एंथ्रोपिक के क्लॉड मिथोस पर सरकार की तरफ से पहली आधिकारिक प्रतिक्रिया आ गई है। इसके तहत भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया दल (सर्ट-इन) ने एक व्यापक दिशानिर्देश जारी किए हैं जिनका उद्देश्य कंपनियों को ‘अत्याधुनिक एआई (आर्टिफिशल इंटेलिजेंस) प्रणालियों’ से पेश आने वाले व्यवधानों से निपटने के तैयार करना है।
रविवार देर रात जारी की गई यह नई सलाह वित्त मंत्री निर्मला सीतारमण और अन्य वरिष्ठ सरकारी अधिकारियों की विभिन्न सरकारी प्रणालियों की वित्तीय सुरक्षा पर क्लॉड मिथोस के प्रभाव पर चर्चा करने के लिए हुई बैठक के कुछ दिनों बाद आई है। इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के अधीन काम करने वाली सर्ट-इन साइबर सुरक्षा से संबंधित सभी मामलों के लिए सरकार की नोडल एजेंसी है।
सर्ट-इन ने चेतावनी दी है कि क्लॉड मिथोस जैसे सामान्य-उद्देश्य लैंग्वेज मॉडल में नवीनतम विकास साइबर क्षमताओं में बड़ा इजाफा होने का संकेत देते हैं। इनमें व्यापक रूप से उपयोग किए जाने वाले सॉफ्टवेयर में सुरक्षा कमजोरियों का स्वतः पता लगाने, स्रोत कोड का विश्लेषण करने और योजना बनाने की क्षमता शामिल है और कई चरणों वाले हमलों को एक साथ अंजाम दे सकते हैं।
सर्ट-इन ने कहा है कि ये अत्याधुनिक एआई सिस्टम इन गतिविधियों को ‘ऐसी गति और उस स्तर पर अंजाम देते हैं जिसके लिए पहले कुशल मानव विशेषज्ञों की टीमों की आवश्यकता होती थी’। सर्ट-इन ने कहा,‘ऐसा लग रहा है कि निकट भविष्य में ऐसी उन्नत साइबर क्षमताओं वाले एआई सिस्टम उभरते और विकसित होते रहेंगे।
हालांकि, रक्षात्मक अनुप्रयोगों के लिए इनमें संभावनाएं हैं मगर इनके दोहरे उपयोग का मतलब है कि संगठनों को अधिक जोखिमों का सामना करना पड़ता है। ऐसी क्षमताओं के साथ गलत मंशा वाले साइबर हमलावर अधिक सक्रिय हो सकते हैं। वे हमले को तेजी से अंजाम देने और साइबर अभियानों को बड़े पैमाने पर चलाने के लिए इन क्षमताओं का इस्तेमाल कर सकते हैं।’
क्लॉड मिथोस जैसे अत्याधुनिक मॉडलों से उत्पन्न चुनौतियों का सामना करने के लिए सर्ट-इन ने सुझाव दिया है कि कंपनियों के साथ-साथ सूक्ष्म, लघु एवं मध्यम उद्यमों (एमएसएमई) को भी उच्च स्तर की सतर्कता बरतनी चाहिए, खतरों की निगरानी लगातार करनी चाहिए और सभी प्रणालियों की समीक्षा करनी चाहिए।
सर्ट-इन ने सलाह दी है कि सभी कंपनियों को अपने तंत्र (सिस्टम) के भीतर इंटरनेट के माध्यम से सार्वजनिक होने वाले संभावित जोखिम कम करना चाहिए और अनावश्यक पोर्ट और प्रोटोकॉल को निष्क्रिय कर देना चाहिए। इसके अलावा, किसी भी कंपनी को अगर व्यापक रूप से उपयोग किए जाने वाले सिस्टम या सॉफ्टवेयर में कोई गंभीर खामी मिलती है तो उन्हें यह सोचकर सतर्क हो जाना चाहिए कि इसका बेजा फायदा कोई तुरंत उठा सकता है।’
संगठन के स्तर पर हमलों को रोकने के लिए सर्ट-इन ने यह भी सुझाव दिया है कि कंपनियों को अपने डिजिटल तंत्र एवं ढांचे को ‘छोटे, अलग-अलग खंडों में विभाजित करना चाहिए ताकि नेटवर्क के एक हिस्से में सेंध लगाने वाला हमलावर आसानी से दूसरे हिस्सों तक न पहुंच पाए’।
सर्ट-इन ने अपनी सलाह में कहा,‘पुराने वीपीएन उपकरणों जैसे पुराने रिमोट-एक्सेस सिस्टम की समीक्षा करें और उन्हें सुरक्षित बनाएं या बदलें। हमलावरों द्वारा इनका बार-बार सेंध लगाने के लिए इस्तेमाल किया गया है और ये स्वचालित उपकरणों के लिए विशेष रूप से आकर्षक हैं। इस बात का पूरा ख्याल रखा जाना चाहिए कि कोई भी उत्पादन प्रणाली सार्वजनिक इंटरनेट पर तब तक नजर न आए जब तक ऐसा करना निहायत जरूरी न हो।’
ओपन-सोर्स सॉफ्टवेयर के जरिये हमलावरों द्वारा सिस्टम में सेंध लगाने की घटनाएं रोकने के लिए सरकार की नोडल साइबर सुरक्षा एजेंसी ने कंपनियों और एमएसएमई से ओपन-सोर्स सॉफ्टवेयर घटकों की नियमित समीक्षा और पैचिंग करने को कहा है। सर्ट-इन ने आगाह किया है कि साइबर सुरक्षा के तहत कंपनियों को ऐसे स्वचालित उपकरणों के अनधिकृत उपयोग को रोकने के लिए ज्ञात एआई सेवाओं के सभी आउटबाउंड नेटवर्क ट्रैफिक की निगरानी रखने के साथ उसे प्रतिबंधित करना होगा।
इसके अलावा, कंपनियों और एमएसएमई को अपनी आंतरिक सुरक्षा टीमों को यह पता लगाने के लिए प्रशिक्षित करना चाहिए कि एआई से लैस हमलावर कैसे काम करते हैं ताकि तत्काल कदम उठाए जा सकें।
सर्ट-इन ने कहा है,‘सभी कर्मचारियों को इंटरनेट पर जालसाजों से बचने को लेकर प्रशिक्षित किया जाना चाहिए और इसे लेकर उनमें जागरूकता बढ़ाई जानी चाहिए। मान्यता प्राप्त उद्योग प्रमाणपत्रों के माध्यम से कर्मचारियों के निरंतर कौशल विकास में निवेश पर ध्यान दिया जाना चाहिए। एआई सुरक्षा के लिए एक आंतरिक कम्युनिटी ऑफ प्रैक्टिस अमल में लाएं और प्रत्येक व्यावसायिक इकाई में एआई सुरक्षा में दक्ष लोगों की नियुक्त करें।’
