AI और क्वांटम कंप्यूटिंग के युग में साइबर सुरक्षा: परिवर्तन की कीमत कौन चुकाता है

AI और क्वांटम कंप्यूटिंग के युग में साइबर सुरक्षा: परिवर्तन की कीमत कौन चुकाता है

हर बार जब कोई तकनीक खेल के नियम बदलती है, तो एक पैटर्न दोहराया जाता है: सबसे पहले वे लोग लागत उठाते हैं जिनके पास इसे झेलने की सबसे कम क्षमता होती है। आर्टिफिशियल इंटेलिजेंस और क्वांटम कंप्यूटिंग का संगम इसी पैटर्न को असहज सटीकता के साथ दोहरा रहा है। साइबर हमलावरों को ऐसे उपकरण मिल रहे हैं जो उनके ऑपरेशन का समय और लागत दोनों घटाते हैं, जबकि MSME और आम उपयोगकर्ता सुरक्षा के बोझ तले दब रहे हैं।

Martín SolerMartín Soler28 जून 20269 मिनट
साझा करें

साइबर सुरक्षा AI और क्वांटम कंप्यूटिंग के युग में: परिवर्तन की लागत कौन चुकाएगा

एक ऐसा पैटर्न बार-बार दोहराया जाता है जब भी कोई तकनीक पर्याप्त गति से खेल के नियमों को बदल देती है: सबसे पहले उन लोगों पर लागत पड़ती है जिनके पास इसे वहन करने का सबसे कम मार्जिन होता है। आर्टिफिशियल इंटेलिजेंस और क्वांटम कंप्यूटिंग का अभिसरण उस पैटर्न को एक असहज सटीकता के साथ अनुसरण कर रहा है। हमलावर ऐसे उपकरणों से लाभान्वित होते हैं जो उनके अभियानों के समय और लागत को कम करते हैं। दूसरी ओर, रक्षक तकनीकी और संगठनात्मक ऋण जमा करते हैं जिन्हें अब उन्हें दोगुना चुकाना होगा: एक बार उन जोखिमों के लिए जो AI आज ला रहा है, और दूसरी बार उस क्रिप्टोग्राफिक प्रवासन के लिए जो क्वांटम दुनिया कल मांगेगी।

फोर्ब्स टेक्नोलॉजी काउंसिल में प्रकाशित मिशेल ड्रोलेट का विश्लेषण कोई प्रयोगशाला चेतावनी नहीं है। यह उन तनावों का एक मानचित्र है जो पहले से ही किसी भी प्रासंगिक डिजिटल बुनियादी ढांचे वाली कंपनी के बजट, बोर्ड रूम और सुरक्षा टीमों में सक्रिय हैं। और जो कोण सबसे अधिक रुचि रखता है वह तकनीकी नहीं है: वह वितरणात्मक है। कौन लागत वहन करता है, कौन संक्रमण के मूल्य को प्राप्त करता है और कौन से संरचनात्मक प्रोत्साहन प्रणाली में प्रत्येक अभिनेता को धकेल रहे हैं।

AI उपलब्ध समय को रक्षकों के लिए संकुचित करती है, हमलावरों के लिए नहीं

आर्टिफिशियल इंटेलिजेंस जो असमानता साइबर सुरक्षा में पेश करती है वह वैचारिक रूप से नई नहीं है, लेकिन परिमाण में नई अवश्य है। हमलावर AI का उपयोग भेद्यताओं को तेजी से खोजने, बड़े पैमाने पर मैलवेयर के वेरिएंट उत्पन्न करने, सोशल इंजीनियरिंग संदेशों को व्यक्तिगत बनाने और लक्ष्यों की टोही को स्वचालित करने के लिए करते हैं। एक परिष्कृत हमला शुरू करने की सीमांत लागत में लगातार गिरावट आई है। दूसरी ओर, बचाव की लागत उच्च, प्रतिभा-गहन और नए जोखिमों को पेश किए बिना स्वचालित करना कठिन बनी हुई है।

वर्ल्ड इकोनॉमिक फोरम और एक्सेंचर के डेटा उस धारणा को दर्शाते हैं: 94% सुरक्षा नेता मानते हैं कि AI अगले वर्ष साइबर सुरक्षा में सबसे महत्वपूर्ण परिवर्तनकारी कारक होगी, और 87% AI से जुड़ी भेद्यताओं को सबसे तेजी से बढ़ने वाले जोखिम के रूप में इंगित करते हैं। ये आंकड़े भविष्य की चिंता का वर्णन नहीं करते। वे एक ऐसी समस्या की वास्तुकला का वर्णन करते हैं जो पहले से ही संगठनों के भीतर मौजूद है।

इस विश्लेषण में कम चर्चित वेक्टरों में से एक वह है जिसे ड्रोलेट "शैडो AI" कहते हैं: उन कर्मचारियों द्वारा आर्टिफिशियल इंटेलिजेंस उपकरणों का अनधिकृत उपयोग जो बैठकों को सारांशित करते हैं, संवेदनशील डेटा संसाधित करते हैं या ऐसे प्लेटफार्मों के माध्यम से कोड उत्पन्न करते हैं जिन्हें संगठन नियंत्रित नहीं करता, ऑडिट नहीं करता और कभी-कभी जानता भी नहीं। समस्या केवल परिधि सुरक्षा की नहीं है। यह आंतरिक शासन की समस्या है जहां व्यक्तिगत प्रोत्साहन — कर्मचारी की तत्काल उत्पादकता — संगठन के सामूहिक हित के साथ सीधे टकराव में आता है। प्रोत्साहनों का वह संघर्ष नीतियों से हल नहीं होता, बल्कि डिजाइन से होता है: एक्सेस नियंत्रण, डेटा ट्रेसेबिलिटी, तकनीकी प्रतिबंध और उच्च प्रभाव वाली कार्यों पर मानवीय निगरानी।

एजेंटिक AI सिस्टम का उदय — जो कई उपकरणों और कार्यप्रवाहों के माध्यम से किसी उपयोगकर्ता की ओर से स्वायत्त रूप से कार्य करने में सक्षम हैं — उस समस्या को एक अलग श्रेणी में उठाता है। जब कोई AI एजेंट वास्तविक समय में मानवीय हस्तक्षेप के बिना निर्णय ले सकता है, लेनदेन निष्पादित कर सकता है या जानकारी साझा कर सकता है, तो जोखिम की परिधि की अब स्पष्ट सीमाएं नहीं रहतीं। त्रुटि, क्रेडेंशियल दुरुपयोग और डेटा रिसाव उस गति से हो सकते हैं जिसे कोई भी प्रतिक्रियाशील ऑडिट प्रक्रिया नहीं रोक सकती। उस जोखिम की लागत उपकरण का प्रदाता नहीं उठाता। उसे वह संगठन उठाता है जिसने उसे तैनात किया।

क्वांटम खतरा टीमों के तैयार होने का इंतजार नहीं करता

क्वांटम कंप्यूटिंग AI की तुलना में एक अलग क्षितिज पर संचालित होती है, लेकिन सुरक्षा प्रणालियों पर इसके दबाव की तर्क समान रूप से संरचनात्मक है। केंद्रीय तंत्र को "हार्वेस्ट नाउ, डिक्रिप्ट लेटर" कहा जाता है: विरोधी आज एन्क्रिप्टेड डेटा को कैप्चर करते हैं और उसे तब तक संग्रहीत करते हैं जब तक क्वांटम कंप्यूटर उनकी सुरक्षा करने वाली पब्लिक-की क्रिप्टोग्राफी को तोड़ने में सक्षम न हो जाएं। हमला आज नहीं होता। नुकसान, हालांकि, पहले से ही बोया जा रहा है।

यह क्वांटम-प्रतिरोधी क्रिप्टोग्राफी की ओर प्रवासन को एक वर्तमान योजना निर्णय बनाता है, न कि भविष्य का। संयुक्त राज्य अमेरिका के राष्ट्रीय मानक एवं प्रौद्योगिकी संस्थान (NIST) ने पहले से ही पोस्ट-क्वांटम क्रिप्टोग्राफी के पहले मानक प्रकाशित कर दिए हैं, जो RSA और एलिप्टिक कर्व क्रिप्टोग्राफी जैसी कमजोर योजनाओं को प्रतिस्थापित करते हैं। लेकिन उन मानकों को अपनाना कोई सॉफ्टवेयर अपडेट नहीं है। यह उन प्रणालियों की वास्तुकला में एक गहरा हस्तक्षेप है जो कई मामलों में दशकों से उन्हीं एल्गोरिदम पर निर्मित हैं जिन्हें अब प्रतिस्थापित करना होगा।

प्रयास के पैमाने को बाजार अनुमानों में देखा जा सकता है: पोस्ट-क्वांटम क्रिप्टोग्राफी में निवेश 2026 में $1.2 बिलियन से बढ़कर 2035 में $13.3 बिलियन हो जाएगा, जूनिपर रिसर्च के अनुसार। यह वृद्धि एक सकारात्मक तकनीकी प्रवृत्ति का प्रतिबिंब नहीं है। यह उस संचित घाटे का माप है जिसे संगठनों को वित्तपोषित करना होगा — प्रमाणपत्रों, चाबियों, सॉफ्टवेयर, हार्डवेयर, आपूर्तिकर्ताओं और प्रक्रियाओं में — ताकि वे उस क्षण में उजागर न हों जब प्रतिक्रिया की खिड़की पहले ही बंद हो चुकी होगी।

उस लागत का वितरण ही वह जगह है जहां विश्लेषण सबसे दिलचस्प हो जाता है। बड़े संगठन, विशेष टीमों और महत्वपूर्ण सुरक्षा बजट के साथ, संरचित प्रवासन कार्यक्रम शुरू कर सकते हैं, आंतरिक जिम्मेदार नियुक्त कर सकते हैं, क्रिप्टोग्राफिक निर्भरताओं की सूची बना सकते हैं और शक्ति की स्थिति से आपूर्तिकर्ताओं के साथ बातचीत कर सकते हैं। मध्यम और छोटे संगठन — जो उन्हीं क्लाउड प्लेटफार्म और सेवा प्रदाताओं पर निर्भर हैं — उस गति की दया पर छोड़ दिए जाते हैं जिस गति से वे प्रदाता संक्रमण को लागू करते हैं। यदि प्रदाता पहले अपने सबसे बड़े उद्यम ग्राहकों को प्राथमिकता देता है, तो श्रृंखला की सबसे कमजोर कड़ी को संरक्षित होने में अधिक समय लगता है — और सबसे कमजोर कड़ी अक्सर वही होती है जो पूरी प्रणाली को अपनी सबसे शोषणीय भेद्यताओं से जोड़ती है।

तैयारी का मूल्य वहां नहीं है जहां बाजार इसे माप रहा है

बाजार इन जोखिमों की प्रतिक्रिया को कैसे मूल्यांकन कर रहा है, इसमें एक संरचनात्मक असंतुलन है। सुरक्षा प्लेटफार्म प्रदाता — नेटवर्क बुनियादी ढांचा निर्माताओं से लेकर सुरक्षित एक्सेस और जीरो-ट्रस्ट आर्किटेक्चर के प्रदाताओं तक — AI-आधारित पहचान क्षमताओं और क्वांटम-प्रतिरोधी एन्क्रिप्शन को अपने उत्पादों की विशेषताओं के रूप में एकीकृत कर रहे हैं। इसका प्रतिस्पर्धी अर्थ है: जो पहले एकीकृत सुरक्षा प्रदान करता है वह अनुबंध हासिल करता है और तकनीकी निर्भरता बनाता है।

लेकिन उन क्षमताओं का मूल्य किसी ऐसी चीज पर निर्भर करता है जिसे कोई भी प्लेटफार्म सीधे नहीं बेच सकता: उन्हें अपनाने वाली कंपनी की संगठनात्मक क्षमता उनके साथ सुसंगत रूप से काम करने की। AI पर आधारित असामान्य व्यवहार पहचान उपकरण संपत्तियों पर दृश्यता रखने, एक्सेस पर नियंत्रण और प्रतिक्रिया प्रक्रियाओं की आवश्यकता को प्रतिस्थापित नहीं करता जो अलर्ट सक्रिय होने पर काम करें। एक पोस्ट-क्वांटम क्रिप्टोग्राफी मानक अकेले उन विरासत प्रणालियों का प्रवासन नहीं करता जो वर्षों से बिना अपडेट के चल रहे हैं।

ड्रोलेट का लेख एक ऐसी तैयारी प्रक्रिया का वर्णन करता है जिसके सात चरण हैं। जो वर्णित नहीं है — हालांकि उनमें से प्रत्येक में अंतर्निहित है — वह यह है कि उस प्रक्रिया में से कितना आंतरिक क्षमताओं में निरंतर निवेश की आवश्यकता है जिसे सुरक्षा समाधानों का बाजार प्रतिस्थापित नहीं कर सकता। जोखिम मूल्यांकन किसी ऐसे व्यक्ति को करना होगा जो संगठन की वास्तविक वास्तुकला जानता हो। क्रिप्टोग्राफिक निर्भरताओं की सूची किसी ऐसे व्यक्ति को बनानी होगी जिसकी प्रणालियों तक पहुंच हो। AI एजेंटों पर शासन किसी ऐसे व्यक्ति को डिजाइन करना होगा जो समझता हो कि टीमें कैसे काम करती हैं। किसी भी बाहरी प्रदाता के पास वह प्रारंभिक जानकारी नहीं होती।

मूल वितरणात्मक समस्या यह है: एक ऐसी सुरक्षा स्थिति की ओर संक्रमण जो सामान्यीकृत AI वातावरण और बढ़ते क्वांटम दबाव में टिक सके, इसके लिए आवश्यक है कि मूल्य का एक महत्वपूर्ण हिस्सा आंतरिक रूप से उत्पन्न हो — क्षमताओं, प्रक्रियाओं और शासन के रूप में। लेकिन साइबर सुरक्षा का बाजार बाहरी उत्पादों और सेवाओं को बेचने के लिए संरचित है, आंतरिक क्षमता बनाने के लिए नहीं। इसका मतलब यह नहीं है कि बाहरी प्रदाता अप्रासंगिक हैं। इसका मतलब यह है कि पूर्ण प्रत्यायोजन की तर्क — वह मॉडल जिसमें एक कंपनी अपनी सुरक्षा को आउटसोर्स करती है और मानती है कि समस्या हल हो गई — अब काम करने का कोई मार्जिन नहीं बचता जब जोखिम सेवा अनुबंधों की तुलना में तेजी से आगे बढ़ते हैं।

वह प्रवासन जिसे बिना लागत को गुणा किए टाला नहीं जा सकता

इन जोखिमों के लिए तैयारी में एक वित्तीय विशेषता है जिसे बोर्ड अभी भी पर्याप्त स्पष्टता के साथ आत्मसात नहीं कर रहे: देर से कार्य करने की लागत रैखिक नहीं है। प्रत्येक महीना जो बिना क्रिप्टोग्राफिक इन्वेंटरी शुरू किए, आंतरिक AI पर नियंत्रण स्थापित किए और क्वांटम प्रवासन कार्यक्रम के लिए जिम्मेदार नियुक्त किए बिना बीतता है, वह एक ऐसा महीना है जिसमें विरासत प्रणालियां अधिक तकनीकी ऋण जमा करती हैं, आपूर्तिकर्ता संगठन के साथ समन्वय के बिना आगे बढ़ते हैं और हमलावर अधिक दीर्घकालिक मूल्य वाले डेटा को कैप्चर करते हैं।

पोस्ट-क्वांटम क्रिप्टोग्राफी की ओर प्रवासन सबसे उपयुक्त उदाहरण है। जिन प्रणालियों को जल्दी अपडेट नहीं किया जा सकता वे अल्पसंख्यक नहीं हैं। वित्तीय, स्वास्थ्य या महत्वपूर्ण बुनियादी ढांचे जैसे उद्योगों में, ऐसे घटक हैं जिनके दशकों के जीवन चक्र हैं जिन्हें क्रिप्टोग्राफिक मान्यताओं पर डिजाइन किया गया था जिन्हें क्वांटम कंप्यूटिंग अमान्य करती है। उन्हें बदलने के लिए समय, धन और उन आपूर्तिकर्ता श्रृंखलाओं के साथ समन्वय की आवश्यकता होती है जिन्हें अपनी प्रणालियों को भी अपडेट करना होगा। वह प्रक्रिया जितनी देर से शुरू होती है, उपलब्ध समय उतना ही संकुचित होता जाता है और जोखिम के साकार होने से पहले इसे पूरा करना उतना ही महंगा होता जाता है।

ड्रोलेट जो पैटर्न इंगित करते हैं — और जिसे प्रोत्साहन विश्लेषण पुष्टि करता है — वह यह है कि जो संगठन अभी वह प्रक्रिया शुरू करते हैं वे समय के साथ वितरित लागत चुका रहे हैं, जो प्रौद्योगिकी और सुरक्षा के सामान्य बजट के भीतर प्रबंधनीय है। जो इसे टालते हैं वे एक ऐसा ऋण जमा कर रहे हैं जिसे उन्हें एक झटके में, नियामक, अनुबंध या प्रतिस्पर्धी दबाव में, उस समय चुकाना होगा जब उनके पास बातचीत की कम क्षमता होगी और इसे अच्छी तरह से करने का कम समय होगा।

साइबर सुरक्षा ने AI के साथ अपनी बुनियाद नहीं बदली और न ही इसे क्वांटम कंप्यूटिंग के साथ बदलेगी। जो बदलता है वह है उन बुनियादों को नजरअंदाज करने की लागत — और वह लागत अब क्रमिक परिशोधन की अनुमति नहीं देती। जो संगठन इन जोखिमों के लिए तैयारी को वर्तमान निवेश के रूप में देखते हैं वे समय और विकल्प खरीद रहे हैं। जो इसे एक स्थगित व्यय के रूप में देखते हैं वे एक ऐसे जोखिम को जमा कर रहे हैं जिसकी कीमत अंततः कोई ऐसा व्यक्ति तय करेगा जिसके पास उदार होने के कोई प्रोत्साहन नहीं हैं।

साझा करें

आपको यह भी पसंद आ सकता है