भारत के साइबर इकोसिस्टम में समुत्थानशीलता का निर्माण

• 01 Dec 2025
• 128 min read

भारत की डिजिटल क्रांति ने अभूतपूर्व वित्तीय समावेशन सुनिश्चित किया है, लेकिन इसने साइबर अपराधियों के लिये नए रास्ते भी खोले हैं। फिशिंग और फर्ज़ी ऐप्स से लेकर AI-संचालित डीपफेक व डिजिटल अरेस्ट घोटालों तक, फ्रॉड (ठग) सबसे कमज़ोर लोगों—वरिष्ठ नागरिक, पहली बार स्मार्टफोन इस्तेमाल करने वाले लोग और ग्रामीण आबादी को निशाना बना रहे हैं। यद्यपि बैंक सुरक्षा कार्यढाँचे में निवेश कर रहे हैं और 'RBI कहता है!' जैसी सरकारी पहल जागरूकता बढ़ा रही हैं, परंतु सबसे कमज़ोर कड़ी अब भी व्यक्तिगत उपयोगकर्त्ता ही है। म्यूल एकाउंट्स और  अत्यंत परिष्कृत सोशल इंजीनियरिंग अटैक्स की वृद्धि यह संकेत करती है कि साइबर स्वच्छता को व्यक्तिगत स्वच्छता जितना ही नियमित बनना चाहिये। इस संघर्ष में, एक सतर्क और जागरूक नागरिक न केवल सहायक है, बल्कि वह रक्षा की पहली और सबसे महत्त्वपूर्ण पंक्ति है। 

भारत की वर्तमान साइबर सुरक्षा संरचना क्या है?

• रणनीतिक कोर (नीति एवं समन्वय): इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय साइबर सुरक्षा नीतियों एवं रणनीतियों सहित सूचना प्रौद्योगिकी से संबंधित राष्ट्रीय नीतियों के निर्माण के लिये जिम्मेदार है।
  • राष्ट्रीय साइबर सुरक्षा समन्वयक (NCSC): अलग-थलग प्रकार की प्रतिक्रियाओं को रोकने के लिये विभिन्न एजेंसियों (सैन्य, खुफिया, नागरिक) के बीच समन्वय स्थापित करता है। NCSC प्रधानमंत्री को रणनीतिक साइबर खतरों पर सलाह देता है।
• ‘शील्ड (Shield)’ (नागरिक एवं महत्त्वपूर्ण अवसंरचना रक्षा): यह सतर सार्वजनिक इंटरनेट, सरकारी नेटवर्क और बैंकिंग एवं बिजली जैसे महत्त्वपूर्ण क्षेत्रों की सुरक्षा करती है।
  • CERT-In (भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम): प्रथम प्रत्युत्तरदाता, यह अलर्ट जारी करता है, घटना प्रतिक्रिया को संभालता है तथा साइबर घटनाओं की 6 घंटे के भीतर रिपोर्टिंग अनिवार्य करता है।
  • NCIIPC (राष्ट्रीय महत्त्वपूर्ण सूचना अवसंरचना संरक्षण केंद्र): यह विशेष रूप से ‘महत्त्वपूर्ण सूचना अवसंरचना’ (CII) की सुरक्षा करता है, ऐसी प्रणालियाँ जिनके नष्ट होने से राष्ट्रीय सुरक्षा या अर्थव्यवस्था पर असर पड़ सकता है (जैसे: पावर ग्रिड, बैंकिंग, रेलवे)। CERT-In के विपरीत, यह सार्वजनिक रूप से उपलब्ध नहीं है।
• ‘Sword’ (सैन्य और खुफिया): यह स्तर साइबर युद्ध, जासूसी और आक्रामक क्षमताओं का प्रबंधन करती है।
  • रक्षा साइबर एजेंसी (DCA): एक त्रि-सेवा कमान (सेना, नौसेना, वायु सेना) वर्ष 2021 से कार्यरत है। यह रक्षात्मक (सैन्य नेटवर्क की रक्षा) और आक्रामक (प्रतिकूल नेटवर्क को बाधित करना) दोनों कार्यों पर केंद्रित है।
  • राष्ट्रीय तकनीकी अनुसंधान संगठन (NTRO): तकनीकी खुफिया एजेंसी, जो बाह्य खतरों का पता लगाने के लिये संचार नेटवर्क की निगरानी और अनुवीक्षण करती है।
• विधिक एवं नियामक कार्यढाँचा:
  • सूचना प्रौद्योगिकी अधिनियम, 2000 (और वर्ष 2008 का संशोधन): वर्तमान प्राथमिक कानून, जिसे AI और क्वांटम कंप्यूटिंग जैसे आधुनिक खतरों के लिये व्यापक रूप से आउट-डेटेड माना जाता है।
  • डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम (DPDPA), 2023: निजता संबंधी कानून में यह अनिवार्य करता है कि कंपनियों को यूज़र डेटा की सुरक्षा किस प्रकार करनी चाहिये तथा इसमें उल्लंघन के लिये भारी दंड का भी प्रावधान है।
  • प्रस्तावित: डिजिटल इंडिया अधिनियम (DIA) का उद्देश्य पुराने IT अधिनियम को प्रतिस्थापित कर भारत के डिजिटल इकोसिस्टम के लिये अधिक व्यापक विधिक कार्यढाँचा तैयार करना है, जो ऑनलाइन सुरक्षा, उपयोगकर्त्ता अधिकारों एवं डिजिटल प्लेटफॉर्मों के लिये जवाबदेही पर ध्यान केंद्रित करेगा।

भारत के समक्ष सबसे गंभीर साइबर खतरे क्या हैं?

• डिजिटल अरेस्ट और मनोवैज्ञानिक घेराबंदी: पहले साइबर जबरन वसूली केवल तकनीकी हैकिंग तक सीमित थी, पर अब ठग/धोखेबाज पीड़ितों को डराने के लिये ‘डिजिटल पैनोप्टिकॉन’ बनाते हैं।
  • वीडियो कॉल पर CBI या नारकोटिक्स ब्यूरो जैसी प्रवर्तन एजेंसियों का रूप धारण करके, वे पीड़ितों को ‘वास्तविक नजरबंदी’ में रखने के लिये राज्य प्राधिकरण के भय का फायदा उठाते हैं।
  • वर्ष 2024 के अंत में, डिजिटल अरेस्ट से होने वाला नुकसान केवल एक तिमाही में ₹120 करोड़ से अधिक हो गया।
    • हाल ही में, महाराष्ट्र साइबर पुलिस ने 58.13 करोड़ रुपये के घोटाले में चार और लोगों को गिरफ्तार किया, जहाँ एक 72 वर्षीय बुजुर्ग को धोखेबाजों ने अधिकारी बनकर ठगा था।
• AI-संचालित परिष्कृत धोखाधड़ी: जनरेटिव AI के सर्वसुलभ होने से जटिल धोखाधड़ी के लिये रास्ता आसान हो गया है जिससे आपराधिक तत्त्व पारंपरिक बायोमेट्रिक सुरक्षा व्यवस्थाओं जैसे Video KYC को भी चकमा देने में सक्षम हो गये हैं।
  • यह परिष्कृत धोखाधड़ी न केवल व्यक्तियों को बल्कि बैंकिंग सत्यापन प्रणालियों को भी धोखा देने के लिये डीपफेक वॉयस क्लोन एवं लिप-सिंक वीडियो का उपयोग करती है।
    • वर्ष 2025 के आइडेंटिटी फ्रॉड रिपोर्ट में पाया गया कि वर्ष 2024 में प्रत्येक पाँच मिनट में एक डीपफेक अरेस्ट हुआ, जबकि डिजिटल दस्तावेज़ जालसाज़ी में वृद्धि हुई।
• म्यूल एकाउंट्स एपिडेमिक: भारत की वित्तीय व्यवस्था इस समय किराये पर लिये गये बैंक खातों के एक व्यापक जाल से जूझ रही है जिनका उपयोग चोरी किये गये धन को छिपाने तथा उसे विभिन्न स्तरों में बाँटकर धनशोधन के लिये किया जाता है।
  • ये खाते स्मर्फिंग लेयर्स के रूप में कार्य करते हैं, जो चोरी की गई बड़ी रकम को देश से बाहर जाने से पहले अज्ञात सूक्ष्म-लेनदेन में विघटित कर देते हैं।
  • हाल ही में, हैदराबाद की साइबर अपराध शाखा और पूर्वी क्षेत्र के आयुक्त टास्क फोर्स द्वारा एक संयुक्त अभियान में एक निजी बैंक कर्मचारी सहित 8 सदस्यीय गिरोह को गिरफ्तार किया गया है, जिसने 120 से अधिक म्यूल बैंक खाते बनाए और उन्हें राज्य के बाहर से संचालित साइबर धोखेबाजों को बेच दिया।
• आपूर्ति शृंखला और तृतीय-पक्ष जोखिम: भारतीय उद्यमों के लिये सबसे गंभीर भेद्यता अब उनका अपना नेटवर्क नहीं है, बल्कि उनके छोटे, तृतीय-पक्ष विक्रेताओं के ‘अनसिक्योर्ड बैकडोर्स’ हैं।
  • जब किसी सेवा प्रदाता के साथ समझौता किया जाता है, तो इससे एक व्यापक ‘डोमिनो इफेक्ट’ उत्पन्न होता है, जो प्रमुख डाउनस्ट्रीम वित्तीय या महत्त्वपूर्ण सेवाओं को पंगु बना देता है।
  • जुलाई 2024 में, C-Edge टेक्नोलॉजीज़ पर रैनसमवेयर हमले के कारण भारत भर में 300 से अधिक बैंकों के भुगतान रुक गए।
    • रिपोर्ट बताती है कि वर्ष 2024 में 52.6% भारतीय संगठनों को तीसरे पक्ष के विक्रेताओं के माध्यम से उल्लंघन का सामना करना पड़ा।
• स्वास्थ्य सेवा को लक्ष्य बनाने वाले रैनसमवेयर: मेडिकल रिकॉर्ड (PHI) के उच्च मूल्य और विरासत IT प्रणालियों की व्यापकता के कारण स्वास्थ्य सेवा भारत के महत्त्वपूर्ण बुनियादी अवसंरचना का ‘कमजोर हिस्सा’ बन गई है।
  • हमलावर सरल एन्क्रिप्शन से ‘दोहरी जबरन वसूली’ की रणनीति अपना रहे हैं, तथा धमकी दे रहे हैं कि यदि फिरौती नहीं दी गई तो वे सुभेद्य रोगी डेटा जारी कर देंगे।
  • स्टार हेल्थ इंश्योरेंस उल्लंघन (वर्ष 2024 के अंत में) में मेडिकल रिपोर्ट सहित 31 मिलियन ग्राहक रिकॉर्ड से समझौता किया गया।
    • भारतीय स्वास्थ्य सेवा क्षेत्र वर्ष 2024 में साइबर हमलों के लिये सबसे अधिक लक्षित उद्योग के रूप में उभरा, जो कुल घटनाओं का 21.82% है।
• API और एंडपॉइंट कमज़ोरियाँ: जैसे-जैसे भारत ‘API-फर्स्ट’ इकॉनमी (UPI, ONDC) की ओर बढ़ रहा है, असुरक्षित ऐप्लीकेशन प्रोग्रामिंग इंटरफेस (API) बड़े पैमाने पर डेटा एक्सफिलट्रेशन के लिये प्राथमिक प्रवेश द्वार बन गए हैं।
  • ये सुभेद्यताएँ प्रायः जटिल हैकिंग की आवश्यकता के बिना, केवल एंडपॉइंट अनुरोधों में हेर-फेर करके विशाल डेटाबेस तक अनधिकृत अभिगम्यता की अनुमति देती हैं।
    • उदाहरण के लिये, वर्ष 2024 में Hathway के API में एक दोष के कारण 41 मिलियन उपयोगकर्त्ताओं का व्यक्तिगत डेटा उजागर हो गया।
• नकली व्यापार और ‘पिग बुचरिंग’ घोटाले: निवेश धोखाधड़ी ने एक अंतर्राष्ट्रीय संगठित अपराध मॉडल का रूप ले लिया है, जो प्रायः दक्षिण-पूर्व एशियाई ‘साइबर-स्लेवरी’ कंपाउंड्स से चलाया जाता है।
  • ये घोटाले नकली ट्रेडिंग ऐप्स का उपयोग करते हैं जो उच्च रिटर्न (पिग बुचरिंग) का दिखावा करते हैं तथा पीड़ितों को महीनों तक अपने जाल में फँसाते हैं तथा फिर उनकी जीवनभर की बचत चुरा लेते हैं।
  • गृह मंत्रालय (MHA) के एक प्रभाग, भारतीय साइबर अपराध समन्वय केंद्र (I4C) द्वारा संकलित आँकड़ों के अनुसार, भारत को वर्ष 2024 के पहले नौ महीनों में साइबर धोखाधड़ी से लगभग 11,333 करोड़ रुपये का नुकसान हुआ।

भारत में साइबर स्वच्छता बढ़ाने के लिये क्या उपाय आवश्यक हैं?

• सभी सार्वजनिक इंटरफेस के लिये राष्ट्रीय साइबर स्वच्छता पाठ्यक्रम: स्कूलों, कॉलेजों, CSC, सरकारी कार्यालयों और सार्वजनिक डिजिटल टच-पॉइंट्स में लघु, बहुभाषी साइबर-सुरक्षा मॉड्यूल को शामिल करने से जागरूकता को संस्थागत बनाया जा सकता है।
  • ये सूक्ष्म-शिक्षण कैप्सूल इंटरैक्टिव और परिदृश्य-आधारित होने चाहिये। इससे साइबर स्वच्छता को वैकल्पिक ज्ञान के बजाय एक जीवन कौशल के रूप में मुख्यधारा में लाया जा सकेगा। 
  • एक समान पाठ्यक्रम विभिन्न राज्यों में एकरूपता को बढ़ाता है। यह विभिन्न पीढ़ियों के साइबर-जागरूक नागरिकों का एक समूह भी तैयार करता है।
• डिजिटल हार्डवेयर और सॉफ्टवेयर के लिये अनिवार्य साइबर-सुरक्षित क्रय मानक: सभी सार्वजनिक और निजी क्षेत्र के IT उत्पादों के लिये न्यूनतम सुरक्षा मानदंडों को अनिवार्य करने वाले खरीद दिशानिर्देश बनाना पारिस्थितिकी तंत्र स्तर की स्वच्छता सुनिश्चित करता है।
  • इसमें सुरक्षित फर्मवेयर, सत्यापित आपूर्ति शृंखलाएँ और पूर्व-मान्यता प्राप्त ऐप्स शामिल हैं। ये मानक स्रोत से ही सिस्टम में कमज़ोरियों को प्रवेश करने से रोकते हैं।
  • ‘सुरक्षा-प्रथम खरीद’ को संस्थागत बनाने से आगे के जोखिम कम होते हैं। यह विक्रेताओं को राष्ट्रीय साइबर सुरक्षा उद्देश्यों के अनुरूप कार्य करने के लिये भी प्रोत्साहित करता है।
• MSME और स्थानीय शासन निकायों के लिये शून्य-विश्वास अपनाने का कार्यढाँचा: MSME और पंचायत कार्यालयों के लिये सरलीकृत, कम लागत वाले शून्य-विश्वास दिशानिर्देश बनाने से प्रायः उपेक्षित क्षेत्रों के लिये सुरक्षा सुनिश्चित होती है।
  • इसमें नेटवर्क का सूक्ष्म विभाजन, पहचान-सत्यापित अभिगम्यता और निरंतर प्रमाणीकरण शामिल हैं। 
  • इस तरह के कार्यढाँचे जटिल साइबर सुरक्षा को कार्रवाई योग्य जाँच-सूची में बदल देते हैं। यह बुनियादी संस्थागत स्तर पर हमले की संभावनाओं को कम करता है। यह डिजिटल सार्वजनिक सेवाओं में विश्वास भी बढ़ाता है।
• नागरिकों के लिये AI-संचालित प्रारंभिक चेतावनी और डिजिटल व्यवहार प्रोफाइलिंग: AI बॉट्स और मोबाइल-आधारित सहायकों की तैनाती जोखिमपूर्ण उपयोगकर्त्ता व्यवहार पैटर्न के आधार पर व्यक्तिगत सुरक्षा अलर्ट प्रदान कर सकती है। 
  • ये प्रणालियाँ संदिग्ध लिंक, असुरक्षित नेटवर्क या असुरक्षित ऐप अनुमतियों के प्रति सावधान कर सकती हैं। 
  • हल्के AI उपकरण कम डिजिटल साक्षरता वाले व्यक्तियों की सहायता करते हैं। ये सक्रिय, उपयोगकर्त्ता-विशिष्ट साइबर स्वच्छता मार्गदर्शन सुनिश्चित करते हैं। यह रोकथाम को सामान्य से अनुकूलन में बदल देता है।
• ‘न्यूनतम डेटा फुटप्रिंट’ प्रथाओं के लिये नियामकीय प्रोत्साहन: सेवाओं को केवल आवश्यक डेटा एकत्र करने के लिये अनिवार्य करने से संभावित उल्लंघनों का जोखिम कम होता है। डेटा-न्यूनीकरण नीतियाँ अनुशासित भंडारण और नियंत्रित अवधारण चक्रों को लागू करती हैं। 
  • इससे नागरिकों की भेद्यता कम हो जाती है। यह सभी उद्योगों में निजता-केंद्रित डिज़ाइन को प्रोत्साहित करता है। 
  • इस तरह का नियामक संयम साइबर स्वच्छता को संवैधानिक डेटा-सुरक्षा आदर्शों के साथ संरेखित करता है।
• म्यूल खातों के लिये ‘एल्गोरिदमिक व्यवहार लॉकिंग’: वर्तमान बैंकिंग प्रणाली प्रवेश के समय ‘KYC’ (अपने ग्राहक को जानें) पर निर्भर करती है, लेकिन हमें पूरे जीवनचक्र में ‘KYB’ (अपने व्यवहार को जानें) की आवश्यकता होती है।
  • बैंकों को गतिशील जोखिम स्कोरिंग लागू करनी चाहिये जो म्यूल बिहेवियर दिखाने वाले खातों को चिह्नित करे, जैसे कि निष्क्रिय खातों में अचानक उच्च गति से स्थानांतरण या तीव्र ‘पैसा-आने, पैसा-निकलने’ के पैटर्न। 
  • यदि किसी खाते का ‘रिस्क स्कोर’ बढ़ जाता है, तो उसे अस्थायी रूप से लॉक कर दिया जाना चाहिये या केवल प्राप्ति मोड में रखा जाना चाहिये, जब तक कि खाताधारक द्वारा बायोमेट्रिक पुनः-सत्यापन न कर लिया जाए।
• क्षेत्र-विशिष्ट CERT के साथ महत्त्वपूर्ण बुनियादी कार्यढाँचे को सुरक्षित करना: प्रत्येक महत्त्वपूर्ण क्षेत्र, ऊर्जा, परिवहन, स्वास्थ्य, वित्त को डोमेन विशेषज्ञता के साथ विशेष CERT संचालित करना चाहिये।
  • इन इकाइयों को क्षेत्रीय कमज़ोरियों के अनुरूप निरंतर रेड-टीमिंग, तनाव-परीक्षण और प्रवेश ऑडिट करना होगा। 
  • Inter-CERT समन्वय, क्रमिक विफलताओं के विरुद्ध लचीलापन सुनिश्चित करता है। आपदा प्रबंधन योजनाओं में सख्त साइबर-आकस्मिकता प्रोटोकॉल शामिल किये जाने चाहिये। इससे साइबर शॉक्स के दौरान आवश्यक सेवाओं की निरंतरता सुनिश्चित होती है।
• एन्क्रिप्शन-प्रथम सार्वजनिक डिजिटल अवसंरचना: सभी सार्वजनिक डिजिटल प्लेटफॉर्मों को ऐड-ऑन के बजाय डिफॉल्ट रूप से एंड-टू-एंड एन्क्रिप्शन को अपनाना होगा।
  • एन्क्रिप्शन गवर्नेंस फ्रेमवर्क में नियमित कुंजी रोटेशन, क्रिप्टोग्राफिक अपडेट और क्वांटम-प्रतिरोधी एल्गोरिदम को अनिवार्य किया जाना चाहिये। 
  • नागरिकों से जुड़े प्लेटफॉर्म को अनिवार्य रूप से सुरक्षित लॉग-इन लागू करना चाहिये। सरकारी विभागों द्वारा उपयोग की जाने वाली क्लाउड सेवाओं को एन्क्रिप्शन एकरूपता दिशानिर्देशों का पालन करना होगा।
    • इससे आधार, स्वास्थ्य प्रणालियों और डिजिटल भुगतान संरचना में विश्वास बढ़ता है।

निष्कर्ष:

भारत में साइबर-प्रतिरोधक क्षमता का निर्माण अब प्रतिक्रियात्मक सुरक्षा से आगे बढ़कर प्रत्येक नागरिक की दिनचर्या में निहित सक्रिय डिजिटल डिसिप्लिन की माँग करता है। मज़बूत तकनीकी कार्यढाँचे, सख़्त शासन-व्यवस्था और नागरिकों का सशक्तीकरण— ये सभी मिलकर विकसित होते खतरों के विरुद्ध एक स्तरीकृत सुरक्षा कवच निर्मित करते हैं। जैसे-जैसे डिजिटल फ्रॉड अधिक मनोवैज्ञानिक एवं कृत्रिम बुद्धिमत्ता-आधारित होती जा रही है वैसे-वैसे जागरूकता का प्रसार भी तकनीक की गति के समकक्ष होना चाहिये। 

“अदृश्य खतरों के युग में ‘साइबर स्वच्छता’ शांतिपूर्वक निभायी जाने वाली परंतु प्रबल सुरक्षा प्रदान करने वाली नई नागरिक-कर्त्तव्य-परंपरा है।"

दृष्टि मेन्स प्रश्न: भारत की डिजिटल क्रांति ने वित्तीय समावेशन का विस्तार किया है परंतु इसके साथ ही इसने साइबर-शोषण के नये मार्ग भी खोल दिये हैं। भारत की साइबर सुरक्षा रणनीति के केंद्र में नागरिक-केंद्रित साइबर स्वच्छता को सुदृढ़ करने की आवश्यकता पर चर्चा कीजिये।