भारत तेजी से डिजिटलीकरण कर रहा है। रास्ते में अच्छी और बुरी चीजें, गति-अवरोधक और सावधान रहने योग्य चेतावनियां हैं। साप्ताहिक स्तम्भ टर्मिनल उन सभी चीजों पर ध्यान केंद्रित करता है जो जुड़ी हुई हैं और जो नहीं हैं – भारत और दुनिया में बातचीत पर हावी होने वाले डिजिटल मुद्दों, नीति, विचारों और विषयों पर।
कॉरपोरेट मामलों के मंत्रालय (एमसीए) पोर्टल, जिसका उपयोग कंपनियों द्वारा कंपनी अधिनियम के तहत अनुपालन गतिविधियों को दर्ज करने के लिए किया जाता है, में पिछले वर्ष के दौरान कई सॉफ्टवेयर गड़बड़ियां होने की सूचना मिली है। मुद्दों की श्रृंखला में नवीनतम एक सुरक्षा बग है जहां रतन टाटा, मुकेश अंबानी, गौतम अडानी, विराट कोहली और शाहरुख खान जैसे उद्योगपतियों और मशहूर हस्तियों सहित प्रत्येक कंपनी के निदेशक का आधार-आधारित केवाईसी (अपने ग्राहक को जानें) विवरण शामिल है। बिना अनुमति के पहुंच योग्य थे।
हैकक्रू के सुरक्षा शोधकर्ता साई कृष्णा कोथापल्ली ने एक प्रकाशित किया प्रतिवेदन सुरक्षा मुद्दे का विवरण प्रकट करना। रिपोर्ट में खुलासा किया गया कि कैसे भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) को इसकी सूचना दिए जाने के 11 महीने बाद ही समस्या को ठीक कर लिया गया।
बाजार गतिविधियों के हिस्से के रूप में, किसी भी कंपनी की गतिविधि से संबंधित जानकारी व्यावसायिक लेनदेन और सत्यापन के लिए आम जनता को उपलब्ध कराई जाती है। एमसीए पोर्टल इस संबंध में एक महत्वपूर्ण कार्य करता है। यह इस जानकारी का प्रसार करता है.
कंपनी अधिनियम और धन शोधन निवारण अधिनियम (पीएमएलए) के तहत, किसी भी अवैध गतिविधियों में शामिल शेल कंपनियों के संचालन को रोकने के लिए केवाईसी मानदंड मौजूद हैं। इस केवाईसी जानकारी का एक हिस्सा सार्वजनिक रूप से उन लोगों के साथ साझा किया जाता है जो कंपनी या निदेशक के विवरण को सत्यापित करना चाहते हैं, जिनके साथ वे कंपनी अधिनियम के तहत एक व्यावसायिक अनुबंध में प्रवेश कर रहे हैं।
सुरक्षा रिपोर्ट में बताया गया है कि कैसे एमसीए पोर्टल पर उपलब्ध व्यक्तिगत जानकारी एमसीए द्वारा प्रकाशित की गई जानकारी से कहीं अधिक थी। रिपोर्ट में साझा किया गया डेटा मॉडल आधार संख्या, स्थायी खाता संख्या (पैन), मतदाता पहचान पत्र, पता, मोबाइल नंबर और ईमेल आईडी जैसे व्यक्तिगत विवरण दिखाता है। डेटा मॉडल में एमसीए द्वारा निर्दिष्ट आंतरिक झंडे शामिल हैं, जैसे कि कंपनी निदेशक की स्थिति, और भूत निदेशकों और फर्मों की तलाश के लिए क्या निदेशक का पता किसी अन्य निदेशक के साथ साझा किया गया है।
संशोधित डेटा मॉडल जिसमें रतन टाटा का व्यक्तिगत विवरण है।
यह घटना एक बार फिर दिखाती है कि कैसे केवाईसी प्रक्रिया के हिस्से के रूप में एकत्र किया जाने वाला आधार डेटा अक्सर लीक हो जाता है क्योंकि इसे एकत्र करने वाले संस्थान इस डेटा की सुरक्षा नहीं करते हैं। गुणवत्ता जांच और सुरक्षा ऑडिट के लिए जिम्मेदार संस्थान सॉफ्टवेयर परीक्षण और गुणवत्ता प्रमाणन (एसटीक्यूसी) और भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) हैं। ये दोनों ही इन मुद्दों पर प्रतिक्रिया देने में लगातार विफल रहे हैं। आधार के मामले में, इसका नियामक भारतीय विशिष्ट पहचान प्राधिकरण (यूआईडीएआई) भी आधार डेटा लीक करने वाले संस्थानों को विनियमित करने में लगातार विफल रहा है।
यह भी पढ़ें: भारतीयों के निजी डेटा में एक बार फिर सेंधमारी, लेकिन कोई संकेत नहीं कि खामियों को दूर किया जाएगा
आदर्श रूप से, सीईआरटी-इन को बताई गई सभी सुरक्षा कमजोरियों का जवाब देना होगा और उन्हें तुरंत संबोधित करना होगा। कुछ सुरक्षा कमजोरियों को रातों-रात ठीक करना कठिन होता है और उन्हें ठीक करने के लिए सुरक्षा पैच जारी करने में समय लगता है। इस मामले में, CERT-In को जनवरी 2023 में सुरक्षा मुद्दे के बारे में सूचित किया गया था। हालांकि इसने इस मुद्दे को चिह्नित किया, लेकिन इसे तुरंत ठीक नहीं किया। अब भी, क्या समस्या पूरी तरह से ठीक हो गई है यह अज्ञात है, क्योंकि CERT-In कोई फोरेंसिक विश्लेषण नहीं करता है, जिससे संभावित रूप से समस्या बनी रहेगी।
इस प्रक्रिया का विश्लेषण करने में सुरक्षा शोधकर्ता को जनवरी से दिसंबर 2023 तक 11 महीने लगे। विश्लेषण यह भी इंगित करता है कि CERT-IN के भीतर ऐसे मुद्दों को संबोधित करने की क्षमता की कमी है, भले ही उन्हें इसकी सूचना दी गई हो।
कोई भी सुरक्षा बग एक सॉफ्टवेयर बग है जिसे खराब सॉफ्टवेयर प्रोग्रामिंग और गुणवत्ता नियंत्रण के कारण पेश किया गया है। कंपनी सचिव और चार्टर्ड अकाउंटेंट आलोचना करते रहे हैं एमसीए पोर्टल पर बताया गया कि कैसे पोर्टल में कई सॉफ्टवेयर समस्याएं हैं और यह वास्तव में काम नहीं करता है। हालाँकि, इन सभी अन्य मुद्दों के साथ सुरक्षा का मुद्दा, कोई आश्चर्य की बात नहीं है। इस प्रक्रिया में संस्थागत जवाबदेही की कमी यह दर्शाती है कि कैसे सरकार के अंदर कोई भी सॉफ्टवेयर से संबंधित मुद्दों को गंभीरता से नहीं लेता है।
इस जानकारी की आर्थिक प्रकृति के कारण, कई कंपनियां और डेटा प्रदाता यह जानकारी एकत्र करते हैं और पहले से ही इस जानकारी के शीर्ष पर आर्थिक सेवाएं प्रदान कर रहे हैं। कंपनियों का एक संपूर्ण पारिस्थितिकी तंत्र है जो उद्यम पूंजीपतियों, निवेशकों, बैंकों, समाचार एजेंसियों और अन्य प्रतिस्पर्धियों जैसे बाजार अभिनेताओं को उत्पादों के रूप में कंपनी डेटा पर व्यावसायिक अलर्ट और परिवर्तन प्रदान करता है। जबकि ऐसी कंपनियां हैं जो केवल वही जानकारी प्रदान करती हैं जो सार्वजनिक रूप से एमसीए द्वारा साझा की जाती है, वहीं अन्य संस्थाएं भी हैं जो अतिरिक्त सेवा के रूप में निदेशकों के व्यक्तिगत विवरण, जैसे उनके फोन नंबर और ईमेल आईडी, साझा करती हैं।
इनमें से कुछ संगठनों या डेटा दलालों ने एमसीए पोर्टल में सुरक्षा बग के माध्यम से पहले ही इन कंपनियों और निदेशकों की आंशिक या पूरी जानकारी प्राप्त कर ली होगी। एमसीए वेबसाइट केवल बुनियादी जानकारी सार्वजनिक रूप से प्रकाशित करती है जब कोई उपयोगकर्ता निदेशक पहचान संख्या या उनके पैन को सत्यापित करना चाहता है। यह अत्यधिक जानकारी नहीं है और कंपनी अधिनियम इस जानकारी को सार्वजनिक करना अनिवार्य करता है। समस्या आधार, पैन, मोबाइल नंबर और ईमेल आईडी जैसी अतिरिक्त जानकारी को लेकर है, जो आमतौर पर प्रदान नहीं की जाती है।
एमसीए वेबसाइट पर रतन टाटा का निदेशक पहचान नंबर।
बड़े संगठन, जैसे सरकारी विभाग, कई नियामक गतिविधियों के लिए जानकारी एकत्र करते हैं और अक्सर ऐसा करना कानूनी रूप से आवश्यक होता है। इस मामले में, मंत्रालय को विभिन्न अनुपालन गतिविधियों के लिए जानकारी एकत्र करनी होती है, लेकिन समस्या यह है कि वे सूचना के प्रवाह को नियंत्रित करने में असमर्थ हैं, जो अस्वीकार्य है। राष्ट्रीय डेटा शेयरिंग और एक्सेसिबिलिटी नीति जैसी नीतियां सरकारी विभागों को डेटा प्रवाह के उचित प्रबंधन को सुनिश्चित करने के लिए अपने डेटासेट को खुली, साझा करने योग्य और प्रतिबंधित श्रेणियों में वर्गीकृत करने के लिए बाध्य करती हैं। दुर्भाग्य से, इस गतिविधि को सरकारी विभागों द्वारा बड़े पैमाने पर नजरअंदाज कर दिया गया है।
यह भी पढ़ें: डेटा गोपनीयता कानून के बिना, भारत को गैर-व्यक्तिगत डेटा के ‘अनामीकरण’ के खतरों पर विचार करना चाहिए
डिजिटल व्यक्तिगत डेटा संरक्षण अधिनियम 2023, जिसे अभी लागू किया जाना है, सरकारी विभागों को पूरी तरह से छूट देता है। इस छूट के बावजूद, इस मामले में सरकार को डेटा लीक के पैमाने की पहचान करने के लिए अभी भी फोरेंसिक विश्लेषण करना होगा।
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय ने एक राष्ट्रीय डेटा प्रशासन नीति के मसौदे की घोषणा की है, जिसमें एक भारतीय डेटा प्रबंधन कार्यालय को सरकार के साथ विभिन्न डेटासेट को वर्गीकृत करना था। हालाँकि, यह कार्यालय अभी तक स्थापित नहीं किया गया है, और प्रक्रिया अभी भी चल रही है। जब तक यह वर्गीकरण नहीं हो जाता, ये मुद्दे संभवतः बने रहेंगे।
दिलचस्प बात यह है कि वह रतन टाटा ही थे संपर्क किया 2010 में 2जी घोटाले के हिस्से के रूप में उनकी टेलीफोनिक बातचीत लीक होने के बाद सुप्रीम कोर्ट ने गोपनीयता विनियमन की मांग की। कई वर्षों के बाद भी, राज्य अभी भी यह पता लगा रहा है कि गोपनीयता के मौलिक अधिकार को कैसे लागू किया जाए।
श्रीनिवास कोडाली डिजिटलीकरण पर शोधकर्ता और हैक्टिविस्ट हैं।