Whalesbook
भारताच्या CERT-In ने टेक व्हेंडर्ससाठी नवीन सायबर सुरक्षा मार्गदर्शक तत्त्वे जारी केली आहेत. यात जलद पॅचिंग आणि AI-आधारित धोक्यांपासून संरक्षण करण्यावर लक्ष केंद्रित केले आहे. या बदलामुळे डिजिटल इकोसिस्टम सुरक्षित होण्यास मदत होईल, परंतु भारतीय IT क्षेत्रासाठी अनुपालन खर्च वाढू शकतो.
टेक व्हेंडर्ससाठी नवीन सायबर सुरक्षा नियम
भारतीय कॉम्प्युटर इमर्जन्सी रिस्पॉन्स टीम (CERT-In) ने तंत्रज्ञान विक्रेते (technology vendors) आणि मूळ उपकरण उत्पादकांसाठी (original equipment manufacturers) नवीन मार्गदर्शक तत्त्वे लागू केली आहेत. ही नवीन नियमावली १० जून २०२६ पासून लागू होईल. सायबर धोक्यांचे वाढते प्रमाण आणि कृत्रिम बुद्धिमत्तेचा (AI) वापर करून होणारे हल्ले लक्षात घेता, या नियमावलीचा उद्देश डिजिटल इकोसिस्टम अधिक सुरक्षित करणे हा आहे. महत्त्वाच्या आवश्यकतांमध्ये सॉफ्टवेअर बिल ऑफ मटेरियल्स (SBOM) अद्ययावत ठेवणे, ज्यात सर्व सॉफ्टवेअर घटकांची यादी असते, आणि गंभीर त्रुटींसाठी (vulnerabilities) जलद पॅचिंग सायकलचे पालन करणे समाविष्ट आहे.
गुंतवणूकदारांसाठी हे महत्त्वाचे का आहे?
गुंतवणूकदारांसाठी, या मार्गदर्शक तत्त्वांमुळे भारतीय तंत्रज्ञान कंपन्यांच्या कार्यान्वयनात बदल अपेक्षित आहे. जरी मुख्य उद्दिष्ट राष्ट्रीय सुरक्षा असले तरी, याचा कंपन्यांच्या ताळेबंदावर (balance sheets) परिणाम होण्याची शक्यता आहे. कंपन्यांना आता सुरक्षा चाचणी (security testing), अनुपालन (compliance) आणि पायाभूत सुविधांमध्ये (infrastructure) अधिक गुंतवणूक करावी लागेल.
मोठ्या IT सेवा कंपन्या, ज्यांच्याकडे आधीपासूनच मजबूत सुरक्षा प्रोटोकॉल आणि एंटरप्राइझ-ग्रेड अनुपालन प्रणाली आहेत, त्यांना या आवश्यकता पूर्ण करणे सोपे जाईल. उलटपक्षी, लहान सॉफ्टवेअर विक्रेते, स्टार्टअप्स आणि मध्यम आकाराच्या टेक कंपन्यांना त्यांची सुरक्षा प्रणाली सुधारण्यासाठी आणि अनुपालन कामांसाठी अधिक मनुष्यबळ नियुक्त करण्यासाठी नफ्यावर (profit margins) तात्काळ दबाव येऊ शकतो.
अनुपालन खर्चाचे आव्हान
गुंतवणूकदारांसाठी मुख्य चिंतेचा विषय म्हणजे कार्यान्वयन क्षमता (operational efficiency). सायबर सुरक्षा अनुपालन हा एक सतत चालणारा खर्च आहे, जो एकदाच केला जाणारा गुंतवणुकीऐवजी कार्यान्वयन खर्च (operating expense) म्हणून गणला जातो. जर कंपनीकडे सतत सुरक्षा देखरेखीसाठी (continuous security monitoring) आवश्यक अंतर्गत प्रणाली नसतील, तर त्यांना बाह्य साधनांवर किंवा अतिरिक्त कर्मचाऱ्यांवर जास्त खर्च करावा लागेल. याचा परिणाम नफ्यावर होऊ शकतो, विशेषतः अशा कंपन्यांसाठी ज्या सध्याच्या आर्थिक परिस्थितीत किंमतीच्या दबावाचा सामना करत आहेत. ज्या कंपन्यांनी भूतकाळात आपल्या IT पायाभूत सुविधांमध्ये कमी गुंतवणूक केली आहे, त्यांना या वाढलेल्या नियामक जबाबदाऱ्यांचा जास्त भार सहन करावा लागण्याची शक्यता आहे.
AI-आधारित धोक्यांचे व्यवस्थापन
या नियमावलीमध्ये विशेषतः AI-सक्षम सायबर धोक्यांमुळे निर्माण होणारे धोके विचारात घेतले आहेत. हल्लेखोर सॉफ्टवेअरमधील त्रुटी शोधण्यासाठी AI चा वापर वेगाने करत असल्याने, नियामक संरक्षणालाही तितकेच जलद असणे बंधनकारक करत आहेत. यामुळे सतत चाचणीचे चक्र (cycle of constant testing) तयार होते. ज्या कंपन्या त्यांच्या सुरक्षा चाचणीसाठी AI चा प्रभावीपणे वापर करू शकतील, त्या कंपन्या कदाचित मॅन्युअल प्रक्रियेवर अवलंबून असलेल्या कंपन्यांपेक्षा खर्चाचे व्यवस्थापन अधिक प्रभावीपणे करू शकतील. ऑटोमेटेड सुरक्षा पॅचिंगची क्षमता कंपन्यांना त्यांचे कार्यान्वयन मार्जिन (operational margins) व्यवस्थापित करण्यासाठी एक महत्त्वाचा घटक ठरेल.
गुंतवणूकदारांनी काय ट्रॅक करावे?
गुंतवणूकदारांनी आगामी कंपनी संप्रेषणांमध्ये (communications) अनेक निर्देशक तपासले पाहिजेत. प्रथम, पुढील तिमाहीच्या कमाईच्या कॉलमध्ये (earnings calls) व्यवस्थापनाने अनुपालन खर्चाबद्दल केलेल्या टिप्पण्यांवर लक्ष ठेवा. कंपन्या या नवीन सुरक्षा आदेशांचा त्यांच्या कार्यान्वयन खर्चावर होणाऱ्या परिणामांचा स्पष्टपणे उल्लेख करू शकतात.
दुसरे, सायबर सुरक्षेशी संबंधित महसूल विभागांकडे (revenue segments) लक्ष द्या. ज्या कंपन्या या आवश्यक अनुपालन आणि सुरक्षा सेवा इतर व्यवसायांना प्रभावीपणे देऊ शकतील, त्यांना एक नवीन महसूल स्रोत दिसू शकतो, जो वाढीव खर्च भरून काढू शकेल. याउलट, सरकारी किंवा बँकिंग करारांवर जास्त अवलंबून असलेल्या कंपन्यांना त्यांचा व्यवसाय टिकवून ठेवण्यासाठी कठोरपणे सुसंगत असणे आवश्यक असेल, ज्यामुळे त्यांच्या सुरक्षा खर्चात कपात करणे शक्य होणार नाही. शेवटी, लहान टेक कंपन्या मार्जिन घसरणीची (margin compression) तक्रार करतात की नाही यावर लक्ष ठेवा, कारण हे वाढलेल्या मानकांमुळे उद्योगावर होणाऱ्या व्यापक परिणामांचे प्रारंभिक चेतावणी चिन्ह असू शकते.