तकनीकी डेस्क: आजकल हर बिजनेस को साइबर सिक्योरिटी (cyber security) की टेंशन रहती है. कंपनी का डेटा सुरक्षित रहे, इसके लिए लाखों-करोड़ों रुपए खर्च किए जाते हैं. नई-नई टेक्नोलॉजी आती है, तो उसे रोकने के लिए नए सिक्योरिटी टूल (security tool) खरीद लिए जाते हैं. लगता है कि भैया, चलो, अब सब ठीक है. लेकिन क्या आपने कभी सोचा है कि इतना खर्च करने के बाद भी आपकी कंपनी की सुरक्षा में कोई बड़ी चूक हो रही हो? मतलब, आप पहरा किसी और गेट पर दे रहे हों और चोर दूसरे दरवाज़े से अंदर आ रहे हों.
असल में, होता ये है कि जब भी कोई नया सिक्योरिटी गैप (security gap) दिखता है, तो कंपनियों का पहला रिएक्शन (reaction) होता है एक नया एजेंट (agent), एक नया गेटवे (gateway) या फिर एक नई मॉनिटरिंग लेयर (monitoring layer) लगा देना. सुनने में तो ये बड़ा समझदारी भरा फैसला लगता है, लेकिन सालों-साल ऐसे ही करते-करते ये सिक्योरिटी लेयर्स (security layers) इतनी बढ़ती चली जाती हैं कि किसी भी कंपनी के लिए सिक्योरिटी को मैनेज करना सबसे मुश्किल और महंगा काम बन जाता है.
कुल मिलाकर नतीजा ये होता है कि आपके पास एक ऐसा बिखरा हुआ सिक्योरिटी सिस्टम (fragmented security stack) बन जाता है, जिसके लिए आपको मोटी फीस चुकानी पड़ती है, जिसे मैनेज करना सिरदर्द होता है, और जिसे बोर्ड मीटिंग (board meeting) में सही साबित करना और भी मुश्किल. सिक्योरिटी टीम्स को लगता है कि उन्होंने सब कवर कर लिया, लेकिन असल में उनके पास कई ओवरलैपिंग कंट्रोल्स (overlapping controls) होते हैं, इंटीग्रेशन (integration) की परेशानियाँ होती हैं और यूज़र एक्सपीरियंस (user experience) भी खराब होता है.
और सबसे बुरी बात ये है कि ये सारा भारी-भरकम सिस्टम शायद गलत दिशा में ही इशारा कर रहा हो.
आखिर ऐसा क्यों हो रहा है और काम कहां बदल गया?
अगर आज के दौर में देखें, तो ज़्यादातर नॉलेज वर्कर्स (knowledge workers) के लिए उनका पूरा काम ब्राउज़र (browser) में ही शुरू होता है और वहीं खत्म भी हो जाता है. कस्टमर रिलेशनशिप मैनेजमेंट (CRM) से लेकर ईमेल (email) तक, एंटरप्राइज़ एप्लिकेशन्स (enterprise applications) की एक बढ़ती हुई संख्या ब्राउज़र टैब (browser tab) के ज़रिए ही इस्तेमाल की जाती है.
इसमें अब जेनेरेटिव एआई टूल्स (generative AI tools) का तेजी से बढ़ता इस्तेमाल भी जुड़ गया है, जिसका कर्मचारी रोज़ ड्राफ्टिंग (drafting), एनालिसिस (analysis) और वर्कफ्लो ऑटोमेशन (workflow automation) के लिए इस्तेमाल करते हैं. अब ब्राउज़र सिर्फ़ काम तक पहुंचने का दरवाज़ा नहीं रह गया है, बल्कि वो खुद ही हमारा वर्कस्पेस (workspace) बन गया है.
लेकिन दिक्कत ये है कि हमारी सिक्योरिटी आर्किटेक्चर (security architecture) इस बदलाव के साथ तालमेल बिठा नहीं पाई है. ज़्यादातर ऑर्गेनाइज़ेशन (organization) जिन कंट्रोल्स पर भरोसा करते हैं, वे एक अलग दौर के लिए डिज़ाइन किए गए थे.
वो दौर, जब सब कुछ कॉर्पोरेट नेटवर्क्स (corporate networks), मैनेज्ड डिवाइसेज (managed devices) और फ़ायरवॉल (firewall) के पीछे मौजूद एप्लिकेशन्स पर आधारित था. वो मॉडल सालों से अपने असली रूप में मौजूद नहीं है, फिर भी हमारी ट्रेडिशनल सिक्योरिटी स्ट्रेटेजीज (traditional security strategies) उसी पर टिकी हुई हैं.
तो फिर असली खतरा कहां है, और ब्लाइंड स्पॉट क्या है?
इस वजह से एक बड़ा 'ब्लाइंड स्पॉट' (blind spot) पैदा हो गया है. नेटवर्क और डिवाइस-लेवल कंट्रोल्स (device-level controls) सिर्फ़ ये तय कर सकते हैं कि किसी यूज़र को किसी एप्लीकेशन तक पहुंचने की परमिशन (permission) है या नहीं.
लेकिन एक बार जब यूज़र एप्लीकेशन के अंदर पहुंच जाता है, तो उसके बाद क्या होता है, ये कंट्रोलर्स देख ही नहीं पाते. आप शायद सोचें कि सब सुरक्षित है, लेकिन असल में, आपको पता ही नहीं चलता कि डेटा (data) कैसे एक्सेस (access) किया जा रहा है, उसे कैसे हैंडल (handle) किया जा रहा है, या फिर उसे किसी पर्सनल ईमेल (personal email) में कॉपी (copy) किया जा रहा है या किसी पब्लिक एआई टूल (public AI tool) में पेस्ट (paste) किया जा रहा है.
ये जानकारी, जो कि बेहद ज़रूरी है, सिक्योरिटी टीम तक पहुंच ही नहीं पाती, क्योंकि उनका सिस्टम सिर्फ़ 'दरवाज़े' तक ही सुरक्षा करता है, अंदर क्या हो रहा है, वो देख ही नहीं पाता. कंपनियों को अक्सर ये पता ही नहीं चलता कि उनका सबसे संवेदनशील डेटा (sensitive data) कैसे और कहां इस्तेमाल हो रहा है.
ये एक ऐसी बड़ी चूक है, जो किसी भी वक्त बड़े नुकसान का कारण बन सकती है.
ब्राउज़र क्यों बन गया है साइबर हमले का नया बड़ा ठिकाना?
आजकल ज़्यादातर कर्मचारी ऐसे कंज्यूमर ब्राउज़र्स (consumer browsers) का इस्तेमाल करते हैं, जिन्हें आम जनता के लिए डिज़ाइन किया गया है. उन्हें एंटरप्राइज़ (enterprise) के कड़े और खास ज़रूरतों के हिसाब से नहीं बनाया गया है.
यही वजह है कि ये ब्राउज़र्स साइबर अटैकर्स (cyber attackers) के लिए ‘सॉफ्ट टारगेट’ (soft target) बन गए हैं. इसे ऐसे समझिए, जैसे आपने घर के बाहर मजबूत ताला लगाया है, लेकिन अंदर की खिड़कियां खुली छोड़ दी हों.
ब्राउज़र, जो कि अब आपका मुख्य वर्कस्पेस है, वही अब प्राइमरी अटैक सरफेस (primary attack surface) बन गया है, जहां से डेटा लीक (data leak) या साइबर हमले का सबसे ज़्यादा ख़तरा होता है.
तो कुल मिलाकर कहानी ये है कि अब समय आ गया है कि सिक्योरिटी सिस्टम को वहां शिफ्ट किया जाए, जहां असल में काम होता है और जहां असली खतरा है—यानी ब्राउज़र में. पुरानी रणनीतियों को छोड़कर, हमें एक नई, स्मार्ट सिक्योरिटी अप्रोच (smart security approach) की ज़रूरत है, जो आज के डिजिटल वर्कफ्लो (digital workflow) और चुनौतियों को समझ सके.
नहीं तो, यह 'गलत दरवाज़े की रखवाली' वाली कहानी कंपनियों को बहुत महंगी पड़ सकती है.



































