सरकार ने साइबर सुरक्षा एजेंसी सीईआरटी-इन को सूचना के अधिकार के दायरे से बाहर किया

भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) हैकिंग और फिशिंग जैसे साइबर सुरक्षा ख़तरों से निपटने का काम करती है. यह क़दम एप्पल के सिक्योरिटी नोटिफिकेशन और लगातार रिपोर्ट किए जा रहे नए डेटा उल्लंघनों एवं सुरक्षा संबंधी घटनाओं के बीच उठाया गया है. विशेषज्ञों ने कहा कि अब इस संगठन से पारदर्शिता की मांग करना और कठिन हो जाएगा.

नई दिल्ली: केंद्र ने हैकिंग और फिशिंग जैसे साइबर सुरक्षा खतरों से निपटने के लिए राष्ट्रीय नोडल एजेंसी ‘भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम’ (सीईआरटी-इन ∼ CERT-In) को सूचना का अधिकार अधिनियम, 2005 के दायरे से छूट दे दी है.

इंडियन एक्सप्रेस के मुताबिक, कार्मिक एवं प्रशिक्षण विभाग (डीओपीटी) की ओर से बीते गुरुवार (23 नवंबर) को इस आशय की अधिसूचना जारी की गई.

केंद्र ने सीईआरटी-इन को पारदर्शिता कानून के दायरे से छूट देने के लिए आरटीआई अधिनियम की धारा 24 की उप-धारा (2) के तहत दी गईं अपनी शक्तियों का उपयोग किया है. उन शक्तियों का उपयोग करते हुए केंद्र ने आरटीआई अधिनियम की दूसरी अनुसूची में क्रम संख्या 27 पर सीईआरटी-इन को शामिल किया है.

सीईआरटी-इन इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय के अंतर्गत आता है. इस साल मार्च में इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी राज्य मंत्री राजीव चंद्रशेखर ने राज्यसभा को सूचित किया था कि आरटीआई अधिनियम से सीईआरटी-इन को छूट पर चर्चा के लिए ‘अंतर-विभागीय परामर्श की प्रक्रिया’ जारी है.

आरटीआई अधिनियम की दूसरी अनुसूची में शामिल होने के साथ ही सीईआरटी-इन अब 26 अन्य खुफिया और सुरक्षा संगठनों की सूची में शामिल हो गया है, जिन्हें पहले से ही अधिनियम के दायरे से छूट दी गई है.

आरटीआई कानून केंद्र सरकार को उसके द्वारा स्थापित किसी अन्य खुफिया या सुरक्षा संगठन को इसमें शामिल करने या इसमें पहले से निर्दिष्ट किसी संगठन को हटाकर दूसरी अनुसूची में डालने का अधिकार देता है.

केंद्र आधिकारिक राजपत्र में एक अधिसूचना के माध्यम से दूसरी अनुसूची में संशोधन कर सकता है. आरटीआई अधिनियम की धारा 24 की उपधारा 4 के तहत राज्य सरकार को भी ऐसी ही शक्तियां दी गई हैं.

वहीं, द वायर की एक रिपोर्ट के मुताबिक, यह कदम एप्पल के सिक्योरिटी नोटिफिकेशन और हर हफ्ते रिपोर्ट किए जा रहे नए डेटा उल्लंघनों एवं सुरक्षा संबंधी घटनाओं की सीईआरटी-इन की सक्रिय जांच के बीच उठाया गया है. साइबर सुरक्षा नियामक के रूप में सीईआरटी-एन गैर-निष्पादित रहा है और अब आरटीआई के तहत छूट के साथ ही पहले से ही गुप्त इस संगठन से पारदर्शिता की मांग करना और भी कठिन हो जाएगा.

इस सप्ताह कई साइबर सुरक्षा घटनाएं देखी गईं, जिनमें एक अज्ञात अधिकारी ने इंडियन एक्सप्रेस को एप्पल संबंधी सुरक्षा घटनाओं के बारे में अपडेट देते हुए दावा किया कि यह संभवत: एक वायरस था, जो एप्पल के सिक्योरिटी नोटिफिकेशन के पीछे का कारण था.

सीईआरटी-इन के पास इस दावे को लेकर कोई तर्क या सबूत नहीं है. इसने अतीत में भी कभी कोई फोरेंसिक रिपोर्ट साझा नहीं की है. आरटीआई से छूट के कारण अब लोगों के लिए सीईआरटी-इन से इस संबंध में दस्तावेज की मांग करना भी कठिन हो गया है.

अतीत में लगातार रिपोर्ट किए गए डेटा उल्लंघनों की बात करें तो सीईआरटी-इन साइबर सुरक्षा घटनाओं पर प्रतिक्रिया देने को लेकर कभी भी गंभीर नहीं था.

इकोनॉमिक टाइम्स की एक रिपोर्ट में दावा किया गया है कि ताज होटल्स को 15 लाख ग्राहकों से संबंधित डेटा उल्लंघन का सामना करना पड़ा है, जिसमें धमकी देने वाले ने ब्रीचफोरम (एक डार्क वेब मार्केटप्लेस) पर बिक्री के लिए डेटा डालने की बात कही है.

सीईआरटी-इन को इस घटना के बारे में अवगत करा दिया गया, लेकिन इस सुरक्षा घटना से निपटने के लिए यह क्या करता है, अज्ञात ही रहेगा, बिल्कुल उसी तरह जैसे पिछले डेटा उल्लंघनों में भी इसने कभी कोई प्रतिक्रिया नहीं दी.

इन सभी घटनाओं के बीच कोई और भी है जो वित्त मंत्रालय के वेब सर्वर तक पिछले दरवाजे से पहुंच (एक्सेस) बेचने का दावा कर रहा है. डेली डार्क वेब द्वारा साझा किए गए एक स्क्रीनशॉट में लिनक्स सर्वर और भंडारण क्षमता के विवरण के साथ 2,500 डॉलर में इसकी पहुंच बेचते हुए दिखाया गया है. हालांकि, वेब पर विभिन्न बाजारों में कई उल्लंघनों की सूचना है, लेकिन सीईआरटी-इन इन घटनाओं का जवाब देने में सक्रियता नहीं दिखा रहा है.

#India 🇮🇳 – Allegedly, Unauthorized access to Ministry of Finance (India) is on sale

Price: $2500#DarkWeb #access pic.twitter.com/V8FuuYIr3d

— Daily Dark Web (@DailyDarkWeb) November 22, 2023

भले ही सीईआरटी-इन का इरादा इन घटनाओं पर प्रतिक्रिया देने का हो, लेकिन इसके पास ऐसा करने में मदद करने के लिए न तो संसाधन हैं और न ही कर्मचारी. क्योंकि सीईआरटी-इन साइबर सुरक्षा एजेंसियों को सूचीबद्ध करके उद्योग को नियंत्रित करता है, सभी साइबर सुरक्षा विशेषज्ञता निजी क्षेत्र के पास है. लोगों को काम पर रखने के लिए पर्याप्त धन नहीं होने के कारण, यह उन लोगों और उपकरणों को भी प्राप्त करने में असमर्थ है, जिनकी उसे जरूरत है.

हाल ही में एक संगठन ने सीईआरटी-इन के पैनलबद्ध दिशानिर्देशों और प्रक्रिया में पारदर्शिता की कमी के खिलाफ दिल्ली हाईकोर्ट का दरवाजा खटखटाया गया था. अदालत ने इसे यह कहकर खारिज कर दिया था कि वह इस बेहद तकनीकी प्रक्रिया में नहीं पड़ सकती है.