भारत में टेलीकॉम उपकरण बनाने वाली बड़ी ग्लोबल कंपनियों ने टेलीकम्युनिकेशन विभाग (DoT) से साइबर सिक्योरिटी के सेल्फ-डिक्लेरेशन (self-declaration) गाइडलाइंस में और स्पष्टता की मांग की है। कंपनियों को डर है कि किसी भी हार्डवेयर में हमेशा के लिए कोई सिक्योरिटी कमी (vulnerability) न होने की गारंटी देना तकनीकी रूप से असंभव है, जिससे उन्हें भारी लायबिलिटी (liability) का सामना करना पड़ सकता है। यह बातचीत टेलीकॉम सेक्टर में अनिवार्य टेस्टिंग व्यवस्था की ओर बढ़ते रेगुलेटरी बदलावों को रेखांकित करती है।
क्या हुआ है?
Nokia, Ericsson, Cisco और Ciena जैसी प्रमुख ग्लोबल टेलीकॉम उपकरण निर्माताओं ने टेलीकम्युनिकेशन विभाग (DoT) से संपर्क कर साइबर सिक्योरिटी कंप्लायंस (compliance) के नियमों को लेकर स्पष्टता मांगी है। मुख्य मुद्दा यह है कि वर्तमान में वेंडर्स को एक अस्थायी सर्टिफिकेशन, जिसे प्रो-टेम (Pro Tem) सर्टिफिकेट कहा जाता है, प्राप्त करने के लिए यह सेल्फ-डिक्लेअर करना होता है कि उनका उपकरण पूरी तरह से सिक्योरिटी वल्नरेरेबिलिटीज (vulnerabilities) से मुक्त है। यह सर्टिफिकेशन फिलहाल भारतीय बाजार में 5G गियर, राउटर और विभिन्न नेटवर्क डिवाइस बेचने और डिप्लॉय (deploy) करने के लिए ज़रूरी है।
मुख्य सिक्योरिटी चुनौती
वेंडर्स का तर्क है कि मौजूदा सेल्फ-डिक्लेरेशन प्रक्रिया एक महत्वपूर्ण और अस्पष्ट लायबिलिटी रिस्क (liability risk) पैदा करती है। एडवांस्ड आर्टिफिशियल इंटेलिजेंस (Artificial Intelligence) और तेजी से बदलते साइबर खतरों के इस दौर में, कंपनियां कह रही हैं कि किसी भी निर्माता के लिए यह गारंटी देना तकनीकी रूप से असंभव है कि कोई डिवाइस अनिश्चित काल तक वल्नरेबल (vulnerable) नहीं रहेगा। यदि सर्टिफिकेशन के बाद किसी डिवाइस में सिक्योरिटी फ्लो (flaw) पाया जाता है, तो मौजूदा ढांचा वेंडर्स को संभावित पेनल्टी (penalty) के जोखिम में डाल देता है। इंडस्ट्री के एग्जीक्यूटिव्स (executives) ने इस बात पर जोर दिया है कि ये पेनल्टी गंभीर हो सकती हैं, जिससे डोमेस्टिक टेलीकॉम इंफ्रास्ट्रक्चर (domestic telecom infrastructure) स्पेस में काम करने वाली कंपनियों के लिए एक डर पैदा हो गया है।
इंडस्ट्री के लिए क्यों मायने रखता है?
प्रो-टेम सर्टिफिकेशन स्कीम एक अंतरिम उपाय के रूप में काम कर रही है, जबकि सरकार सभी टेलीकॉम उपकरणों के लिए एक व्यापक, अनिवार्य टेस्टिंग और सर्टिफिकेशन व्यवस्था की तैयारी कर रही है। हालांकि इस अस्थायी ढांचे ने बिजनेस को जारी रखने की अनुमति दी है, जिससे सेल्फ-डिक्लेरेशन के आधार पर 100 से अधिक सर्टिफिकेट जारी किए गए हैं, लेकिन अंदरूनी रेगुलेटरी अस्पष्टता चिंता का विषय बनी हुई है। टेलीकॉम उपकरण क्षेत्र के लिए, यह केवल एक कंप्लायंस (compliance) का मुद्दा नहीं है; यह राष्ट्रीय सुरक्षा मानकों और सॉफ्टवेयर व हार्डवेयर डेवलपमेंट की व्यावहारिक वास्तविकताओं के बीच संतुलन बनाने में एक मौलिक चुनौती का प्रतिनिधित्व करता है।
रेगुलेटरी आउटलुक (Regulatory Outlook)
DoT के तहत काम करने वाले नेशनल सेंटर फॉर कम्युनिकेशन सिक्योरिटी (NCCS) ने कथित तौर पर इन चिंताओं को स्वीकार किया है। सरकारी अधिकारियों ने संकेत दिया है कि वे वेंडर्स द्वारा सामना की जा रही व्यावहारिक बाधाओं को दूर करने के लिए स्पष्ट पॉलिसी गाइडलाइंस (policy guidelines) को अंतिम रूप देने पर काम कर रहे हैं। इस कदम को महत्वपूर्ण नेटवर्क उपकरणों की आपूर्ति को बाधित किए बिना, उभरते टेक्नोलॉजी लैंडस्केप (technology landscape) के साथ सुरक्षा आवश्यकताओं को संरेखित करने के प्रयास के रूप में देखा जा रहा है।
निवेशकों को क्या ट्रैक करना चाहिए?
हितधारकों के लिए सबसे महत्वपूर्ण बात DoT और NCCS से आगामी पॉलिसी अपडेट (policy update) पर नजर रखना है। निवेशकों को लायबिलिटी फ्रेमवर्क (liability framework) में बदलावों पर ध्यान देना चाहिए, विशेष रूप से यह कि क्या सरकार कंप्लायंस पैरामीटर्स (compliance parameters) की अधिक परिभाषित सूची पेश करती है या ओपन-एंडेड (open-ended) सेल्फ-डिक्लेरेशन मॉडल से हटती है। इन गाइडलाइंस को अंतिम रूप देने में कोई भी देरी या वर्तमान पेनल्टी स्ट्रक्चर्स (penalty structures) का कड़ाई से प्रवर्तन टेलीकॉम वेंडर्स के लिए व्यापार करने में आसानी को प्रभावित कर सकता है। इसके विपरीत, एक स्पष्ट पॉलिसी फ्रेमवर्क (policy framework) ऑपरेशनल अनिश्चितता (operational uncertainty) को कम करेगा और भारतीय नेटवर्कों में उपकरणों की सुचारू तैनाती की अनुमति देगा।