साइबर संप्रभुता दांव पर लगी है, यह उचित समय है जब भारत एक समान साइबर सुरक्षा कानून लाए
भारत के डिजिटल परिवर्तन को सूचना प्रौद्योगिकी अधिनियम 2000 और राष्ट्रीय साइबर सुरक्षा नीति 2013 जैसे दशकों पुराने कानूनी बुनियादी ढांचे की नींव पर नहीं बनाया जा सकता है।
हाल ही में, राष्ट्रीय साइबर सुरक्षा समन्वयक राजेश पंत ने साइबर सुरक्षा खतरों को भारतीय राष्ट्रीय सुरक्षा के लिए सबसे बड़ा जोखिम बताया। उन्होंने साइबर स्वच्छता को विकसित करने और बनाए रखने की आवश्यकता को भी रेखांकित किया। यह एक बुद्धिमान सलाह है, क्योंकि यह ऑनलाइन बीमा ब्रोकर पॉलिसीबाजार पर नवीनतम साइबर हैकिंग की घटना के करीब आता है।
वर्ल्ड इकोनॉमिक फोरम की ग्लोबल रिस्क रिपोर्ट 2022 में कहा गया है कि सरकार, व्यापार और घरेलू साइबर सुरक्षा बुनियादी ढांचे की सुरक्षा के लिए ‘साइबर सुरक्षा उपायों की विफलता’ की संभावना अगले दशक में कई राष्ट्र-राज्यों और उद्योगों के लिए एक महत्वपूर्ण वैश्विक जोखिम होगी।
इसके अलावा, व्यापक डिजिटलीकरण के कारण कई भौगोलिक क्षेत्रों, बाजारों और क्षेत्रों के बीच बढ़ते अंतर्संबंध ने भारतीय व्यक्तियों और कॉर्पोरेट संस्थाओं पर समान रूप से साइबर हमले की संभावना को बढ़ा दिया है। फरवरी 2022 तक, भारत की नोडल साइबर सुरक्षा एजेंसी सीईआरटी-इन ने 2.12 लाख से अधिक साइबर सुरक्षा घटनाएं देखी हैं।
2021 में, CERT-In ने कुल मिलाकर 14 लाख से अधिक साइबर घटनाओं को संभाला। यह सुनिश्चित करने के लिए, कॉर्पोरेट इकाइयाँ उतनी ही असुरक्षित हैं जितनी कि साइबर हमले के परिणामस्वरूप होने वाले व्यवधानों के लिए, यह देखते हुए कि कोरोनवायरस ने अधिकांश व्यावसायिक गतिविधियों को ऑनलाइन कैसे धकेल दिया है।
2022 थेल्स डेटा थ्रेट रिपोर्ट: एशिया-पैसिफिक, जिसने कई क्षेत्रों में सार्वजनिक और निजी उद्यमों का सर्वेक्षण किया, ने बताया कि आधे उत्तरदाताओं ने किसी समय सुरक्षा उल्लंघन का अनुभव किया, और इनमें से 32 प्रतिशत ने पिछले 12 महीनों में उल्लंघन का अनुभव किया।
साइबर सुरक्षा जोखिमों को दूर करने के लिए लीवरेज बोर्ड गवर्नेंस
भारत पर परिष्कृत साइबर हमलों के साथ, विशेष रूप से साइबर सुरक्षा जोखिमों के प्रभावी शासन के लिए, निजी और सार्वजनिक दोनों भारतीय कॉर्पोरेट संस्थाओं के निदेशक मंडल (‘बोर्ड’) की भूमिका और जिम्मेदारियों को चित्रित करना महत्वपूर्ण है। वर्तमान में, भारत में एक समर्पित साइबर सुरक्षा कानून का अभाव है।
इसके अलावा, मौजूदा राष्ट्रीय साइबर सुरक्षा नीति 2013 साइबर तैयारी सुनिश्चित करने में, बोर्डों के प्रत्ययी दायित्व पर, इसकी सामग्री में विशेष रूप से संक्षिप्त है। घरेलू अभिनेताओं को सीधे नियंत्रित करने वाले कठोर कानून दायित्वों की सापेक्ष अनुपस्थिति को ध्यान में रखते हुए, महामारी के बाद के समय में बोर्डों की भूमिका को डिकोड करने के लिए पारंपरिक कानूनी साधनों का उल्लेख करना और उन पर भरोसा करना अनिवार्य हो जाता है।
इस समय, कंपनी अधिनियम 2013 (भारत) की धारा 166 इस मामले पर बहुत आवश्यक मार्गदर्शन प्रदान करती है। अन्य बातों के साथ-साथ यह कॉर्पोरेट बोर्डों को उचित और उचित देखभाल, कौशल और परिश्रम, और स्वतंत्र निर्णय लेने के लिए वैधानिक रूप से कर्तव्यबद्ध बनाता है ताकि कंपनी के उद्देश्यों को व्यापक सार्वजनिक हित के अनुरूप बढ़ावा दिया जा सके।
यह कुछ हद तक ऑस्ट्रेलिया और संयुक्त राज्य अमेरिका में तथाकथित ‘व्यावसायिक निर्णय नियम’ के समान है जो मानता है कि बोर्ड निगम के प्रति देखभाल का कर्तव्य है। इसलिए, यह स्वयंसिद्ध है कि साइबर खतरों के प्रबंधन और शमन के लिए समग्र रूप से बोर्ड की जिम्मेदारी है। साइबर सुरक्षा जोखिमों के प्रभावी बोर्ड प्रशासन के लिए, भारत को संरचित तरीके से बहु-आयामी दृष्टिकोण अपनाना चाहिए।
शुरुआत के लिए, नीचे दिए गए तीन हस्तक्षेप मोटे तौर पर भारतीय बोर्डों के साइबर सुरक्षा प्रयासों को दिशा प्रदान कर सकते हैं।
साइबर सुरक्षा जोखिम प्रबंधन के व्यवहार संबंधी पहलुओं को संशोधित करें
सबसे पहले, बोर्डों को साइबर सुरक्षा को ‘रणनीतिक उद्यम-व्यापी जोखिम’ के रूप में अवधारणा और दृष्टिकोण के लिए प्रोत्साहित किया जाना चाहिए, न कि केवल ‘आईटी जोखिम’ के रूप में। साइबर सुरक्षा के प्रति दृष्टिकोण में इस तरह के बदलाव से संगठनों के भीतर एक सकारात्मक साइबर सुरक्षा संस्कृति पैदा करने में मदद मिलेगी।
यहां, बोर्डों को स्पष्ट और विशिष्ट साइबर-संबंधित उद्देश्यों को स्थापित करने और संगठन के लिए साइबर जोखिम प्रबंधन उपायों की निगरानी प्रदान करने की आवश्यकता होगी।
इस बदलते प्रतिमान में, बोर्डों को इसके बाद यह सुनिश्चित करने की आवश्यकता होगी कि बोर्ड से लेकर उसके प्रबंधन और कर्मचारियों तक पूरे संगठन को इस तरह से सूचित और प्रशिक्षित किया जाए जिससे वे संगठनों के भीतर साइबर सुरक्षा मानकों को बनाए रखने में अपने-अपने हिस्से को निभाने के लिए पर्याप्त रूप से सक्षम हों।
इसके अलावा, आशा यह भी है कि सतत अनुपालन जागरूकता पर जोर देने से संगठन के वित्तीय और कानूनी जोखिम जोखिम को ध्यान में रखते हुए साइबर जोखिमों के बारे में चर्चा के लिए पर्याप्त बोर्ड समय आवंटित किया जाएगा।
एक अन्य वांछनीय व्यवहार परिवर्तन साइबर जोखिमों के प्रति शून्य-सहनशीलता दृष्टिकोण से बचना है। व्यावहारिक रूप से, संगठनों को इस बात की सराहना करने की आवश्यकता है कि साइबर जोखिमों से पूरी तरह बचा नहीं जा सकता है। कोई भी संगठन जो शून्य-सहिष्णुता के दृष्टिकोण का पालन करता है, वह डिजिटल नवाचार को प्रभावित करने का जोखिम उठाता है।
किसी भी संगठन के लिए अधिक लाभदायक साइबर जोखिमों के लिए बोर्ड द्वारा अनुमोदित ‘सहिष्णुता सीमा’ का निर्माण है। इस तरह के जोखिम उठाने वाले बयान को संगठन की जरूरतों के अनुरूप बनाया जा सकता है और उस संगठन के लिए विशिष्ट विभिन्न विशिष्टताओं (जैसे आकार, क्षेत्र, महत्वपूर्ण बुनियादी ढांचे में संगठन की भूमिका, आदि) द्वारा सूचित किया जा सकता है।
पर्याप्त वित्तीय निवेश सुनिश्चित करें
दूसरा, परंपरागत रूप से एक संगठन के साइबर सुरक्षा बजट को अक्सर आईटी बजट के साथ जोड़ा जाता था। वर्तमान में किसी भी अधिकार क्षेत्र में कॉर्पोरेट संस्थाओं को साइबर सुरक्षा पहलों को लागू करने के लिए एक विशिष्ट बजट को अनिवार्य रूप से निर्धारित करने की आवश्यकता नहीं है।
एक विशेष आकार की कंपनियों और कुछ क्षेत्रों (जैसे वित्तीय और बैंकिंग क्षेत्रों) में काम करने वालों को साइबर सुरक्षा उपायों के लिए अपने वार्षिक संगठन बजट का एक विशेष प्रतिशत आरक्षित निवेश के रूप में आरक्षित करने की सलाह दी जाएगी।
इसके अनुरूप, संगठन के आंतरिक नियमों के माध्यम से अतिरिक्त साइबर सुरक्षा निधि या कर्मचारियों की आवश्यकता के लिए एक बजट प्रक्रिया स्थापित की जा सकती है।
इसके बाद, पर्याप्त वित्तीय समर्थन के साथ, कॉर्पोरेट दो प्रमुखों पर ध्यान केंद्रित करने के लिए अच्छा प्रदर्शन करेंगे – मानव संसाधन में निवेश और प्रौद्योगिकी में निवेश।
मानव संसाधन के मोर्चे पर, प्रासंगिक साइबर सुरक्षा और डिजिटल कौशल में ब्रीफिंग, प्रशिक्षण सत्र, कार्यशालाओं, ई-लर्निंग मॉड्यूल और निदेशक-शिक्षा कार्यक्रमों के माध्यम से संगठन कर्मियों का नियमित प्रशिक्षण आवश्यक है। हालाँकि, किसी को भी अपनी अपेक्षाओं को प्रबंधित करने की आवश्यकता है क्योंकि यह किसी का अनुमान है कि विभिन्न बोर्डों के पुराने गार्ड इन पहलों के लिए कितने सक्षम होंगे।
तकनीकी मोर्चे पर, विरासती आईटी अवसंरचना और पुरानी सॉफ़्टवेयर सुरक्षा को अद्यतन या प्रतिस्थापित करना समय की मांग है। संगठन की सूचना सुरक्षा नीति का अनुपालन सुनिश्चित करने के लिए सुरक्षा संचालन की प्रभावकारिता बढ़ाने के लिए बोर्ड स्वचालित प्रौद्योगिकी में निवेश करने पर भी विचार कर सकते हैं।
बोर्डों पर विशेषज्ञता लाओ
तीसरा, प्रासंगिक विशेषज्ञता वाले कर्मियों को बोर्डों या संबंधित समितियों पर निरीक्षण जिम्मेदारियों में सहायता करने से सही ‘शीर्ष पर स्वर’ सेट करने में मदद मिल सकती है।
विशेषज्ञ जुड़ाव कई रूप ले सकता है जैसे – प्रासंगिक साइबर सुरक्षा/गोपनीयता/उपभोक्ता कानून/आईटी विशेषज्ञता के साथ बोर्ड के सदस्यों की भर्ती करना, तदर्थ या अनुचर के आधार पर बाहरी विशेषज्ञों को शामिल करना, तकनीकी विशेषज्ञों को एक बीस्पोक साइबर जोखिम प्रबंधन योजना तैयार करने की आवश्यकता है, विशेषज्ञ की तलाश करना बाहरी लेखा परीक्षकों की राय यदि आंतरिक लेखा परीक्षा का कवरेज, कौशल, क्षमता और क्षमताएं अपर्याप्त हैं, आदि।
इस मोर्चे पर एक दिलचस्प विकास संयुक्त राज्य अमेरिका का मसौदा साइबर सुरक्षा प्रकटीकरण अधिनियम 2021 है जिसमें सार्वजनिक रूप से कारोबार करने वाली कंपनियों को अनिवार्य रूप से निवेशकों को यह खुलासा करने की आवश्यकता है कि क्या उनके पास साइबर सुरक्षा विशेषज्ञता है। या उनके निदेशक मंडल में अनुभव, और यदि नहीं, तो उनकी अनुपस्थिति की व्याख्या करने के लिए।
फिर भी, निष्पक्ष होने के लिए, जबकि साइबर सुरक्षा से संबंधित मामलों पर बाहरी विशेषज्ञों को शामिल करने के लिए अंतर-न्यायिक सहमति है, इस सीमा पार सहमति को प्रत्येक क्षेत्राधिकार में इस तरह की सगाई की कल्पना की गई डिग्री में काफी अंतर से चिह्नित किया जाता है।
यह ध्यान रखना महत्वपूर्ण है कि संयुक्त राज्य अमेरिका जैसे प्रत्येक क्षेत्राधिकार के लिए जो बोर्ड पर विशेषज्ञों को शामिल करने के लिए खुला है, ऐसे कई और लोग हैं जो अधिक रूढ़िवादी दृष्टिकोण अपनाते हैं।
इसके अलावा, विशेषज्ञों के साथ काम करने से बोर्डों में एक बड़ी बाधा आवश्यक विशेषज्ञता के साथ साइबर सुरक्षा पेशेवरों की गंभीर वैश्विक कमी है। यह भारत जैसे विकासशील देशों के लिए और भी अधिक है जहां विशेषज्ञों तक पहुंच मुश्किल हो सकती है क्योंकि साइबर सुरक्षा का क्षेत्र अभी भी नवोदित है।
आगे बढ़ना: चुनौतियां और अवसर
अंत में, जबकि बहुत कुछ किया जाना बाकी है, अल्पावधि में, साइबर घटनाओं को दूर रखने के लिए भारत उपर्युक्त हस्तक्षेपों को परिश्रमपूर्वक लागू करने के लिए अच्छा प्रदर्शन करेगा। यह भी ध्यान देने योग्य है कि भारत के डिजिटल परिवर्तन को सूचना प्रौद्योगिकी अधिनियम 2000, राष्ट्रीय साइबर सुरक्षा नीति 2013, आदि जैसे दशकों पुराने कानूनी बुनियादी ढांचे की नींव पर नहीं बनाया जा सकता है।
प्रति विपरीत, कार्यकारी कानूनी द्वारा छिटपुट कानून-निर्माण नहीं किया जा सकता है ( जैसे हाल के सीईआरटी-इन निर्देशों में सभी संगठनों को छह घंटे के भीतर साइबर घटनाओं की रिपोर्ट करना अनिवार्य है) को अधिक स्थायी समाधान के लिए संतोषजनक विकल्प माना जाना चाहिए।
अपनी साइबर संप्रभुता को दांव पर लगाते हुए, यह उचित समय है कि भारत एक समान साइबर सुरक्षा कानून लाए जो देश के लिए आधारभूत साइबर अनुपालन बेंचमार्क को स्पष्ट और व्यापक रूप से रेखांकित करे।
इस तरह के कदम से यह सुनिश्चित होगा कि भारत के डिजिटल निवासी खुद को अपर्याप्त कानूनी बुनियादी ढांचे की दरार में नहीं फंसेंगे, जो वर्तमान में तेजी से बदलते डिजिटल परिदृश्य की बदलती वास्तविकताओं को पूरा नहीं करता है।
