हर साल के अंत में, फ़ोर्टिनेट अपनी वैश्विक ख़तरा परिदृश्य रिपोर्ट प्रकाशित करती है, जो साल भर की घटनाओं का सारांश प्रस्तुत करती है और आने वाले वर्ष के लिए साइबर सुरक्षा परिदृश्य का पूर्वानुमान लगाती है। इस साल, कंपनी ने अपना पहला वार्षिक CISO पूर्वानुमान पूरा किया, जो 2026 तक चलेगा।
एआई नवाचार को बढ़ावा देता है लेकिन इसमें जोखिम भी हैं
एआई लगभग हर व्यवसाय को बदल रहा है, न केवल कार्यों को स्वचालित करके, बल्कि निर्णय लेने के तरीके, मूल्य सृजन के तरीके और कंपनियों की प्रतिस्पर्धा के तरीके को भी बदलकर। ऐसा लगता है कि एआई के लाभों की कोई सीमा नहीं है, जिसमें नवाचार को बढ़ावा देने की इसकी क्षमता भी शामिल है।
व्यापक तकनीकी परिवर्तन पारंपरिक रूप से सूचना प्रौद्योगिकी (आईटी) टीमों के दायरे में रहे हैं। हालाँकि, जनरेटिव एआई (जेनएआई) की नई लहर तकनीक को बदल रही है, और विनिर्माण, बिक्री, वित्त और आईटी टीमों के हाथों में नियंत्रण दे रही है। हर विभाग प्रक्रियाओं को स्वचालित करके, मापनीयता में सुधार करके, बेहतर निर्णय लेने में सक्षम बनाकर और अधिक व्यक्तिगत ग्राहक अनुभव प्रदान करके दक्षता बढ़ाने के लिए एआई की शक्ति का लाभ उठा रहा है।
हालाँकि, यह परिवर्तन नए जोखिम भी लेकर आता है:
पारदर्शिता का अभाव: कई एआई मॉडल अपारदर्शी होते हैं, जिससे यह समझना कठिन हो जाता है कि सिस्टम किस प्रकार निर्णय लेता है, जिससे जवाबदेही और अनुपालन संबंधी चुनौतियां पैदा हो सकती हैं।
गोपनीयता और डेटा का दुरुपयोग: एआई के लिए क्लाउड एआई सिस्टम पर बड़े, अक्सर संवेदनशील डेटा सेट अपलोड करने की आवश्यकता होती है। यदि उपयोगकर्ताओं को जोखिमों के बारे में पर्याप्त रूप से शिक्षित नहीं किया जाता है, तो इससे संवेदनशील व्यक्तिगत जानकारी या बौद्धिक संपदा लीक हो सकती है, जिसके परिणामस्वरूप गोपनीयता का उल्लंघन या नियामक उल्लंघन हो सकता है।
सुरक्षा छेद
प्रतिकूल हमले: इनपुट डेटा (जैसे चित्र, पाठ, ऑडियो) में सूक्ष्म हेरफेर करके मॉडल को गलत भविष्यवाणियां करने के लिए प्रेरित करना।
मॉडल व्युत्क्रमण और निष्कर्षण: मॉडल क्वेरी से हमलावरों को संवेदनशील प्रशिक्षण डेटा को पुनः बनाने या मॉडल की प्रतिलिपि बनाने की अनुमति मिलती है, जैसे कि चेहरे की पहचान करने वाले एआई से अलग-अलग चेहरों को निकालना।
डेटा विषाक्तता: डेटा में हेरफेर करके उसे गलत पूर्वानुमान लगाने के लिए मजबूर करना।
त्वरित इंजेक्शन हमले: पाठ या वेब पेजों में छिपे निर्देशों को एम्बेड करके उन बाधाओं को दरकिनार कर देते हैं, जिनके कारण AI सिस्टम सुरक्षा नियमों को दरकिनार कर देता है या डेटा लीक कर देता है।
कमजोर पहचान और प्रमाणीकरण: एजेंट एआई कई एजेंटों को एक-दूसरे से पूछताछ करने, स्वायत्त, तर्कसंगत निर्णय लेने और विशिष्ट लक्ष्यों को प्राप्त करने के लिए कार्रवाई करने में सक्षम बना सकता है, अक्सर मानवीय हस्तक्षेप के बिना।
हानिकारक उद्देश्यों के लिए AI का उपयोग
गलत सूचना और डीपफेक सेवाएँ। लोगों को अनावश्यक रूप से प्रभावित करने के लिए गलत सूचना के इस्तेमाल के कई मामले सामने आए हैं, खासकर ब्रिटेन की ब्रेक्सिट प्रक्रिया के दौरान। ओपनएआई DALL-E और सोरा 2 जैसी सेवाओं के साथ एआई की शक्ति इसे अगले स्तर पर ले गई है, जिससे ऐसी ऑडियो, छवि और वीडियो फ़ाइलें बनाना आसान हो जाता है जो वास्तविक से लगभग अप्रभेद्य होती हैं।
भविष्यवाणी: डीपफेक सेवाएँ व्यावसायिक ईमेल समझौता और सोशल इंजीनियरिंग को अगले स्तर पर ले जाएँगी। 2024 और 2025 में, हमने फ़िशिंग ईमेल की गुणवत्ता में एक उल्लेखनीय बदलाव देखा, जिसमें AI सावधानीपूर्वक तैयार किए गए, अत्यधिक लक्षित ईमेल बना रहा है, जिनका पता लगाना लगातार मुश्किल होता जा रहा है।
ब्लैकमेल के प्रयासों में एआई-जनरेटेड ऑडियो का इस्तेमाल पहले ही देखा जा चुका है, लेकिन 2026 तक, संगठनों को व्यावसायिक ईमेल समझौता, फ़िशिंग और अन्य लक्षित हमलों के लिए इस्तेमाल की जाने वाली ऑडियो और वीडियो सामग्री के बड़े पैमाने पर हमले का सामना करना पड़ सकता है। अगर इतने सारे लोग टेक्स्ट मैसेज हमलों का शिकार हुए हैं, जिससे अरबों डॉलर का नुकसान हुआ है, तो कल्पना कीजिए कि कितने लोग सीईओ के फ़ोन कॉल या वीडियो कॉल में पैसे ट्रांसफर करने के लिए धोखा खाएँगे।
फोर्टिनेट का अनुमान है कि आने वाले वर्ष में कई उच्च-स्तरीय और उच्च-मूल्य वाले हमलों के साथ व्यावसायिक ईमेल फ़िशिंग और अन्य घोटालों के मूल्य में बड़ी वृद्धि होगी।
पूर्व नियोजित हमले
2024 और 2025 में संवेदनशील डेटा चुराने और संगठनात्मक नेटवर्क में गुप्त उपस्थिति बनाए रखने के उद्देश्य से राष्ट्र-राज्यों की गतिविधियों में उल्लेखनीय वृद्धि देखी जाएगी। दुनिया भर में मौजूदा भू-राजनीतिक तनावों के साथ, फ़ोर्टिनेट का अनुमान है कि 2026 में यह गतिविधि और बढ़ जाएगी क्योंकि राष्ट्र-राज्य वैश्विक पारिस्थितिकी तंत्र में अपनी स्थिति मज़बूत करने की कोशिश करेंगे।
सुरक्षा पेशेवरों की अगली पीढ़ी
जेन ज़ेड (1997 और 2012 के बीच पैदा हुए) पहले से ही कार्यबल में मजबूती से स्थापित हो चुके हैं, और जेन अल्फा (2013 और 2029 के बीच पैदा हुए) अगले कुछ वर्षों में कार्यबल में प्रवेश करेंगे। ये पहली आईपैड पीढ़ियाँ हैं जो इंस्टाग्राम, स्नैपचैट और टिकटॉक के साथ बड़ी हुई हैं।
ये वर्तमान और भावी कर्मचारी ईमेल जैसी पारंपरिक "कॉर्पोरेट" तकनीकों से अपरिचित हैं। चूँकि कई नए कर्मचारी ऐसे डिजिटल युग में आगे बढ़ रहे हैं जहाँ जानकारी प्रचुर मात्रा में है, लेकिन टिकटॉक, यूट्यूब और इंस्टाग्राम जैसे प्लेटफ़ॉर्म द्वारा ध्यान की अवधि सीमित है, इसलिए हमें भर्ती, प्रशिक्षण और अंततः नौकरियों के प्रति अपने दृष्टिकोण में बदलाव करना होगा। इससे भी बुरी बात यह है कि एआई का तेज़ी से विकास कई शुरुआती स्तर की भूमिकाओं की जगह ले रहा है जो नए स्नातक पहले संभालते थे। इसका मतलब है कि वरिष्ठ पदों तक पहुँचने के लिए कोई रास्ता नहीं होगा, जिनकी अभी भी उच्च माँग है।
यदि हम इन परिवर्तनों के अनुकूल ढलने में असफल रहते हैं, तो हम साइबर सुरक्षा पेशेवरों की अगली पीढ़ी को वंचित करने का जोखिम उठाते हैं।
क्वांटम - एक अप्रत्याशित चुनौती
क्वांटम कंप्यूटिंग सीआईएसओ के लिए एक उलझन भरी तकनीक है, जिसे समझना और उसकी योजना बनाना मुश्किल है। यह जटिल है, किसी भी ऐसी तकनीक से बिल्कुल अलग जिसका हम इस्तेमाल करते हैं। और हालाँकि इसे समझना लगभग नामुमकिन है, लेकिन इसके तात्कालिक खतरे अभी स्पष्ट नहीं हैं, क्योंकि आज के एन्क्रिप्शन को तोड़ने में सक्षम क्वांटम कंप्यूटर आने में शायद 10 साल से ज़्यादा का समय लगेगा (तकनीक में अचानक उछाल को छोड़कर, जो हमेशा संभव है)।
प्रत्येक मुख्य सूचना सुरक्षा अधिकारी के लिए आवश्यकताएँ
2026 इस बारे में हर धारणा की परीक्षा लेगा कि हम आज के लगातार बदलते ख़तरे के परिदृश्य से कैसे बचाव, उबर और अनुकूलन करते हैं। बदलाव की गति (फिर से) तेज़ हो रही है, एआई अब एक हथियार और ढाल दोनों है, भू-राजनीतिक तनाव उद्यम नेटवर्क में फैल रहे हैं, और आईटी जोखिम और व्यावसायिक जोखिम के बीच की रेखा धुंधली हो रही है।
सीआईएसओ को सबसे पहले लचीलापन विकसित करना होगा। मान लें कि व्यवधान अपरिहार्य है और व्यवसाय की निरंतरता, विभाजन और पुनर्प्राप्ति की तैयारी में निवेश करें।
एआई को एक प्रबंधित क्षमता के रूप में देखें, शॉर्टकट के रूप में नहीं। इसका उपयोग पहचान और प्रतिक्रिया को बेहतर बनाने के लिए करें; लेकिन मॉडल, डेटा और पहुँच की सुरक्षा भी उतनी ही सख्ती से करें जितनी किसी अन्य महत्वपूर्ण प्रणाली की।
हर जगह पहचान को मज़बूत करना। जैसे-जैसे मानव और मशीनी कर्ता बढ़ते जा रहे हैं, गैर-मानवीय पहचानों को लगातार सुरक्षित और सत्यापित किया जाना चाहिए।
सहयोग को मज़बूत बनाएँ। सुरक्षा, संचालन और नेतृत्व के बीच की खाई को पाटें। लचीलापन साझा समझ और एकीकृत प्रतिक्रिया पर निर्भर करता है।
सूचित रहें और अनुकूलन करें। जैसे-जैसे तकनीक विकसित होती है, ख़तरा पैदा करने वाले तत्व तेज़ी से नवाचार करते हैं, जिसका अर्थ है कि निरंतर सीखना और परीक्षण करना अब सुरक्षा के मूल सिद्धांत हैं।
सीआईएसओ की भूमिका पहले कभी इतनी व्यापक या महत्वपूर्ण नहीं रही। 2026 में सफलता उन्हीं लोगों को मिलेगी जो तकनीकी विशेषज्ञता को रणनीतिक दृष्टि के साथ जोड़ पाएँगे, और सुरक्षा को एक प्रतिक्रियात्मक कार्य से बदलकर उसे लचीलेपन, विश्वास और विकास की शक्ति में बदल पाएँगे।
स्रोत: https://doanhnghiepvn.vn/chuyen-doi-so/nhung-thach-thuc-cac-giam-doc-an-ninh-thong-tin-se-phai-doi-mat-trong-nam-2026/20251126034618176
टिप्पणी (0)