साइबर सुरक्षा के लिए थर्ड पार्टी पर नहीं बल्कि खुद पर भरोसा करना चाहिए माइक्रोसॉफ्ट को
माइक्रोसॉफ्ट अपने कोड के हर हिस्से की कमजोरी को सबसे बेहतर तरीके से समझ सकता है, और उसे सुरक्षित रखने के तरीके तैयार कर सकता है; अगर इसका मतलब है कि इसे एक विशाल साइबर सुरक्षा फर्म में बदलना है, तो ऐसा ही हो।
By : T K Arun
Update: 2024-07-20 08:12 GMT
ये कहना कि आधुनिक जीवन हमारी साइबर अवसंरचना को सहजता से स्वीकार करने की क्षमता पर निर्भर है, स्पष्ट बात है.
शुक्रवार (19 जुलाई) को कुछ समय के लिए माइक्रोसॉफ्ट की सेवाओं का वैश्विक रूप से ठप हो जाना ये दर्शाता है कि 'ये स्पष्ट होना इस बात की कोई गारंटी नहीं है कि सिस्टम और प्रक्रियाएं, व्यवहार में, इतनी सुरक्षित होंगी कि लोग उन्हें हल्के में लें'.
हमें इस बात के लिए शुक्रगुज़ार होना चाहिए कि ये खराबी माइक्रोसॉफ्ट के साइबर सुरक्षा सॉफ़्टवेयर के गलत तरीके से कॉन्फ़िगर किए गए अपडेट के कारण हुई, न कि किसी दुर्भावनापूर्ण हैकर द्वारा जानबूझकर किए गए हमले के कारण. हवाई अड्डों पर हवाई यातायात नियंत्रण से लेकर अस्पताल प्रक्रियाओं तक , महत्वपूर्ण सेवाओं में आये व्यवधान को हलके में नहीं लिया जा सकता, ये गंभीर चिंता का विषय है.
सुरक्षा बनी असुरक्षा
ये समझना महत्वपूर्ण है कि वास्तव में क्या हुआ, इसका उत्तरदायित्व किसे दिया जाए, तथा ऐसे व्यवधान की पुनरावृत्ति को रोकने के उपाय तैयार करना है.
जो हुआ वो बिलकुल स्पष्ट है. सुरक्षा ही असुरक्षा का कारण बन गयी. उदाहरण के तौर पर खेत के चारों ओर बाड़ लगायी जाए और वही बाड़ फसल खा ले.
क्राउडस्ट्राइक, साइबर सुरक्षा कंपनी जिसका सॉफ्टवेयर माइक्रोसॉफ्ट अपने सिस्टम को हैकिंग से बचाने के लिए इस्तेमाल करता है, ने अपने फाल्कन सॉफ्टवेयर में एक अपग्रेड अपलोड किया. इसने माइक्रोसॉफ्ट के सॉफ्टवेयर के सामान्य कामकाज में बाधा डाली, जिसके कारण ये आउटेज हुआ.
माइक्रोसॉफ्ट के क्लाइंट, जो न केवल डेटा स्टोर करने के लिए बल्कि अपने संचालन को चलाने वाले प्रोग्राम को रखने के लिए भी इसके एज़्योर क्लाउड प्लेटफ़ॉर्म पर निर्भर हैं, सेवाओं में व्यवधान के लिए माइक्रोसॉफ्ट को जिम्मेदार ठहराएंगे. बदले में, माइक्रोसॉफ्ट नुकसान के दावों को क्राउडस्ट्राइक पर डालने की कोशिश करेगा, जिसके सुरक्षा सॉफ़्टवेयर अपग्रेड के दोषपूर्ण कार्यान्वयन के कारण व्यवधान हुआ.
जटिल मुकदमेबाजी
क्या उनकी पारस्परिक अनुबंध शर्तें और उनके संबंधित बीमा प्रदाताओं के साथ उनके समझौते इस तरह के नुकसान की वसूली की अनुमति देते हैं, इसका निर्धारण जटिल मुकदमेबाजी द्वारा किया जाएगा.
प्रथम दृष्टया, क्लाउडस्ट्राइक की दोषीता संदेह में नहीं है. किसी भी सॉफ़्टवेयर अपग्रेड को पहले अलग-अलग नेटवर्क में परखा जाना चाहिए था, और उसके बाद ही, जब ये फ़ुलप्रूफ़ पाया गया हो, तो उसे तैनात और परिचालन सिस्टम पर लागू किया जाना चाहिए, जिसकी सुरक्षा के लिए अपग्रेड का उद्देश्य है.
हालाँकि, बड़े पैमाने पर, आर्थिक दृष्टि से, इस खराबी के लिए माइक्रोसॉफ्ट जिम्मेदार है.
फर्में क्यों अस्तित्व में हैं?
दो नोबेल पुरस्कार, एक 1991 में रॉबर्ट कोज को तथा दूसरा 2009 में ओलिवर विलियमसन को, इस बात के सुसंगत स्पष्टीकरण के लिए प्रदान किए गए थे कि कंपनियां क्यों अस्तित्व में हैं, न कि व्यक्तिगत आर्थिक एजेंट बाजार के माध्यम से परस्पर क्रिया करके सभी चीजें उत्पादित करते हैं जो कंपनियां उत्पादित करती हैं.
कोज ने ये अंतर्दृष्टि प्रस्तुत की कि कुछ गतिविधियों को पूरा करने की लेन-देन लागत कम होती है, जब इन गतिविधियों को बाजार के माध्यम से पूरा करने के बजाय फर्म द्वारा सीधे नियंत्रित किया जाता है.
विलियमसन ने एक स्पष्टीकरण दिया कि कुछ गतिविधियों के अमल में लाने से जुड़ा संघर्ष समाधान, फर्म के कमांड ढांचे के तहत, किसी तीसरे पक्ष को आउटसोर्स करने की तुलना में अधिक कुशलतापूर्वक किया जाता है.
यदि नोबेल पुरस्कार विजेता इन जानकारियों का कोई महत्व है, तो माइक्रोसॉफ्ट को साइबर सुरक्षा का काम किसी तीसरे पक्ष को सौंपने के बजाय, स्वयं ही करना चाहिए.
थर्ड पार्टी सॉफ़्टवेयर
व्यक्तिगत उपभोक्ता विंडोज सिक्योरिटी और माइक्रोसॉफ्ट डिफेंडर से परिचित हैं. अधिकांश उपभोक्ता, इन प्रोग्रामों द्वारा दी जाने वाली सुरक्षा पर भरोसा करने के बजाय, थर्ड पार्टी के सुरक्षा सॉफ़्टवेयर को खरीदकर इंस्टॉल कर लेते हैं, क्योंकि इन-हाउस ऑफ़रिंग को पर्याप्त अच्छा नहीं माना जाता है.
इसमें बदलाव होना चाहिए. माइक्रोसॉफ्ट अपने कोड के हर हिस्से की कमज़ोरी को समझने और उस कमज़ोरी के दोहन से बचने के तरीके खोजने में सबसे बेहतर स्थिति में है.
यदि इसका अर्थ ये है कि माइक्रोसॉफ्ट को, इसके अन्य कार्यों के अतिरिक्त, एक विशाल साइबर सुरक्षा परिचालन में परिवर्तित कर दिया जाए, तो ऐसा ही हो.
बीमा कवर
इससे हम बीमा की कहानी पर आते हैं. ये स्पष्ट नहीं है कि मौजूदा बीमा व्यवस्था साइबर सुरक्षा के दोषपूर्ण कार्यान्वयन से ग्राहकों पर लगाए गए खर्च जैसी आकस्मिकताओं को कवर करेगी.
साइबर हमले और उनके द्वारा लगाए जाने वाले खर्च की भरपाई माइक्रोसॉफ्ट के अलग-अलग क्लाइंट और माइक्रोसॉफ्ट और क्राउडस्ट्राइक के बीच हुए समझौते द्वारा की जा सकती है. क्या बीमा शर्तों की भाषा साइबर सुरक्षा उन्नयन के दोषपूर्ण कार्यान्वयन से होने वाले नुकसान को कवर करेगी, ये ऐसी बात नहीं है जिसे हल्के में लिया जा सके.
बीमा कम्पनियों द्वारा अंतिम भुगतान तथा भविष्य में बीमा प्रीमियम की लागत में परिवर्तन, साइबर सुरक्षा को आउटसोर्स करने के स्थान पर, कम्पनी के आंतरिक स्तर पर ले जाने के अर्थशास्त्र के लिए एक अच्छा मार्गदर्शक होगा.
आधुनिक जीवन साइबर इंफ्रास्ट्रक्चर से इतना जुड़ा हुआ है और इस पर निर्भर है कि हम इसकी सुरक्षा संरचना में कोई कमी नहीं रख सकते. हमें अपने साइबर इंफ्रास्ट्रक्चर की सुरक्षा को हल्के में नहीं लेना चाहिए.
प्रतिस्पर्धियों को लाभ
चूंकि माइक्रोसॉफ्ट की प्रतिष्ठा को नुकसान पहुंच रहा है, इसलिए क्लाउड सेवा व्यवसाय में उसके प्रतिस्पर्धी इसका लाभ उठाने की कोशिश करेंगे. क्या अमेजन वेब सर्विसेज, गूगल क्लाउड, ओरेकल क्लाउड, आईबीएम क्लाउड, सभी अमेरिकी सेवा प्रदाता, ओवीएचक्लाउड, फ्रेंच, और अलीबाबा क्लाउड और टेन सेंट क्लाउड, दोनों चीनी, माइक्रोसॉफ्ट से ग्राहकों का पलायन देखेंगे, ये देखना अभी बाकी है.
ये महत्वपूर्ण है कि माइक्रोसॉफ्ट शुक्रवार को हुई आउटेज की पुनरावृत्ति को रोकने के लिए अल्पकालिक और दीर्घकालिक उपायों की घोषणा करे. इन उपायों को दृढ़ विश्वास दिलाने के लिए, माफ़ करना और भूल जाना ही पर्याप्त नहीं होगा. जवाबदेही तय की जानी चाहिए और स्पष्ट रूप से कार्रवाई की जानी चाहिए.
हमारे आधुनिक, परस्पर जुड़े जीवन में न केवल हर नोड में सुरक्षा होनी चाहिए, बल्कि ऐसी सुरक्षा के लिए दृश्यता भी होनी चाहिए.
(फेडरल सभी पक्षों से विचार और राय प्रस्तुत करने का प्रयास करता है। लेख में दी गई जानकारी, विचार या राय लेखक के हैं और जरूरी नहीं कि वे फेडरल के विचारों को प्रतिबिंबित करते हों.)