संबंधित पाठ्यक्रम
सामान्य अध्ययन-3: साइबर सुरक्षा की मूल बातें; आंतरिक सुरक्षा चुनौतियों में मीडिया और सामाजिक नेटवर्किंग साइटों की भूमिका।
संदर्भ: इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY) ने CERT-In, CSIRT-Fin तथा SISA के सहयोग से भारत के बैंकिंग, वित्तीय सेवा एवं बीमा (BFSI) तथा डिजिटल भुगतान पारिस्थितिकी तंत्र के लिए ‘डिजिटल थ्रेट रिपोर्ट 2025–26’ का दूसरा संस्करण जारी किया है।
रिपोर्ट के बारे में:
- MeitY, CERT-In, CSIRT-Fin तथा SISA द्वारा BFSI एवं डिजिटल भुगतान पारिस्थितिकी तंत्र के लिए संयुक्त रूप से जारी की गई रिपोर्ट।
- वित्तीय संस्थानों, नियामकों तथा साइबर सुरक्षा विशेषज्ञों के लिए उभरते साइबर खतरे के परिदृश्य का कार्यकारी मूल्यांकन प्रस्तुत करती है।
- यह डिजिटल फॉरेंसिक एवं घटना प्रतिक्रिया (DFIR) अनुसंधान, CERT-In एवं CSIRT-Fin के अवलोकनों तथा प्रतिकूल कृत्रिम बुद्धिमत्ता पर आधारित शोध पर आधारित है।
- ‘साइबर विफलता की कार्यप्रणाली’ प्रस्तुत करती है, जो 4-स्तरीय गैप आर्किटाइप फ्रेमवर्क के माध्यम से यह स्पष्ट करती है कि आधुनिक साइबर उल्लंघन व्यवस्थित कमजोरियों की श्रृंखला के कारण कैसे घटित होते हैं।
- आधारभूत सुरक्षा नियंत्रणों को सुदृढ़ करने, निरंतर साइबर लचीलापन विकसित करने तथा लचीले सुरक्षा आर्किटेक्चर के निर्माण हेतु 18-महीने का रोडमैप प्रस्तुत करती है।

रिपोर्ट के मुख्य निष्कर्ष
- साइबर जोखिमों का विस्तार: साइबर सुरक्षा जोखिम अब केवल डेटा चोरी और छिटपुट उल्लंघनों तक सीमित नहीं रहे हैं।
- अब इनमें लेनदेन की अखंडता, ग्राहकों का विश्वास, परिचालन निरंतरता, तृतीय-पक्ष निर्भरता, AI मॉडल तथा डिजिटल वित्तीय अवसंरचना पर भरोसा भी शामिल हो गया है।
- AI विषमता: रिपोर्ट के अनुसार ‘AI विषमता’ वर्तमान समय का सबसे बड़ा साइबर जोखिम है।
- जिन साइबर हमलों को पहले विशेषज्ञ टीमों द्वारा कई सप्ताह के प्रयास से अंजाम दिया जाता था, अब उन्हें अपेक्षाकृत कम संसाधनों वाले हमलावर भी मशीनों की सहायता से आसानी से कर सकते हैं।
- पूर्वानुमानों का शीघ्र सत्य होना: रिपोर्ट के पिछले संस्करण में की गई सात भविष्यवाणियों में से छह पहले ही पूरी तरह सही साबित हो चुकी हैं।
- इससे स्पष्ट होता है कि किसी साइबर खतरे के उभरने और उसके वास्तविक हमले में बदलने के बीच का समय वर्षों से घटकर महीनों, बल्कि कई मामलों में हफ्तों तक रह गया है।
- उभरते खतरे अब मुख्यधारा में:
- सोशल इंजीनियरिंग, क्रेडेंशियल चोरी, आपूर्ति-श्रृंखला समझौता, क्लाउड शोषण, बिज़नेस ईमेल कॉम्प्रोमाइज़ (BEC), सेशन हाईजैकिंग तथा डीपफेक-सक्षम धोखाधड़ी अब सामान्य और स्थापित साइबर हमला तकनीकें बन चुकी हैं।
- डिजिटल विश्वास का हनन: आधुनिक साइबर हमले अब वैध उपयोगकर्ता सत्रों, अधिकृत भुगतानों, सामान्य कार्यप्रवाहों तथा विश्वसनीय भागीदारों के साथ होने वाली सामान्य गतिविधियों जैसे दिखाई देते हैं।
- परिणामस्वरूप, वास्तविक और फर्जी गतिविधियों में अंतर करना तब तक कठिन रहता है, जब तक गंभीर क्षति न हो जाए।
- प्रणालीगत साइबर जोखिम: साइबर जोखिम अब पहचान प्रणालियों, AI मॉडल, रीयल-टाइम भुगतान प्रणालियों, क्लाउड अवसंरचना, आपूर्ति-श्रृंखला, API, साझेदार प्लेटफ़ॉर्म, मशीन पहचान तथा एजेंटिक AI तक फैल चुके हैं।
- इसी कारण साइबर लचीलापन अब केवल एक संस्था की नहीं, बल्कि पूरे पारिस्थितिकी तंत्र की साझा जिम्मेदारी बन गया है।
- भारत का BFSI क्षेत्र अत्यधिक निशाने पर: भारत के बैंकिंग, वित्तीय सेवा एवं बीमा (BFSI) क्षेत्र पर होने वाले साइबर हमले वैश्विक औसत की तुलना में 1.6 गुना अधिक हैं।
- इन घटनाओं की संख्या 2021 में 1.4 मिलियन से बढ़कर 2025 में 2.9 मिलियन हो गई है।
- आपूर्ति-श्रृंखला समझौता एक प्रमुख प्रणालीगत जोखिम: किसी एक विक्रेता के समझौता होने से एक साथ अनेक वित्तीय संस्थान प्रभावित हो सकते हैं।
- इसके साथ ही, रैनसमवेयर समूह अब केवल फ़ाइल एन्क्रिप्शन तक सीमित न रहकर डेटा चोरी और जबरन वसूली पर अधिक ध्यान केंद्रित कर रहे हैं।
- हमलावर रक्षकों से अधिक तेज़: ज़ीरो-डे शोषण का समय अब हफ्तों या महीनों से घटकर कुछ घंटों तक सिमट गया है।
- जबकि किसी साइबर उल्लंघन का पता लगाने और उसे नियंत्रित करने में अभी भी औसतन लगभग 263 दिन लगते हैं।
- स्थिर नियंत्रण से निरंतर आश्वासन की ओर: रिपोर्ट समय-समय पर होने वाले अनुपालन-आधारित सुरक्षा उपायों के स्थान पर निरंतर जोखिम मूल्यांकन, समन्वित प्रतिक्रिया, प्रभावी सूचना साझाकरण तथा पूरे वित्तीय पारिस्थितिकी तंत्र में सतत आश्वासन अपनाने पर बल देती है।
- साइबर विफलता की कार्यप्रणाली: रिपोर्ट ‘4-स्तरीय गैप आर्किटाइप फ्रेमवर्क’ प्रस्तुत करती है।
- इसके अनुसार, आधुनिक साइबर उल्लंघन किसी एक सुरक्षा चूक का परिणाम नहीं, बल्कि डिज़ाइन, प्रवर्तन, संकेत एवं प्रतिक्रिया से जुड़ी अनेक कमियों की श्रृंखला का परिणाम होते हैं।
आगे की राह / सुझायी गई प्राथमिकताएँ
- फ़िशिंग-प्रतिरोधी बहु-कारक प्रमाणीकरण (Multi-Factor Authentication – MFA)।
- पासवर्ड-रहित प्रमाणीकरण।
- निरंतर जोखिम मूल्यांकन।
- व्यवहार-आधारित बायोमेट्रिक प्रमाणीकरण तथा सतत सत्र आश्वासन।
- मानव, मशीन तथा AI पहचान को समाहित करने वाला सुदृढ़ पहचान शासन।
- महत्त्वपूर्ण वित्तीय निर्णयों में AI के उपयोग से पूर्व प्रतिकूल सुदृढ़ता परीक्षण।
- पोस्ट-क्वांटम क्रिप्टोग्राफी की ओर संक्रमण।
- समूचे वित्तीय पारिस्थितिकी तंत्र में प्रभावी सूचना साझाकरण तथा समन्वित घटना प्रतिक्रिया तंत्र को सुदृढ़ बनाना।
