आंतरिक सुरक्षा
बड़े पैमाने पर आधार डेटा उल्लंघन
- 14 Nov 2023
- 14 min read
प्रिलिम्स के लिये:बड़े पैमाने पर आधार डेटा उल्लंघन, आधार, UIDAI, व्यक्तिगत रूप से पहचान योग्य जानकारी (PII), साइबर हमला, डार्क वेब, डीप वेब, IT नियम (2021)। मेन्स के लिये:व्यापक आधार डेटा उल्लंघन, सरकारी नीतियाँ एवं विभिन्न क्षेत्रों में विकास के लिये हस्तक्षेप तथा उनके डिज़ाइन और कार्यान्वयन से उत्पन्न होने वाले मुद्दे। |
स्रोत: द हिंदू
चर्चा में क्यों?
हाल ही में अमेरिकी साइबर सुरक्षा कंपनी, रिसिक्योरिटी ने कहा कि आधार संख्या और पासपोर्ट विवरण सहित 815 मिलियन भारतीय नागरिकों की व्यक्तिगत रूप से पहचान योग्य जानकारी (Personally Identifiable Information- PII) डार्क वेब पर बेची जा रही थी।
- डेटा बेचने की धमकी देने वाले अभिकर्त्ताओं ने दावा किया कि इसे भारतीय चिकित्सा अनुसंधान परिषद (Indian Council of Medical Research- ICMR) से प्राप्त किया गया था, जिस पर कई साइबर हमले के प्रयास किये गए तथा वर्ष 2022 में 6,000 घटनाएँ दर्ज की गईं।
डार्क वेब क्या है?
- डार्क वेब उन साइट्स को संदर्भित करता है जो अनुक्रमित नहीं हैं तथा केवल विशेष वेब ब्राउज़र के माध्यम से ही पहुँच योग्य हैं। डार्क वेब, डीप वेब का एक छोटा-सा हिस्सा है।
- हमारे महासागर और हिमखंड दृश्य का उपयोग करते हुए डार्क वेब जलमग्न हिमखंड का निचला सिरा होगा।
- डार्क वेब इंटरनेट का एक छिपा हुआ भाग है तथा केवल विशेष सॉफ्टवेयर, कॉन्फिगरेशन या प्राधिकरण का उपयोग करके ही इसे एक्सेस किया जा सकता है, जिससे यह इंटरनेट का एक ऐसा क्षेत्र बन जाता है जो औसत उपयोगकर्त्ता के लिये आसानी से उपलब्ध नहीं है।
व्यक्तिगत पहचान योग्य जानकारी क्या है तथा धमकी देने वाले अभिकर्त्ताओं को संवेदनशील डेटा तक किस प्रकार पहुँच प्राप्त हुई?
- व्यक्तिगत पहचान योग्य जानकारी (PII):
- PII वह जानकारी है जिसे अकेले या अन्य प्रासंगिक डेटा के साथ उपयोग करने पर किसी व्यक्ति की पहचान की जा सकती है।
- PII पासपोर्ट जानकारी (Passport Information) या अर्द्ध-पहचानकर्त्ता (Quasi-Identifiers) ऐसे प्रत्यक्ष पहचानकर्त्ता हो सकते हैं जिन्हें किसी व्यक्ति की सफलतापूर्वक पहचान के लिये अन्य जानकारी के साथ जोड़ा जा सकता है।
- संवेदनशील डेटा तक पहुँच:
- डार्क वेब पर बिक्री के लिये चुराए गए डेटा की पेशकश करने वाले धमकी देने वाले अभिकर्ताओं ने यह बताने से इनकार कर दिया कि उन्होंने डेटा कैसे प्राप्त किया, जिससे आगे की जानकारी के बिना डेटा लीक के स्रोत को इंगित करना असंभव हो गया।
- ऑनलाइन डेटा बेचते हुए पाए गए दूसरे अभिकर्ता लूसियस ने दावा किया कि उसकी पहुँच लीक हुए 1.8 टेराबाइट डेटा तक है, जो किसी अज्ञात "भारत आंतरिक कानून प्रवर्तन एजेंसी" को प्रभावित कर सकता है। हालाँकि दावे की पुष्टि होना अभी बाकी है।
- शोधकर्त्ताओं द्वारा देखे गए डेटा नमूनों में भारतीय विशिष्ट पहचान प्राधिकरण(UIDAI) तथा आधार कार्ड सहित मतदाता पहचान पत्र के कई संदर्भ शामिल हैं। एक और संभावना यह है कि धमकी देने वाले अभिकर्त्ता ऐसे किसी तीसरे पक्ष की प्रणाली में सेंध लगाने में सफल रहे जिनके पास संबद्ध डेटा एकत्रित था।
- लीक हुए डेटा से संबंधित खतरे:
- रिसिक्योरिटी के एक सर्वेक्षण के अनुसार, भारत विश्व की सबसे तेज़ी से बढ़ती अर्थव्यवस्थाओं में से एक है तथा वर्ष 2023 की पहली छमाही में सभी मैलवेयर का पता लगाने में विश्व स्तर पर चौथे स्थान पर है।
- पश्चिम एशिया में अशांति एवं अराजकता का फायदा उठाने वाले खतरनाक तत्त्वों द्वारा किये गए हमलों में वृद्धि ने व्यक्तिगत रूप से पहचाने जाने योग्य डेटा को काफी हद तक उजागर कर दिया है, जिससे डिजिटल पहचान योग्य जानकारी की चोरी का खतरा बढ़ गया है।
- धमकी देने वाले अभिकर्त्ता ऑनलाइन-बैंकिंग चोरी, कर धोखाधड़ी और अन्य साइबर-सक्षम वित्तीय अपराधों को अंजाम देने के लिये चोरी की गई पहचान योग्य जानकारी का इस्तेमाल कर सकते हैं।
डेटा उल्लंघन के विगत मामले:
- वर्ष 2018, 2019 और 2022 में भी आधार डेटा के लीक होने की सूचना मिली थी, जिसमें बड़े पैमाने पर डेटा लीक के तीन मामले सामने आए थे, जिनमें से एक में PM किसान वेबसाइट पर संग्रहीत किसानों के डेटा को डार्क वेब पर उपलब्ध कराया गया था।
- इससे पहले वर्ष 2023 में रिपोर्टें सामने आईं कि मैसेजिंग प्लेटफॉर्म टेलीग्राम पर एक बॉट उन भारतीय नागरिकों का व्यक्तिगत डेटा चुरा रहा था, जिन्होंने कोविड-19 वैक्सीन इंटेलिजेंस नेटवर्क (CoWIN) पोर्टल पर पंजीकरण कराया था।
भारत में डेटा गवर्नेंस से संबंधित प्रावधान क्या हैं?
- IT संशोधन अधिनियम, 2008:
- मौजूदा गोपनीयता प्रावधान भारत में IT (संशोधन) अधिनियम, 2008 के तहत कुछ गोपनीयता प्रावधान मौजूद हैं।
- हालाँकि ये प्रावधान काफी हद तक कुछ स्थितियों के लिये विशिष्ट हैं, जैसे मीडिया में किशोरों और बलात्कार पीड़ितों के नाम प्रकाशित करने पर प्रतिबंध।
- जस्टिस के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारत संघ 2017:
- अगस्त 2017 में न्यायमूर्ति के.एस. पुट्टास्वामी (सेवानिवृत्त) बनाम भारत संघ मामले में सर्वोच्च न्यायालय की नौ-न्यायाधीशों की पीठ ने सर्वसम्मति से कहा कि भारतीयों के पास निजता का संवैधानिक रूप से संरक्षित मौलिक अधिकार है जो अनुच्छेद 21 के तहत जीवन और स्वतंत्रता का आंतरिक हिस्सा है।
- बी.एन. श्रीकृष्ण समिति 2017:
- सरकार ने अगस्त 2017 में न्यायमूर्ति बी.एन. श्रीकृष्ण की अध्यक्षता में डेटा संरक्षण हेतु विशेषज्ञों की एक समिति नियुक्त की, जिसने डेटा संरक्षण विधेयक के मसौदे के साथ जुलाई 2018 में अपनी रिपोर्ट प्रस्तुत की।
- रिपोर्ट में भारत में गोपनीयता कानून को मज़बूत करने के लिये कई तरह की सिफारिशें हैं जिनमें डेटा के प्रसंस्करण और संग्रह पर प्रतिबंध, डेटा संरक्षण प्राधिकरण, भूल जाने का अधिकार, डेटा स्थानीयकरण आदि शामिल हैं।
- सूचना प्रौद्योगिकी (मध्यवर्ती दिशा-निर्देश और डिजिटल मीडिया आचार संहिता) नियम 2021:
- IT नियम (2021) सोशल मीडिया प्लेटफॉर्म्स को अपने प्लेटफॉर्म पर सामग्री के संबंध में अधिक सक्रिय रहने के लिये बाध्य करता है।
- IT अधिनियम, 2000 को प्रतिस्थापित करने के लिये 'डिजिटल इंडिया अधिनियम', 2023 का प्रस्ताव:
- IT अधिनियम मूल रूप से केवल ई-कॉमर्स लेन-देन की सुरक्षा और साइबर अपराधों को परिभाषित करने के लिये डिज़ाइन किया गया था, यह वर्तमान साइबर सुरक्षा परिदृश्य की बारीकियों से पर्याप्त रूप से नहीं निपट पाया तथा न ही डेटा गोपनीयता अधिकारों को संबोधित करता है।
- नया डिजिटल इंडिया अधिनियम अधिक नवाचार, स्टार्टअप को सक्षम करके और साथ ही सुरक्षा, विश्वास तथा जवाबदेही के मामले में भारत के नागरिकों की सुरक्षा करके भारतीय अर्थव्यवस्था के लिये उत्प्रेरक के रूप में कार्य करने की परिकल्पना करता है।
आगे की राह
- UIDAI ने ‘मास्क्ड’ आधार का उपयोग करने की सिफारिश की, जो गोपनीयता और सुरक्षा को बढ़ाते हुए आधार संख्या के केवल अंतिम चार अंक प्रदर्शित करता है।
- इसके अलावा जवाबदेही सुनिश्चित करने के लिये एक उच्चस्तरीय "पहचान समीक्षा समिति" के माध्यम से स्वतंत्र निरीक्षण फिर से शुरू करने हेतु आधार अधिनियम में संशोधन किया जाना चाहिये।
- सरकार को अनिवार्य आधार उपयोग को स्वीकार्य उद्देश्यों तक सीमित करना चाहिये और आधार प्रमाणीकरण विफल होने पर वैकल्पिक प्रमाणीकरण विधियाँ प्रदान करनी चाहिये।
- उपयोगकर्त्ता अपने आधार डेटा को UIDAI की वेबसाइट या मोबाइल एप के माध्यम से लॉक करके सुरक्षित रख सकते हैं।
सिविल सेवा परीक्षा, विगत वर्ष के प्रश्नप्रश्न. निम्नलिखित कथनों पर विचार कीजिये: (2018)
उपर्युक्त कथनों में से कौन-सा/से सही है/हैं? (a) केवल 1 उत्तर: (d) व्याख्या:
अतः विकल्प D सही है। प्रश्न. “ब्लॉकचेन टेक्नोलॉजी” के संदर्भ में निम्नलिखित कथनों पर विचार कीजिये: (2020)
उपर्युक्त कथनों में से कौन-सा/से सही है/हैं? (a) केवल 1 उत्तर: (d) मेन्स:प्रश्न. सरकार की दो समानांतर चलाई जा रही योजनाओं, अर्थात् ‘आधार कार्ड’ और ‘राष्ट्रीय जनसंख्या रजिस्टर’ (NPR) एक स्वैच्छिक तथा दूसरी अनिवार्य, ने राष्ट्रीय स्तर पर वाद-विवादों एवं मुकदमेबाज़ी को जन्म दिया है। गुण-अवगुणों के आधार पर चर्चा कीजिये कि क्या दोनों योजनाओं को साथ-साथ चलाना आवश्यकता है या नहीं है? इन योजनाओं के विकासात्मक लाभों और न्यायोचित संवृद्धि को प्राप्त करने की संभाव्यता का विश्लेषण कीजिये। (2014) |