पांच लाख ग्राहकों का डाटा उजागर और मुआवजा जो वास्तविक नुकसान की भरपाई नहीं करता
लॉयड्स बैंकिंग समूह, यूनाइटेड किंगडम के सबसे बड़े बैंकों में से एक, ने हाल ही में स्वीकार किया है कि उसके आंतरिक सिस्टम में एक गलती के कारण लगभग 500,000 ग्राहकों के व्यक्तिगत डेटा का उजागर होना हुआ। यह घटना किसी बाहरी हमले का परिणाम नहीं थी, न ही इसमें कोई हैकर या रैनसमवेयर शामिल था। यह एक आंतरिक कॉन्फ़िगरेशन त्रुटि थी, जिसे तकनीकी शब्दजाल में आईटी विफलता कहा जाता है, और यही इसे ग्राहकों, निगरानी एजेंसियों और बाजारों के सामने अधिक कठिनाई से सही ठहराने का कारण बनाता है।
प्रभावित ग्राहकों को उजागर होने के बाद वित्तीय मुआवजा प्राप्त हुआ, जैसा कि द गार्जियन, बीबीसी और थिस इज मनी जैसी मीडिया रिपोर्टों में बताया गया है। लेकिन जो संख्या सबसे अधिक ध्यान आकर्षित करती है, वह यह है कि कितने ग्राहक बिना किसी जानकारी के एक अव्यक्त काल तक उजागर रहे।
वह गलती जिसका कोई साइबर सुरक्षा बजट नजरअंदाज नहीं कर सकता
बाहरी हमले और आईटी विफलताओं के बीच का अंतर केवल शब्दों का नहीं है। जब कोई विकृति बाहर से आती है, तो बैंक तर्क कर सकता है कि वह सक्रिय और संसाधन संपन्न प्रतिकूलों का सामना कर रहा है। जब यह अंदर से होता है, तो यह तर्क समाप्त हो जाता है। लॉयड्स में जो हुआ, वह प्रौद्योगिकी के सरकार करने की समस्या को इंगित करता है, न कि परिधीय सुरक्षा की।
वैश्विक स्तर के बैंक पुरानी प्रणालियों की कई परतों के साथ काम करते हैं, यानि वह तकनीकी आधारभूत ढाँचा जिसे दशकों में बनाया गया है और जिसका विस्तार किया गया है तथा इसे नई आधुनिक प्लेटफ़ॉर्मों के साथ जोड़ा गया है बिना आधार को बदले। यह मॉडल चुपचाप तकनीकी ऋण को इकट्ठा करता है। यह बैलेंस शीट पर प्रदर्शित नहीं होता है, निदान की स्थिति में कोई प्रमुखता नहीं होती है, लेकिन यह अस्तित्व में है और जब यह प्रकट होता है, तो इसका खर्च केवल ऑपरेशनल नहीं होता, बल्कि प्रतिष्ठागत और नियामक भी होता है।
इस मामले में कार्यात्मक प्रश्न यह नहीं है कि लॉयड्स को उस गलती से बचना चाहिए था, बल्कि वह जोखिम कितने समय से सिस्टम की वास्तुकला के भीतर था। इस प्रकार की विफलताएं रातोंरात नहीं होती हैं। ये अविकसित निवेश के निर्णयों का संचयी परिणाम होती हैं, नए डिजिटल उत्पादों के लॉन्च को उस अवसंरचना की समीक्षा पर प्राथमिकता देने के कारण, जो उन्हें समर्थन करती है, और ऐसी Governence संरचना में जिसमें आईटी क्षेत्र का राजनीतिक वजन व्यापार इकाइयों के मुकाबले कम होता है।
इस संदर्भ में, ग्राहकों को वित्तीय मुआवजा कानूनी अध्याय को समाप्त करता है, लेकिन यह संरचनात्मक समस्या का समाधान नहीं करता है। एक बैंक जो 500,000 ग्राहकों को सिस्टम की गलती के लिए मुआवजा दे रहा है, वह अपने सिस्टम को ठीक नहीं कर रहा है: वह उसे ठीक न करने के परिणामों का प्रबंधन कर रहा है।
क्यों पैमाना जोखिम को बढ़ाता है न कि कम करता है
वित्तीय क्षेत्र में एक व्यापक नरेटिव है जो यह कहता है कि बड़े बैंक इसलिए अधिक सुरक्षित हैं क्योंकि उनके पास प्रौद्योगिकी और नियामक अनुपालन में निवेश करने के लिए अधिक संसाधन हैं। लॉयड्स, एक संस्था के रूप में, के पास आईटी बजट हैं जो दुनिया के अधिकांश वित्तीय संस्थानों तक नहीं पहुँच पाएंगे। फिर भी, यह गलती हुई और इससे लगभग आधा मिलियन लोगों पर असर पड़ा।
पैमाना अपने आप में सुरक्षा प्रदान नहीं करता है; कुछ संदर्भों में, यह जटिल बनाता है। बड़े आकार के साथ, इंटरकनेक्टेड सिस्टम की संख्या बढ़ती है, टीमों की संख्या जो डेटा के विभिन्न स्तरों तक पहुंच रखते हैं, और उन बिंदुओं पर संशय को बनाए रखने की कठिनाई भी। इस आकार की बैंकिंग संस्थाएँ ऐसे ढाँचों के साथ काम करती हैं जहाँ तकनीकी ज़िम्मेदारी कई क्षेत्रों में विभाजित होती है: संचालन, उत्पाद, अनुपालन, सुरक्षा। प्रत्येक क्षेत्र अपने लक्ष्यों के लिए अनुकूलित करता है और उन पर समन्वय कई मामलों में सबसे कमजोर कड़ी होती है।
500,000 प्रभावित ग्राहकों का आंकड़ा भी अमूर्त रूप में नहीं पढ़ा जाना चाहिए। यदि केवल प्रत्यक्ष मुआवजे और संकट प्रबंधन, नियामक संचार और ग्राहक सेवा के संचालन संबंधी लागतों पर विचार किया जाए, तो कुल संख्या शायद उस किसी भी पूर्व-निवारक रखरखाव निवेश से कहीं अधिक है जो कि इन सिस्टमों में किया जा सकता था। यह वह गणना है जो बड़े बैंकों के बोर्ड को अधिक बार करनी चाहिए, और जो बहुत बार स्थगित हो जाती है क्योंकि तकनीकी ऋण तब तक दर्द नहीं होता जब तक यह अचानक दर्द नहीं देता।
यूरोपीय संघ के वित्तीय आचार प्राधिकरण (FCA) के पास उस क्षेत्राधिकार के तहत संगठनों की संचालनात्मक स्थिरता पर निगरानी के तंत्र हैं। यह घटना अनिवार्य रूप से लॉयड्स के नियामक अभिलेख में जोड़ दी जाएगी और यह बुनियादी ढांचे में अतिरिक्त निवेश की आवश्यकता में परिवर्तित हो सकती है, जो तकनीकी विफलता को एक ऐसा घटना बनाती है जिसका वित्तीय परिणाम अभी तक पूरी तरह से मापे नहीं गए हैं।
यह घटना यूरोपीय बैंकिंग अवसंरचना के बारे में क्या दर्शाती है
लॉयड्स कोई मौलिकता नहीं है। यह पश्चिमी दुनिया के अधिकांश बड़े बैंकों में एक संरचनात्मक तनाव का सबसे हालिया और प्रलेखित उदाहरण है: दशकों पुरानी प्रणालियों को आधुनिक बनाने की लागत इतनी अधिक और अल्पावधि में इतनी व्यवधानकारी है कि इसे नियमित रूप से ऐसी पहलों के पक्ष में स्थगित किया जाता है जिनका रिटर्न अधिक स्पष्ट और त्वरित है।
पिछले दस सालों में स्थापित डिजिटल बैंक, जिनके पास कोई पुरानी अवसंरचना का उत्तराधिकार नहीं है, क्लाउड पर बने ढाँचों के साथ काम करते हैं, केंद्रीकृत डेटा के साथ और अधिक विवरण में प्रबंधित पहुंच। यह उन्हें विफलताओं के प्रति प्रतिरक्षित नहीं बनाता, लेकिन यह उन जोखिमों की प्रकृति को मौलिक रूप से बदलता है जिनका सामना उन्हें करना पड़ता है। जबकि एक पारंपरिक बैंक में ग्राहक रजिस्ट्रेशन सिस्टम हो सकता है जो 90 के दशक से चला आ रहा हो, एक डिजिटल मूल बैंक के पास डेटा की एक परत होती है जिसमें अधिक समरूप पहुंच नियंत्रण होते हैं।
यह संरचनात्मक अंतर पारंपरिक बैंकों को अब तक बड़े बाजार से बाहर नहीं कर पाया है, क्योंकि दशकों में संचित विश्वास और उनके वितरण नेटवर्क का आकार अभी भी ऐसे संपत्तियाँ हैं जिन्हें दोहराना कठिन है। लेकिन इस प्रकार की प्रत्येक घटना उन कुछ गुणों को नष्ट करती है जो उन्हें नए प्रतिस्पर्धियों से अलग करती हैं: संस्थागत ताकत और सुरक्षा की धारणा।
लॉयड्स के लिए इस विफलता की वास्तविक लागत 500,000 ग्राहकों को किए गए मुआवज़ों में नहीं मापी जाती। इसकी माप उस विश्वास के तेज़ी से क्षय में होती है जो उन संस्थानों की एक श्रेणी पर है, जिसे प्रतिस्पर्धात्मक दबावों का सामना करना पड़ता है जो ऐसी प्लेटफार्मों से आते हैं, जिनके पास दशकों की चढ़ी हुई तकनीकी ऋण नहीं है। मुआवजा कानूनी चक्र को पूरा करता है। वह वास्तुकला जो त्रुटि की अनुमति देती है, अभी भी मौजूद है.
