"पर्दाफ़ाश: कैसे चीनी साइबर एजेंसियों ने 2018 ईपीएफओ डेटा उल्लंघन को 'पुनर्निर्मित' किया"

हाल ही में सोमवार को, जीथब पर चीनी साइबर ऑपरेशंस से जुड़े दस्तावेजों का एक बड़ा जखीरा सामने आया, जो प्रारंभिक उल्लंघन में समझौता किए गए डेटा के अधिग्रहण में या तो उनकी प्रत्यक्ष भागीदारी का संकेत देता है। यह रहस्योद्घाटन 2018 साइबर सुरक्षा घटना से संबंधित है जिसने अनगिनत भारतीय नागरिकों की व्यक्तिगत जानकारी से समझौता करते हुए कर्मचारी भविष्य निधि संगठन (ईपीएफओ) को घेर लिया था। नई दिल्ली के साइबर सुरक्षा तंत्र की प्रारंभिक जांच से पता चला कि एक चीनी साइबर इकाई ने इस डेटा को "रीपैकेज्ड" किया था।

वर्ष 2018 में, जब उल्लंघन की फुसफुसाहट पहली बार गूंजी, तो ईपीएफओ ने सिस्टम समझौता के दावों का खंडन किया, और इस शोषण के लिए कॉमन सर्विस सेंटर (सीएससी) के बुनियादी ढांचे के भीतर कमजोरियों को जिम्मेदार ठहराया।

एक अनुभवी सरकारी अधिकारी के अनुसार, जीथब पर खुलासा सरकारी और कॉर्पोरेट दोनों भारतीय संस्थाओं के डेटा की एक विस्तृत श्रृंखला पर प्रकाश डालता है, जो 2018 के उल्लंघन या आगामी समझौता किए गए डेटा के हेरफेर में उपरोक्त चीनी साइबर एजेंसियों की भागीदारी का सुझाव देता है।

भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सर्टिफिकेट-इन) ने इन दस्तावेजों के भीतर डेटा की नवीनता को समझने के लिए एक जांच शुरू की, यह संदेह करते हुए कि यह पिछले उल्लंघनों से जानकारी का एकत्रीकरण हो सकता है।

जीथब पर लीक हुआ डेटाबेस कथित तौर पर भारतीय संस्थानों के व्यापक स्पेक्ट्रम तक फैला हुआ है, जिसमें ईपीएफओ, बीएसएनएल उपयोगकर्ताओं और एयर इंडिया और रिलायंस सहित कई निगमों का डेटा शामिल है।

एक उच्च पदस्थ सरकारी अधिकारी ने पुष्टि की, "सर्टिफिकेट-इन की प्रारंभिक जांच से पता चलता है कि इन दस्तावेजों में शामिल ईपीएफओ डेटा 2018 की घटना से जुड़ा है जब इसके सिस्टम में सेंध लगाई गई थी।"

ईपीएफओ के प्रमुख प्रकाशन के समय तक टिप्पणियों के लिए पूछताछ के जवाब में चुप रहे।

2018 के उल्लंघन के दौरान, एक ईपीएफओ प्राधिकरण ने इस प्रकाशन को सूचित किया था कि डेटा समझौता ईपीएफओ के अपने सर्वर या सॉफ्टवेयर के भीतर नहीं बल्कि सीएससी सॉफ्टवेयर के माध्यम से हुआ था। विरोधाभासी रूप से, सीएससी के एक अधिकारी ने इस दावे का खंडन किया, जिसमें कहा गया कि संबंधित आवेदन ईपीएफओ सर्वर पर होस्ट किया गया था, जिससे सीएससी को घटना में शामिल होने से मुक्त कर दिया गया।

डेटा सुरक्षा और सुरक्षा उपायों की प्रत्याशा में, ईपीएफओ ने एहतियाती भेद्यता मूल्यांकन के रूप में सामान्य सेवा केंद्रों के माध्यम से सर्वर और होस्ट सेवा को पहले से बंद कर दिया था, "ईपीएफओ ने पहले कहा था।

फिर भी, सर्टिफिकेट-इन के प्रारंभिक निष्कर्ष इस धारणा को मजबूत करते हैं कि 2018 में ईपीएफओ के सिस्टम में वास्तव में घुसपैठ की गई थी।

हाल के वर्षों में, भारत साइबर सुरक्षा खतरों के हमले के अंत में रहा है, 2022 में एम्स दिल्ली के सिस्टम पर एक उल्लेखनीय हमले के साथ, नई दिल्ली की राष्ट्रीय सुरक्षा रणनीतियों के लिए एक कठिन चुनौती पेश की गई है।

सिंगापुर स्थित साइबर सुरक्षा उद्यम साइफिरमा की 2023 इंडिया थ्रेट लैंडस्केप रिपोर्ट भारत को साइबर हमलों के लिए दुनिया के प्रमुख लक्ष्य के रूप में बताती है, जो ऐसी सभी घटनाओं में से 13.7 प्रतिशत के लिए जिम्मेदार है। संयुक्त राज्य अमेरिका पीछे है, 9.6 प्रतिशत हमलों के अधीन, इंडोनेशिया और चीन भी महत्वपूर्ण निशाने पर हैं।

अपने साइबर सुरक्षा ढांचे, विशेष रूप से बैंकिंग, दूरसंचार और ऊर्जा जैसे महत्वपूर्ण क्षेत्रों में बढ़ते खतरों के जवाब में, केंद्र सरकार ने घरेलू स्तर पर विकसित सुरक्षा उत्पादों और सेवाओं के विशेष उपयोग की वकालत करने वाली एक नीति का प्रस्ताव दिया है। राष्ट्रीय साइबर सुरक्षा संदर्भ फ्रेमवर्क (एनसीआरएफ) में समाहित इस रणनीति का उद्देश्य मौजूदा कानून, नीतियों और दिशानिर्देशों के आधार पर स्पष्ट भूमिकाओं और जिम्मेदारियों को रेखांकित करते हुए एक संरचित दृष्टिकोण के साथ साइबर सुरक्षा डोमेन को मजबूत करना है।