(प्रारंभिक परीक्षा : समसामयिक घटनाक्रम)
(मुख्य परीक्षा, सामान्य अध्ययन प्रश्नपत्र- 3: बुनियादी ढाँचाः ऊर्जा, बंदरगाह, सड़क, विमानपत्तन, रेलवे, संचार आदि) |
संदर्भ
- केंद्र सरकार स्मार्टफोन उपकरणों के लिए इंडियन टेलीकॉम सिक्योरिटी एश्योरेंस रिक्वायरमेंट्स (ITSAR) को कानूनी रूप से अनिवार्य बनाने पर विचार कर रही है। प्रस्ताव के तहत 83 सुरक्षा मानकों का पालन जरूरी होगा, जिनमें सोर्स कोड साझा करना, सॉफ्टवेयर पर नियंत्रण और उपयोगकर्ता अनुमतियों से जुड़े नियम शामिल हैं।
- इस कदम का एप्पल (भारत में लगभग 5% बाजार हिस्सेदारी), सैमसंग (करीब 15%), गूगल एवं शाओमी (लगभग 19%) जैसी वैश्विक स्मार्टफोन कंपनियों ने विरोध किया है। उनका तर्क है कि कई प्रावधानों की कोई अंतर्राष्ट्रीय मिसाल नहीं है और ये उनकी मालिकाना तकनीकों को जोखिम में डालते हैं।
पृष्ठभूमि
- करीब 75 करोड़ उपयोगकर्ताओं के साथ भारत दुनिया का दूसरा सबसे बड़ा स्मार्टफोन बाजार है।
- सरकार ऑनलाइन ठगी, साइबर अपराध और डेटा लीक की बढ़ती घटनाओं को देखते हुए डिवाइस-स्तर पर सुरक्षा मजबूत करना चाहती है।
- ये प्रस्ताव प्रधानमंत्री की डिजिटल सुरक्षा और डेटा संप्रभुता से जुड़ी व्यापक सोच के अनुरूप माने जा रहे हैं।
|
जानने योग्य
- भारतीय दूरसंचार नेटवर्क में किसी नेटवर्क एलिमेंट को सुरक्षित रूप से जोड़ने के उद्देश्य से नेशनल सेंटर फॉर कम्युनिकेशन सिक्योरिटी (NCCS) की स्थापना की गई।
- यह भारत सरकार के संचार मंत्रालय के अंतर्गत दूरसंचार विभाग (DoT) की एक इकाई है।
- भारत प्रत्येक दूरसंचार नेटवर्क एलिमेंट के लिए विशिष्ट दूरसंचार सुरक्षा आवश्यकताओं को निर्धारित करता है, जिन्हें इंडियन टेलीकॉम सिक्योरिटी एश्योरेंस रिक्वायरमेंट्स (ITSAR) कहा जाता है।
- जो भी दूरसंचार नेटवर्क एलिमेंट संबंधित ITSAR का अनुपालन करता है, उसे इस दस्तावेज़ में निर्दिष्ट विभिन्न श्रेणियों के क्रिप्टोग्राफिक नियंत्रणों को अपनाना अनिवार्य होगा। जिसमें शामिल हैं-
- सममित कुंजी एन्क्रिप्शन व डिक्रिप्शन
- असममित कुंजी एन्क्रिप्शन व डिक्रिप्शन
- डिजिटल हस्ताक्षर व हैशिंग
- नेटवर्क एलिमेंट में TCP/IP या OSI स्टैक की प्रत्येक परत पर प्रयुक्त सभी सुरक्षित प्रोटोकॉल या सेवाएँ, जैसे- नेटवर्क लेयर पर IPSec, ट्रांसपोर्ट/सेशन लेयर पर TLS/SSL/DTLS तथा एप्लिकेशन लेयर पर SSH, SNMP, Diameter, HTTPS आदि इस दस्तावेज़ में निर्दिष्ट क्रिप्टोग्राफिक नियंत्रणों की सूची को ही सख्ती से लागू करेंगी।
|
प्रस्तावित सुरक्षा मानकों के मुख्य बिंदु
सोर्स कोड साझा करने की शर्त
- निर्माताओं को अपने स्वामित्व वाले सोर्स कोड को सरकारी मान्यता प्राप्त प्रयोगशालाओं में जांच एवं कमजोरियों के विश्लेषण के लिए सौंपना होगा। इसका उद्देश्य संभावित बैकडोर और प्रणालीगत खामियों की पहचान करना है।
- मैन्युफैक्चरर्स एसोसिएशन फॉर इंफॉर्मेशन टेक्नोलॉजी (MAIT) का कहना है कि कॉरपोरेट गोपनीयता और निजता मानकों के चलते यह व्यवहारिक नहीं है। यूरोपीय संघ, उत्तरी अमेरिका, ऑस्ट्रेलिया या अफ्रीका में इस तरह की कोई बाध्यता नहीं है।
बैकग्राउंड परमिशन पर रोक
- ऐप्स को पृष्ठभूमि में कैमरा, माइक्रोफोन या लोकेशन तक पहुंच की अनुमति नहीं होगी। इन अनुमतियों के सक्रिय रहते समय स्टेटस बार में लगातार चेतावनी दिखाना अनिवार्य होगा।
- आपत्ति: इसका कोई वैश्विक उदाहरण या मानकीकृत परीक्षण प्रक्रिया उपलब्ध नहीं है।
अनुमति समीक्षा के लिए अलर्ट
डिवाइस समय-समय पर उपयोगकर्ताओं को ऐप अनुमतियों की समीक्षा करने के लिए सूचित करेगा। वस्तुतः उद्योग जगत का सुझाव है कि ऐसे अलर्ट केवल ‘अत्यधिक महत्वपूर्ण’ अनुमतियों तक सीमित हों, ताकि उपयोगकर्ताओं पर अनावश्यक बोझ न पड़े।
एक साल तक लॉग संग्रह
फोन में लॉग-इन, ऐप इंस्टॉलेशन जैसी सुरक्षा ऑडिट से जुड़ी जानकारी 12 महीनों तक सहेजकर रखनी होगी। उद्योग जगत की चिंता है कि इससे उपभोक्ता उपकरणों में स्टोरेज क्षमता सीमित होती है।
नियमित मैलवेयर जांच
स्वचालित और अनिवार्य मैलवेयर स्कैनिंग का प्रावधान है। इसको लेकर चिंता है कि इससे बैटरी की खपत बढ़ सकती है और डिवाइस की कार्यक्षमता धीमी हो सकती है।
प्री-इंस्टॉल्ड ऐप्स हटाने की अनिवार्यता
सभी गैर-जरूरी प्री-इंस्टॉल्ड ऐप्स को हटाने योग्य बनाना होगा। हालाँकि, कंपनियों का कहना है कि कई ऐप्स सिस्टम के अनिवार्य हिस्से होते हैं।
सॉफ्टवेयर अपडेट की पूर्व सूचना
बड़े अपडेट या सुरक्षा पैच जारी करने से पहले निर्माताओं को नेशनल सेंटर फॉर कम्युनिकेशन सिक्योरिटी को सूचित करना होगा। उद्योग जगत का तर्क है कि जीरो-डे खामियों के समय यह प्रक्रिया अव्यावहारिक हो सकती है और देरी से उपयोगकर्ता सक्रिय साइबर खतरों के संपर्क में आ सकते हैं।
छेड़छाड़ की पहचान (रूटिंग/जेलब्रेकिंग)
डिवाइस को रूटिंग या जेलब्रेकिंग जैसी गतिविधियों का पता लगाकर लगातार चेतावनी दिखानी होगी। उद्योग जगत की आपत्ति है कि कोई सार्वभौमिक और भरोसेमंद पहचान तंत्र अभी मौजूद नहीं है।
एंटी-रोलबैक सुरक्षा
पुराने सॉफ्टवेयर संस्करणों की स्थापना को रोकना होगा, चाहे वे निर्माता द्वारा प्रमाणित ही क्यों न हों। हालाँकि, इसका कोई अंतरराष्ट्रीय मानक नहीं है और इससे वैध उपयोग के मामलों पर असर पड़ सकता है।
प्रमुख चुनौतियाँ और आगे की राह
- डेटा सुरक्षा बनाम स्वामित्व अधिकार: व्यापारिक गोपनीयता के उजागर होने का खतरा है। सभी पर समान नियम थोपने के बजाय महत्वपूर्ण जोखिमों पर केंद्रित विनियमन जरूरी है।
- अंतरराष्ट्रीय मिसालों का अभाव: नियामक अतिरेक की आशंका है। OECD व यूरोपीय संघ के साइबर सुरक्षा ढांचे के अनुरूप वैश्विक सर्वोत्तम प्रथाओं को अपनाने की जरूरत है।
- ईज़ ऑफ डूइंग बिजनेस पर असर: अनुपालन लागत निवेश को हतोत्साहित कर सकती है। सुरक्षा अपडेट के लिए समयबद्ध मंजूरी व्यवस्था सुनिश्चित की जानी चाहिए। साथ ही, डिवाइस-स्तर उपायों के साथ उपयोगकर्ता जागरूकता बढ़ाना भी आवश्यक है।
- व्यावहारिक दिक्कतें: अपडेट में देरी, बैटरी खपत और स्टोरेज की अपनी सीमाएँ हैं। सीधे सोर्स कोड साझा कराने के बजाय स्वतंत्र तृतीय-पक्ष ऑडिट एक विकल्प हो सकता है।
- नवाचार पर प्रभाव: अत्यधिक नियमन से अनुसंधान एवं विकास गतिविधियाँ प्रभावित हो सकती हैं। राष्ट्रीय सुरक्षा, निजता व नवाचार के बीच संतुलन बनाए रखना जरूरी है।
निष्कर्ष
प्रस्तावित ITSAR ढांचा भारत की तेजी से डिजिटल होती अर्थव्यवस्था में साइबर सुरक्षा, डेटा संरक्षण और राष्ट्रीय सुरक्षा से जुड़ी वास्तविक चिंताओं को दर्शाता है। हालाँकि, वैश्विक मिसाल के बिना सोर्स कोड खुलासे जैसे कठोर उपाय लागू करना नवाचार, भरोसे व बाजार प्रतिस्पर्धा को कमजोर कर सकता है। यद्यपि उपयोगकर्ताओं की सुरक्षा सुनिश्चित करते हुए भारत को एक प्रमुख डिजिटल और विनिर्माण केंद्र बनाए रखने के लिए परामर्श-आधारित, संतुलित और अंतरराष्ट्रीय मानकों से सामंजस्यपूर्ण दृष्टिकोण अपनाना आवश्यक होगा।
Contact Us 
New Batch : 9555124124/ 7428085757 
Tech Support : 9555124124/ 7428085757
