जब साइबर अटैक एआई-पावर्ड हो गए हैं तो सुरक्षा भी एआई-पावर्ड होनी चाहिए। यह कहना है आईटी फर्म जोहो (Zoho) के मैनेजइंजन में एआई सिक्युरिटी की हेड सुजाता...और पढ़ें
मुंबई में रहने वाली एक महिला अपनी मां के लिए कोई घरेलू उपकरण तलाश रही थी। दो दिन बाद एक नंबर से वाट्सऐप पर उसे मैसेज आया जिसमें उस उपकरण के लिए 6000 रुपये का भुगतान करने को कहा गया था। भुगतान के बाद महिला को पता चला कि वह ठगी का शिकार हुई है। यह घटना बताती है कि साइबर क्राइम में किस तरह आर्टिफिशियल इंटेलिजेंस (AI) का इस्तेमाल बढ़ रहा है। दरअसल, हैकर्स AI के जरिए अपने हैकिंग टूल्स को इंप्रोवाइज कर रहे हैं। आईटी फर्म जोहो (Zoho) के मैनेजइंजन (ManageEngine) में एआई सिक्युरिटी की हेड सुजाता एस. अय्यर का मानना है कि जब साइबर अटैक एआई-पावर्ड हो गए हैं तो सुरक्षा भी एआई-पावर्ड होनी चाहिए। ऐसे समय जब सरकार डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट (DPDP Act) के नियमों को अंतिम रूप देने वाली है, डिजिटल सिक्युरिटी के तमाम पहलुओं पर सुजाता से जागरण प्राइम के एस.के. सिंह ने बात की। मुख्य अंश-
-साइबर अटैक लगातार सॉफिस्टिकेटेड होते जा रहे हैं। पिछले हफ्ते हमने देखा कि यूरोप के एयरपोर्ट में चेक-इन सिस्टम हैक हो गया। उससे पहले जेएलआर कंपनी साइबर अटैक का शिकार हुई। अब हैकर्स भी AI का इस्तेमाल करके हैकिंग टूल्स को इंप्रोवाइज कर रहे हैं। आने वाले समय में साइबर रिस्क का आप कैसे आकलन करती हैं?
एक दशक पहले साइबर अटैक को पहचानना आसान था। फिशिंग ईमेल में व्याकरण की अशुद्धियां होती थीं। लेकिन आज के फिशिंग ईमेल में ऐसी गलतियां नहीं होती हैं। जो एआई क्षमता हमारे पास है, वही अटैकर के पास भी है। आपने सही कहा कि आज के साइबर अटैक बहुत सॉफिस्टिकेटेड हो गए हैं। इसलिए हमारी सुरक्षा प्रणाली भी एआई-पावर्ड होनी चाहिए। अगर आपके पास फिशिंग या मालवेयर पकड़ने का सॉल्यूशन है, तो एआई से उसे और मजबूत बनाना पड़ेगा।
उदाहरण के लिए फिशिंग को ही लें, तो पुराने फिशिंग डिटेक्शन इंजन से नए हमलों को रोकना मुश्किल होगा। इसलिए हमें मशीन लर्निंग मॉडल के प्रयोग की जरूरत पड़ेगी। जिस डोमेन से फिशिंग ईमेल आते हैं उनमें कोई न कोई कमी होती ही है। मान लीजिए किसी बैंक के नाम से ईमेल आता है। बैंक का असली डोमेन वर्षों पुराना होगा, लेकिन फिशिंग डोमेन नया होगा। हो सकता है फिशिंग ईमेल भेजने के लिए दो महीने पहले वह डोमेन बनाया गया हो। ऐसे बहुत सारे फैक्टर्स हैं जिनसे उनकी पहचान की जा सकती है।
पुराने मालवेयर भी उतने कारगर नहीं थे, लेकिन आज के मालवेयर बहुत इंटेलिजेंट हैं। पहली नजर में इनसे आपको कोई खतरा नहीं लगेगा, पर वे आपके सिस्टम में तबाही मचा सकते हैं। आपका पूरा डेटा एनक्रिप्ट कर सकते हैं, डेटा चुरा सकते हैं, आपके ही सिस्टम से आपको लॉग-आउट कर सकते हैं। यहां एआई मदद कर सकता है। मान लीजिए आप संवेदनशील डॉक्यूमेंट को रोजाना दो बार एक्सेस करते हैं। अगर मालवेयर अचानक 500 बार उन डॉक्यूमेंट तक पहुंचने की कोशिश करेगा तो एआई आपको अलर्ट करेगा।
अगर आपकी कंपनी में अनेक कर्मचारी हैं और उनके पास लैपटॉप हैं। आपको सुनिश्चित करना पड़ेगा कि किसी भी लैपटॉप से मालवेयर न आए। अटैक हुआ तो आपको तत्काल उसे पकड़ना होगा। ऐसे मामलों में यूनिफाइड एंडप्वाइंट मैनेजमेंट सॉल्यूशन (UEMS) और सिक्युरिटी इन्फॉर्मेशन एंड इवेंट मैनेजमेंट (SIEM) की भूमिका महत्वपूर्ण हो जाती है।
जैसे, एआई-पावर्ड डिफेंस में लैपटॉप, फोन जैसे एंड प्वाइंट पर यूईएमएस होता है और वह एआई-पावर्ड मालवेयर को पकड़ता है। यह सुरक्षा प्रणाली मल्टीपल लेयर में होती है। इसमें सबसे पहले एंड प्वाइंट होता है। क्योंकि अटैक आपके लैपटॉप के माध्यम से ही होगा, वही फर्स्ट प्वाइंट ऑफ एंट्री होगी।
अगर कोई मालवेयर आपके सिस्टम में आ ही गया तो उसका बिहैवियर बहुत अलग होगा। मान लीजिए किसी एक कर्मचारी के लैपटॉप से मालवेयर आया है और वह आपका डेटा लेने की कोशिश करता है, तो उसका बर्ताव अलग होगा। उदाहरण के लिए, जिस सिस्टम से आम तौर पर दो या तीन प्रिंट रिक्वेस्ट भेजे जाते हैं, वहां से अचानक बड़ी संख्या में प्रिंट रिक्वेस्ट भेजे जाएंगे।
यहीं पर मशीन लर्निंग काम आती है। मान लीजिए आपके फाइल सर्वर से रोजाना 100 डाउनलोड तक की अनुमति है। अगर कोई 99 डाउनलोड करता है तो आपको पता नहीं चलेगा। लेकिन अगर मशीन लर्निंग का प्रयोग किया गया है तो वह यूजर के बिहैवियर को पकड़ेगा। अगर 100 डाउनलोड की अनुमति के बावजूद कोई रोजाना 40 डाउनलोड लेता है, और किसी दिन अचानक वह 70-80 डाउनलोड लेने की कोशिश करेगा तो मशीन आपको अलर्ट कर देगी। इस तरह एआई आपके सिस्टम की सुरक्षा को बढ़ाता है।
-आजकल हम डीप फेक बहुत देख रहे हैं। सोशल मीडिया पर अक्सर सेलिब्रिटीज के डीप फेक आते रहते हैं। इसे कैसे कंट्रोल किया जा सकता है?
इनको पूरी तरह खत्म करना तो मुश्किल होगा, लेकिन एआई आधारित सुरक्षा प्रणाली बना सकते हैं। वैसे भी, अगर आप डीप फेक्स पर गौर करें, तो जो फीचर्स हमें चाहिए (जैसे चेहरे में), वे होते नहीं हैं। अभी डीप फेक हूबहू चेहरा नहीं बना रहे। आने वाले समय में ये बेहतर हो सकते हैं, लेकिन बहुत तकनीकी चुनौतियां हैं। जैसे, आप किसी के इमेज की सेगमेंटेशन करें तो व्यक्ति का चेहरा, कंधे, हाथ, इनके किनारों को एक्सट्रैक्ट करना मुश्किल होता है। पर हां, आने वाले समय में शायद डीप फेक बेहतर हों।
-इससे कैसे निपटा जा सकता है?
डीप फेक का केवाईसी में बहुत दुरुपयोग हो रहा है। अगर आप आधार कार्ड से फेस एक्सट्रैक्ट करते हैं तो जो इमेज अपलोड है, उसका मिलान करक बात खत्म नहीं होनी चाहिए। एआई की मदद से उसका पूरा बैकग्राउंड चेक किया जाना चाहिए। यही कारण है कि अब संस्थान वीडियो केवाईसी पर जोर दे रहे हैं। वीडियो में आप ऊपर-नीचे, दाएं-बाएं देखते हैं। उससे संस्थान आपके जो फीचर्स एक्सट्रैक्ट करता है, वह ज्यादा सटीक होता है। लेकिन मैं फिर कहूंगी कि मॉडल्स दिनों-दिन बेहतर हो रहे हैं। डीप फेक जनरेशन का जो एल्गोरिथम अभी है, वह भी भविष्य में एडवांस होगा।
-अभी साइबर सिक्योरिटी में एआई का कैसे इस्तेमाल किया जा रहा है और आने वाले समय में क्या गुंजाइश है?
एक उदाहरण संदिग्ध लॉगिन पकड़ने (suspicious login detection) का है। मान लीजिए किसी कंपनी में कुछ लोग ऑफिस में काम करते हैं और कुछ लोग घर से काम करते हैं। हो सकता है घर पर वे पर्सनल लैपटॉप का इस्तेमाल करते हों। किसी का लॉगिन आईडी और पासवर्ड सही होने का मतलब यह नहीं कि वह वैलिड यूजर है। आपको यह भी देखना पड़ेगा कि लॉगिन सिक्योर है, सही आईडी-पासवर्ड का इस्तेमाल करके कोई अटैक तो नहीं कर रहा है। यहीं पर suspicious login detection काम करता है। इसमें कई फीचर्स देखे जाते हैं। जैसे, किस ब्राउजर या लैपटॉप का प्रयोग किया जा रहा है।
घर और ऑफिस का नेटवर्क अलग होता है। नेटवर्क से ही हमें आईपी की जानकारी मिलती है। यह पता चलता है कि किस लोकेशन से लॉगिन कर रहे हैं। मान लीजिए कोई व्यक्ति हमेशा भारत में लॉगिन करता है। अचानक उस आईडी से अमेरिका से लॉगिन होता है तो आप उसे पकड़ सकते हैं। या फिर, भारत में ही आम तौर पर सोमवार से शुक्रवार तक सुबह 9 बजे लॉगिन और शाम 6 बजे लॉग आउट होता है। अचानक शनिवार तड़के 3 बजे लॉगिन होता है तो आईडी-पासवर्ड सही होने के बावजूद हम उसे सीधे नहीं आने दे सकते हैं, क्योंकि यह संदिग्ध है। इस तरह हम मशीन लर्निंग से लॉगिन को सुरक्षित बना सकते हैं।
उसके बाद सेकंड लाइन ऑफ डिफेंस होता है। लॉगिन के बाद आप जो लिंक विजिट करते हैं या ब्राउज करते हैं, यह उसे सिक्योर करता है। यह भी एआई-पावर्ड होता है। अगर कोई फिशिंग लिंक है तो यह बताएगा कि संदिग्ध है। आप ब्राउज करके पढ़ने के लिए कुछ डाउनलोड करते हैं। उस डाउनलोड में मालवेयर या रैनसमवेयर हो सकता है, जो आपके सिस्टम में आ जाए। वहीं पर UEMS काम करता है। यह एंड प्वाइंट मैनेजमेंट आपके लैपटॉप या फोन को सिक्योर करता है। इसमें डिटेक्शन के लिए एआई पावर्ड एंटी-रैनसमवेयर होता है जो अपने आप एक्टिवेट हो जाता है।
इसके बाद आता है सुरक्षा का तीसरा लेयर। इसमें हर एप्लीकेशन डाउनलोड को स्कैन किया जाता है। अगर आप वर्ड या एक्सेल जैसे जेन्युइन एप्लीकेशन इंस्टॉल करते हैं तो वह सिर्फ इंस्टॉल होगा और एप्लीकेशन फोल्डर में बैठ जाएगा। लेकिन अगर किसी एप्लीकेशन में मालवेयर है तो वह अपनी कॉपी बनाएगा और BIOS (Basic Input/Output System), ‘सिस्टम रजिस्ट्र की’ को प्रभावित करने की कोशिश करेगा। एआई-पावर्ड सिक्युरिटी सिस्टम आपको इससे अलर्ट करेगा।
अब मान लीजिए मालवेयर बहुत बेहतरीन है और उसने अपने आपको इंस्टॉल कर लिया। अब वह आपके सिस्टम में संवेदनशील डेटा तक पहुंचने की कोशिश करेगा। अगर डेटा एक्सफिल्ट्रेशन अटैक है तो उसे कैसे पहचानेंगे?
मान लीजिए आपके सर्वर में कंपनी के सेंसिटिव रिकॉर्ड हैं। आम तौर पर उन्हें मार्च-अप्रैल में एक्सेस किया जाता है। बाकी दिनों में अगर एक्सेस किया भी गया तो महीने में एक या दो बार। यह आपके प्रोफाइल का विहेवियर है। अब अगर डेटा एक्सफिल्ट्रेशन अटैक है तो बहुत सारे रिक्वेस्ट जाएंगे, वह बहुत सारे डेटा की डिमांड करेगा। ऐसे में एआई-पावर्ड सिस्टम आपको अलर्ट करेगा।
-तो हम कह सकते हैं कि एआई अब इस स्टेज में पहुंच गया है कि वह साइबर अटैक को पहले डिटेक्ट कर ले।
हां, बिल्कुल। मैं एक और उदाहरण देती हूं। बैंकों के कोर बैंकिंग सॉल्यूशन में कस्टमर्स का डेटा होता है। किसी कस्टमर का अकाउंट कॉम्प्रोमाइज हुआ तो साइबर क्रिमिनल उस अकाउंट से पैसे निकालने की कोशिश करेगा। एनॉमली डिटेक्शन ऐसे ट्रांजैक्शन को रोकने में कैसे मदद कर सकता है। अगर कोई व्यक्ति हमेशा 1000-2000 रुपये के ट्रांजैक्शन करता है और अचानक ज्यादा रकम का ट्रांजैक्शन इनीशिएट होता है, तो एआई उसे रोक देगा।
-क्या बैंक इस फीचर का इस्तेमाल करते हैं?
बहुत से बीएफएसआई क्लाइंट्स हमारे एआई सॉल्यूशंस का प्रयोग करते हैं। जैसे केवाईसी के लिए, एनॉमली डिटेक्शन के लिए।
-रेस्पांसिबल एआई को हम कैसे समझें- आम लोगों के लिए, बिजनेस या सरकार के लिए?
आम लोग सिक्योरिटी और प्राइवेसी को लेकर काफी जागरूक हो गए हैं। वे जानते हैं कि डेटा सेंटर क्या है और यहां से मेरा डेटा बाहर नहीं जाना चाहिए। जहां तक सरकार की बात है, तो विभिन्न सरकारों की तरफ से भी कदम उठाए जा रहे हैं। जीडीपीआर ने यूरोप में बड़ा उदाहरण पेश किया है। भारत में डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट (DPDP Act) लागू किया जा रहा है। सिक्योरिटी और प्राइवेसी इन सभी एक्ट के केंद्र में है।
मेरा सुझाव है कि कंपनियों को सुरक्षा और प्राइवेसी को डिजाइन में ही शामिल करना चाहिए। ऐसा न हो कि पहले आप को प्रोडक्ट डेवलप करें और फिर उसकी सुरक्षा के बारे में सोचें। प्रोडक्ट डेवलपमेंट के पहले चरण से ही सुरक्षा और प्राइवेसी को ध्यान में रखा जाना चाहिए।
जैसे, मैनेजइंजन में हम अपना डेटा सेंटर ऑपरेट करते हैं। सभी एप्लिकेशन और एआई फीचर्स इन-हाउस बनाए जाते हैं। हम एक एआई मॉडल जिस संस्थान के लिए बनाते हैं, वह सिर्फ उसी के लिए होता है। अगर हमने किसी के लिए एनॉमली डिटेक्शन या फोरकास्टिंग का मॉडल बनाया तो उसका प्रयोग किसी और संस्थान में नहीं होगा। डेटा हैंडलिंग का तरीका भी महत्वपूर्ण है। ऐसा न हो कि बिजनेस डेटा बिना एनक्रिप्शन के डेटाबेस में चला जाए। अगर हम पहले से ही इन सब बातों के बारे में सोचें तो समस्या से निपटना आसान हो जाता है।
-DPDP Act के ड्राफ्ट नियम जनवरी में जारी किए गए थे। इन्हें अभी तक अंतिम रूप नहीं दिया गया है। आपको नहीं लगता कि रूल्स बनाने में बहुत समय लग रहा है?
मेरे विचार से सरकार समय से ज्यादा सहयोगात्मक तरीके को महत्व दे रही है। इस पर तमाम पक्षों से बात चल रही है। ये नियम लंबे समय तक रहने वाले हैं। इसलिए सरकार का यह तरीका मुझे ठीक लगता है।
-रूल्स में किस तरह की चीजें हो सकती हैं?
मेरे विचार से प्राइवेसी के पहलू पर काफी जोर रहेगा। जब इस पर फोकस होगा तो कंपनियों को भी उस दिशा में जाना पड़ेगा। आम लोगों से लेकर कंपनियों तक, सबको इसका महत्व समझ में आना चाहिए। शायद इसलिए इसमें इतना समय भी लग रहा है। आज ज्यादातर लोगों के पास स्मार्टफोन और डेटा कनेक्शन है। इसलिए उस स्तर पर जागरूकता भी होनी चाहिए। उन्हें मालूम होना चाहिए कि कहां फोन नंबर देना है, कहां नहीं। आज भी अनेक लोग विभिन्न कामों के लिए एक ही पासवर्ड रखते हैं। एक पासवर्ड लीक हुआ तो हर जगह खतरा हो सकता है।
-आने वाले समय में साइबर सिक्योरिटी में मानवीय दखल की कितनी जरूरत रहेगी?
इसकी तो हमेशा जरूरत होगी। बैंकिंग में एनॉमली डिटेक्शन का ही उदाहरण लेते हैं। अक्सर 2000 रुपये तक का ट्रांजैक्शन करने वाले के खाते में अचानक 50,000 रुपये का ट्रांजैक्शन हो रहा है, तो एआई उसे रोक देगा। लेकिन ऐसा करना हमेशा ठीक नहीं होगा। बड़ी राशि के चेक के लिए बैंकों में पॉजिटिव पे की व्यवस्था शुरू की गई है। इसमें चेक जारी करने वाले को बैंक को कुछ जानकारियां देनी पड़ती हैं। अब मान लीजिए इस डेटा को किसी व्यक्ति ने नहीं देखा और मशीन ने एनॉमली डिटेक्शन के तहत ट्रांजैक्शन रोक दिया तो क्या होगा? इसलिए मानवीय दखल की जरूरत हमेशा रहेगी।
किसी तरह की एनॉमली का पता चलने पर एआई बैंक को अलर्ट कर देगा। उसके बाद वहां बैठे व्यक्ति को लगता है कि ट्रांजैक्शन सही है तो वह उसे पूरा करने की अनुमति देगा। अगर ग्राहक के खाते से किसी अस्पताल में भुगतान किया जा रहा है तो शायद वह महत्वपूर्ण ट्रांजैक्शन होगा। लेकिन अगर किसी पीओएस पर बड़ी रकम के ट्रांजैक्शन से पहले जरूरी वेरिफाई किया जा सकता है। अंतिम निर्णय लेने में तो ह्यूमन नॉलेज ही काम आएगा। लेकिन इस नॉलेज को बैकअप करने के लिए डेटा एआई उपलब्ध कराता है। व्यक्ति के लिए हर ट्रांजैक्शन की जांच करना संभव नहीं होगा। इसमें एआई मदद करेगा और कुछ एनॉमली है तो वह बताएगा।
-साइबर सिक्युरिटी के क्षेत्र में जो नए प्रोफेशनल्स आ रहे हैं, भविष्य के जोखिम को देखते हुए आप उन्हें क्या सुझाव देंगी?
कंप्यूटर साइंस की जानकारी होना तो बेसिक है। मैथ्स, कंप्यूटिंग, एल्गोरिद्म, डेटा स्ट्रक्चर आदि की अच्छी समझ होनी चाहिए। इस डोमेन में लगातार होने वाले डेवलपमेंट की जानकारी भी होनी चाहिए। यह पता होना चाहिए कि विभिन्न अटैक के लिए किस तरह के सॉल्यूशन डेवलप किए जा रहे हैं। इससे आगे चलकर मदद मिलेगी।
कुछ वस्तुओं पर ऊंची टैक्स दर से अवैध बाजार को मिला बढ़ावा, GST 2.0 से इसमें आएगी कमीः फिक्की रिपोर्ट
मैन्युफैक्चरिंग और सर्विसेज में श्रेष्ठता के लिए AI का टार्गेटेड उपयोग जरूरीः नीति आयोग
.jpg)
.jpg)
कमेंट्स
सभी कमेंट्स (0)
बातचीत में शामिल हों
कृपया धैर्य रखें।