प्रौद्योगिक गतिविधियों को विनियमित करने के लिए क्या किया जाएगा. वर्तमान और संभावित धमकियों को चिह्नित करने और कम करने के लिए “सिस्टम, प्रक्रिया, ढाँचा और तंत्र” विकसित करने का काम भी इन उपायों में शामिल है. साथ ही सीमित शासनादेश और संसाधनों वाली भारतीय कंप्यूटर आपात् रिस्पॉन्स टीम (CERT-In) पर भरोसा करने के अलावा इसमें कोई खास बात नहीं है.

साथ ही इस दस्तावेज़ में सबसे अधिक बुनियादी और ध्रुवीकरण करने वाली बहस की भी अनदेखी की गयी है, जैसे साइबर सुरक्षा में सिविलियन बनाम सैन्य प्रतिष्ठान की भूमिका, प्राइवेसी बनाम सुरक्षा, सेंसरशिप बनाम अभिव्यक्ति की आज़ादी और देशी सुरक्षा उत्पादों का प्रयोग बनाम अतिसंवेदनशील टैक्नोलॉजी का आयात. इसमें तो इंटरनैट के मूलभूत वैश्विक स्वरूप को भी नहीं समझा गया है और “साइबरस्पेस” को अनिवार्यतः राष्ट्रीय सीमाओं में बाँधकर देखने की कोशिश की गयी है. यह दस्तावेज़ तो साइबर सुरक्षा को इंटरनैट गवर्नैंस की वैश्विक बहस से या अंतर्राष्ट्रीय सहयोग के प्रश्न से जोड़कर भी देखने में विफल रहा है.

संक्षेप में इस नीति का उद्देश्य एक ऐसी आदर्श स्थिति उत्पन्न करना है, जिसका कोई स्पष्ट रोडमैप नहीं है जिससे यह पता लगे कि हमें वहाँ कैसे पहुँचना है और हम कोई कठोर विकल्प चुनने के लिए भी तैयार नहीं हैं. इसके अलावा जिन तमाम ठोस उपायों की इसमें चर्चा की गयी है वे वही उपाय हैं जिनकी पहल की जा चुकी है. इस प्रकार इस दस्तावेज़ में पिछले उपायों को ही नया रूप प्रदान किया गया है. इसमें भविष्य के लिए कोई दिशा-निर्देश नहीं हैं. इसमें न तो इंटरनैट से संबंधित मुद्दे पर सरकारी सोच का कोई संकेत मिलता है और न ही कोई ऐसा ढाँचा प्रदान किया गया है जिस पर आगे आने वाली सरकारें आगे का काम कर सकें. यह सोचना भी ठीक नहीं होगा कि दिलचस्पी न होने के कारण ही ऐसा नीतिगत दस्तावेज़ तैयार हुआ है.

लेकिन वास्तविकता बिल्कुल अलग है. इस दशक के आरंभ से ही सरकार साइबरस्पेस की बढ़ती चुनौतियों को लेकर बहुत संवेदनशील रही है और बहुत सक्रियता से कोई व्यावहारिक समाधान खोजने के लिए उत्सुक रही है. 2000 के अंतिम वर्षों में कई ऐसी घटनाएँ हुई हैं जिनके कारण भारत की असुरक्षित स्थिति उजागर हो गयी थी और इसी कारण सरकार साइबर सुरक्षा को गंभीरता से लेने के लिए विवश हुई थी. विकिलीक्स के केबल खुलासे, स्टक्सनैट के आकस्मिक प्रसरण और घोस्टनैट के प्रकाशन जैसी घटनाएँ होने पर भारत न तो इनके प्रभाव को कम कर सका और न ही इनका कोई समुचित उत्तर दे पाया. इसकी परिणति बस यही हुई कि नयी दिल्ली ने भावी संकटों के लिए बेहतर ढंग से तैयार रहने का संकल्प किया. नये दशक में सरकार ने साइबरस्पेस में वैश्विक स्तर पर और देश के भीतर भी अपनी एक बड़ी भूमिका के लिए उल्लेखनीय प्रयास शुरू कर दिये. तथापि, जैसा कि हमने देखा है कि सरकार न तो कोई सुसंगत रणनीति बना पायी है और न ही किसी भी विवादग्रस्त मामले पर कोई निर्णय ले पायी है.

इस हताशा के अनेक कारण हैं. पहली बात तो यह है कि सरकार के प्रयासों में बहुत हद तक बिखराव है. साइबर सुरक्षा के ज़ार के अभाव में यह बहुत स्वाभाविक भी है. उदाहरण के लिए अर्थव्यवस्था के विभिन्न क्षेत्रों के बीच साइबर सुरक्षा के समन्वय का दायित्व भारतीय कंप्यूटर आपात् रिस्पॉन्स टीम (CERT-In) के पास है जो सूचना प्रौद्योगिकी विभाग के अंतर्गत एक सिविलियन एजेंसी है और महत्वपूर्ण सूचना अवसंरचना के संरक्षण का काम राष्ट्रीय तकनीकी टोह संगठन (NTRO) के जिम्मे है जो खुफ़िया सूचनाओं को जुटाने वाली एक विशेष एजेंसी है.

इस दौरान होने वाले अधिकांश साइबर अपराधों से निपटने का काम राज्य सरकारों के अंतर्गत आने वाली स्थानीय पुलिस का है और वे इस काम के लिए बाहरी सलाहकारों की मदद लेती हैं. इसी प्रकार अंतर्राष्ट्रीय मोर्चे पर भी काम का विभाजन स्पष्ट नहीं है. विदेश मंत्रालय संयुक्त राष्ट्रसंघ में भारत का प्रतिनिधित्व करता है और सूचना प्रौद्योगिकी मंत्रालय अंतर्राष्ट्रीय टेलीकॉम संगठनों में भारत का प्रतिनिधित्व करता है.

इससे अधिक महत्वपूर्ण बात तो यह है कि धमकी की तीव्रता और आयामों को लेकर भी गलतफ़हमी है. उपर्युक्त दस्तावेज़ के उदाहरण को यदि हम लें तो पाएँगे कि न तो इस बात को लेकर कोई स्पष्टता है कि हम किसे संरक्षित कर रहे हैं और न ही यह स्पष्ट है कि हम उसे किससे संरक्षण प्रदान कर रहे हैं. महत्वपूर्ण ढाँचे को छोड़कर किसी भी बात को लेकर कोई स्पष्ट निरूपण नहीं है, फिर भले ही वे सरकारी नैटवर्क हों या कॉर्पोरेट नैटवर्क, चाहे अलग-अलग डेटा हो , डेटा कैरियर हो या तीसरे पक्ष की डेटा सेवाएँ हों. साइबर सुरक्षा के संदर्भ में सरकार की लगभग सभी पहलों में जबर्दस्त धमकी का खतरा साफ़ दिखायी देता है. सरकार की कोशिश है कि सबको सभी तरह के खतरों से बचा लिया जाए और इस प्रक्रिया में किसी को भी बचाना संभव नहीं होगा.

सच तो यह है कि इंटरनैट की शुरुआत से ही अनर्गल और अतिशयोक्तिपूर्ण धमकियाँ बहुत व्यापक रूप में मिलती रही हैं. यह विषय अपने-आपमें इतना जटिल है कि उपयुक्त धमकी के स्तर को पहचानना भी मुश्किल हो जाता है. परंतु अपवाद के रूप में नयी दिल्ली के लिए तो स्थिति और भी भ्रामक रही है. आंशिक रूप में इसके दो कारण रहे हैं, सीमित संस्थागत क्षमता और अंतर्राष्ट्रीय (अर्थात् पश्चिमी) मानक और ढाँचे को अपनाने के लिए सरकार की उत्सुकता.

पश्चिम के सुरक्षा प्रतिष्ठानों के बढ़े-चढ़े आकलनों पर उनके अपने देशों में भी अक्सर विवाद खड़े हो जाते हैं, लेकिन भारत सरकार उन्हें देखकर धमकी के स्वरूप की बेहद भ्रामक धारणा की शिकार हो जाती है. उदाहरण के लिए भारत सरकार के अपने लोगों के बीच भी स्टक्सनैट के आधार पर साइबर सुरक्षा की बढ़ती चुनौतियों का अक्सर उल्लेख किया जाता है, लेकिन पश्चिमी विश्लेषक मोटे तौर पर राजनैतिक कारणों से ही इसकी चर्चा करते हैं. दूसरी ओर कॉन्फ़िकर कहीं अधिक खतरनाक मैलवेयर है, लेकिन इसकी चर्चा न के बराबर ही की जाती है, क्योंकि विदेशी सरकारें इसकी उपेक्षा करती हैं. यह प्रवृत्ति कोई नयी नहीं है. सन् 2000 के आईटी अधिनियम से लेकर अब तक भारत की लगभग सभी पिछली नीतियाँ अंतर्राष्ट्रीय मॉडलों से जबर्दस्त रूप में प्रभावित होती रही हैं. सरकार अक्सर अपनी नीतियों का अंतर्राष्ट्रीय मानकों के साथ सामंजस्य बिठाने के लिए अड़ियल रुख अपनाती रही है, जबकि कई मामलों में ऐसे मानक अभी बने ही नहीं हैं.

नीतिगत प्रोत्साहन के लिए प्रौद्योगिक दृष्टि से विकसित देशों की ओर देखना अच्छी बात है, लेकिन इस मामले में यह हमें भटका रहा है. पश्चिम की तुलना में इंटरनैट पर भारत की निर्भरता बहुत कम है. भारतीय अर्थव्यवस्था का मशीनीकरण और डिजिटीकरण अभी शैशव अवस्था में है और भारत में सस्ते श्रमिकों की बहुतायत के कारण अगले कुछ समय तक भी स्थिति में किसी तरह के बदलाव की उम्मीद नहीं है. उत्पादोन्मुख होने के बजाय सेवोन्मुख होने के कारण भारतीय आईटी उद्योग की साख अपने नैटवर्क को छोड़कर इंटरनैट की सत्यनिष्ठा पर बहुत कम ही दाँव पर लगी है. जहाँ तक इंटरनैट की व्यापकता और प्रयोग की जटिलता का संबंध है, भारत उन तमाम दूसरे बड़े देशों से बहुत पीछे है जहाँ आबादी का अधिकांश हिस्सा सोशल मीडिया जैसी अनिवार्य सेवाओं का प्राथमिक रूप में उपयोग करता है. इसके अलावा भारतीय अर्थव्यवस्था के अनेक क्षेत्रों में पश्चिम की तुलना में यहाँ इंटरनैट पर निर्भरता की स्थिति हर जगह अलग-अलग है.

भारत को चाहिए कि वह व्यापक रूप में धमकी की आशंका के बजाय साइबरस्पेस के सीमित जोखिम पर ही अपना ध्यान केंद्रित करे. यह भी एक व्यापक दृष्टिकोण ही था जिसके कारण सरकारी सोच में विशिष्टता की कमी थी और कठोर फैसले लेकर समस्या से भिड़ जाने में सरकार की असमर्थता थी. सरकार के लिए यह भी चुनौतीपूर्ण हो गया है कि वह साइबर सुरक्षा के मामले में अपनी भूमिका को चिह्नित और सीमित करे.

संदीप भारद्वाज नयी दिल्ली स्थित नीति अनुसंधान केंद्र में अनुसंधान सहायक हैं.

हिंदीअनुवादःविजयकुमारमल्होत्रा, पूर्वनिदेशक (राजभाषा),रेलमंत्रालय, भारतसरकार <malhotravk@hotmail.com>

Search form

साइबरस्पेस में सुरक्षा की खोज