Stryker पर हमला तकनीकी विफलता नहीं: यह प्रशासन के अहंकार की कीमत थी
11 मार्च 2026, मध्यरात्रि के बाद थोड़ी देर, Stryker Corporation के सिस्टम बंद होने लगे। कोई विस्फोट नहीं हुआ, न ही कोई रैनसमवेयर, न ही सर्वरों पर कोई छिपा हुआ दुर्भावनापूर्ण कोड। ईरान समर्थित एक समूह, Handala, ने Microsoft Intune के ठोस प्रशासक क्रेडेंशियल का उपयोग करके 79 देशों में 200,000 से अधिक उपकरणों को यह निर्देश दिया: सबकुछ मिटा दो। चंद घंटों में, 56,000 कर्मचारी अपने लैपटॉप, कॉर्पोरेट फोन और व्यक्तिगत उपकरणों को ब्रिक के रूप में पा गए। 50 टेराबाइट डेटा, जिसमें आपूर्तिकर्ताओं के साथ contratos, अस्पताल की जानकारी और उत्पाद डिज़ाइन के फ़ाइलें शामिल थीं, इसे रोकने के लिए किसी ने भी कार्रवाई नहीं की।
संयुक्त राज्य अमेरिका सरकार ने कंपनियों को अपने Microsoft सिस्टम को सुरक्षित करने का अलर्ट जारी किया। Stryker ने SEC के पास एक फॉर्म पेश किया, जिसमें एक अनिश्चित मात्रा में वित्तीय प्रभाव को मान्यता दी। इलेक्ट्रॉनिक ऑर्डर काम करना बंद कर दिए। कुछ शल्य प्रक्रियाओं में देरी हुई।
फिर भी, मुझे इस एपिसोड में रुचि नहीं है कि हमले की यांत्रिकी क्या थीं। मुझे इस चापलूसी की संरचना में दिलचस्पी है जिसने इसे संभव बनाया।
जब बुनियादी ढांचा एक दृष्टिहीनता बन जाता है
Microsoft Intune विश्व के हजारों संगठनों में उपकरणों का प्रबंधन करता है। इसकी तर्कणा सुंदर है: एक प्रशासक, जिसके पास सही विशेषाधिकार हैं, अपडेट भेज सकता है, सुरक्षा नीतियों को सेट कर सकता है और, चरम मामलों में, खोए हुए या जोखिम में पड़े उपकरणों को दूर से मिटा सकता है। यह अंतिम कार्य कंपनियों की सुरक्षा के लिए है। Stryker के मामले में, यह हमले का उपकरण बन गया।
Forrester के विश्लेषकों द्वारा वर्णित "भूमि से जीने की तकनीक" - अपने आसपास के पूर्वाधार के अपने ठोस उपकरणों का उपयोग करना - तकनीकी रूप से नया नहीं है। यह वास्तव में वर्षों से साइबर सुरक्षा में एक अच्छी तरह से प्रलेखित पद्धति है। Handala ने कुछ नया नहीं खोजा। उसने Intune के प्रशासक या वैश्विक प्रशासक क्रेडेंशियल्स पाया, संभवतः पूर्व में मैलवेयर द्वारा चुराए गए, और उनका उपयोग उस उद्देश्य के लिए किया जिसके लिए वे बनाए गए थे।
यहां वह पहला आक्षिप्त है जो मुझे प्रासंगिक लगता है: वे हमले जो सबसे अधिक नुकसान पहुँचाते हैं, अप्रत्याशित कमजोरियों का लाभ नहीं उठाते; वे उन विशेषाधिकारों का लाभ उठाते हैं जिन्हें संगठन ने पर्याप्त निगरानी और बिना पर्याप्त अवरोध के दिया। Stryker को इसलिये भेद नहीं किया गया क्योंकि किसी ने Microsoft के कोड में एक छिद्र पाया। इसे इसलिये भेद किया गया क्योंकि किसी के पास चाबियाँ थीं, और निर्णय श्रृंखला में कोई भी ऐसा व्यक्ति नहीं था जिसने एक ऐसा प्रणाली का निर्माण किया हो, जो यह पुष्टि करने की मांग करता हो, प्रत्येक बार, कि ये चाबियाँ सही हाथों में हैं।
प्रशासनिक आराम जो नाजुकता पैदा करता है
मैंने इस पैटर्न को बैंकिंग, निर्माण और अब चिकित्सा प्रौद्योगिकी जैसे विभिन्न क्षेत्रों में दोहराते देखा है। एक कंपनी बढ़ती है। इसकी डिजिटल बुनियादी ढाँचा विस्तारित होती है। IT टीमें विशेषाधिकारों का संचय करेंगी क्योंकि चौड़े पहुंचों के साथ संचालित करना अधिक कुशल है बजाए कि सटीक पहुंचों के साथ। पहचान और पहुंच प्रबंधन एक तकनीकी वार्तालाप बन जाता है जो "सुरक्षा टीम की जिम्मेदारी है," और वो टीम, अक्सर सीमित संसाधनों के साथ और कार्यकारी मेज पर बिना सीट के, नीचे रिपोर्ट करती है।
प्रशासनिक आराम का अर्थ है आंतरिक प्रक्रियाओं को जटिल न करने का निष्कर्ष यह सुनिश्चित करना कि ऑपरेशनल गति बनी रहे। और वर्षों से, यह निर्णय सकारात्मक परिणाम पैदा करता है: सिस्टम काम करते हैं, उपकरणों का प्रबंधन होता है, कर्मचारी बिना पूंछ के काम करते हैं। जब तक कोई ऐसे क्रेडेंशियल्स के साथ यह निर्णय करता है कि वही आराम उसका प्रवेश का स्रोत है।
Stryker ने 2025 में 20,000 करोड़ डॉलर से अधिक की आय अर्जित की। इसके सर्जिकल रोबोट Mako ने अकेले 1,300 करोड़ डॉलर का प्रतिनिधित्व किया। कंपनी 79 देशों में काम करती है जिसमें हजारों कर्मचारी हैं। फिर भी, इसकी सभी उपकरणों का मिटाने की क्षमता एक विशेषाधिकार के स्तर पर थी, जिसे स्पष्ट रूप से चुराए गए क्रेडेंशियल्स के माध्यम से पहुँचा गया था। स्केल और नियंत्रण के बीच इस असामनता वही लक्षण है जो तब होता है जब विकास की गति संस्थागत परिपक्वता की गति को पार कर जाती है।
इस कहानी में कोई विशेष खलनायक नहीं है। यहाँ एक नेतृत्व संस्कृति है जिसने वर्षों से शायद संचालन की चाक-चौबंद को पहुंच प्रबंधन से पहले रखा। यह एक नेतृत्व निर्णय है, न कि कोई तकनीकी दुर्घटना।
BYOD मॉडल और वह ऋण जिसे कोई गिनना नहीं चाहता
इस हमले का एक तत्व है जो विशेष ध्यान देने योग्य है क्योंकि यह कॉर्पोरेट स्तर से परे जाता है: व्यक्तिगत उपकरण। Stryker, हजारों वैश्विक कंपनियों की तरह, उस प्रबंधन मॉडल के तहत कार्यरत थी जिसमें अपने कर्मचारियों के फोन और लैपटॉप शामिल थे, जो Microsoft Intune में नामांकित थे। जब Handala ने दूरस्थ विलोपन कार्यान्वित किया, तो उसने भेद नहीं किया। कॉर्पोरेट और व्यक्तिगत उपकरणों को समान निर्देश प्राप्त हुए। व्यक्तिगत तस्वीरें, पासवर्ड व्यवस्थापक, मल्टी-फैक्टर प्रमाणीकरण ऐप, वित्तीय रजिस्टर: सब कुछ हटा दिया गया।
कार्पोरेट वातावरण में व्यक्तिगत उपकरणों का मॉडल दक्षता को कंपनी में और जोखिम को कर्मचारी के पास स्थानांतरित करता है। Stryker ने वर्षों तक अपने कर्मचारियों को समर्पित कॉर्पोरेट उपकरणों के खर्च से बचा लिया। 11 मार्च 2026 को, उन कर्मचारियों ने अपनी व्यक्तिगत जानकारी के साथ उस बचत का मूल्य चुकाया।
यह किसी विशेष रूप से Stryker के बारे में नैतिक निर्णय नहीं है; यह पूरे उद्योग में फैली हुई एक प्रथा के बारे में एक निदान है। और जो यह प्रकट करता है वह यह है कि अधिकांश संगठन ईमानदारी से अपने कर्मचारियों और उनके बोर्डों के साथ यह वार्तालाप नहीं किए हैं: जब हम उनसे हमारे सिस्टम को अपने व्यक्तिगत उपकरणों पर स्थापित करने के लिए कहते हैं, तो हम उन्हें एक ऐसा जोखिम लेने का अनुरोध कर रहे हैं जिसे हम नहीं गिनते या संतुलित करते। इस एपिसोड के बाद संभावित सामूहिक अपीलें केवल हमलावरों के खिलाफ नहीं होंगी। वे उस कंपनी के खिलाफ भी होंगी जिसने एक ऐसा सिस्टम डिजाइन किया था जहाँ व्यक्तिगत डेटा के मिटने की संभावना उसके प्रबंधन आर्किटेक्चर का परिणाम थी।
Forrester के विश्लेषकों ने यह भी चेतावनी दी कि 50 टेराबाइट डेटा जो निकाले गए थे उसे अत्यधिक विश्वसनीय धोखाधड़ी के हमले बनाने के लिए उपयोग किया जा सकता है: अस्पतालों के लिए Stryker की ओर से नकली ईमेल, धोखाधड़ी की रिकॉल निर्देश, आपूर्ति श्रृंखला में हेरफेर। 11 मार्च का नुकसान 11 मार्च को समाप्त नहीं हुआ।
नेतृत्व की परिपक्वता उन विशेषाधिकारों में मापी जाती है जिन्हें किसी ने ऑडिट नहीं करना चाहा
ऐसी कहानी के लिए किसी भी संगठन के लिए उपलब्ध एक सुखदायक आख्यान है: हम एक सक्षम राज्य अभिनेता का शिकार हुए, हमने तेजी से कार्य किया, नुकसान को नियंत्रित किया, हमारे चिकित्सा उपकरण कभी भी प्रभावित नहीं हुए। और इस आख्यान के कुछ हिस्से सत्य हैं। Stryker ने अपेक्षाकृत तेजी से घुसपैठ का पता लगाया, उसके सर्जिकल रोबोट Mako स्थानीय स्तर पर USB में संग्रहीत योजनाओं के माध्यम से काम करते रहे और आपूर्ति की लाइनें मैनुअल प्रक्रियाओं के माध्यम से संचालित होती रहीं।
लेकिन इनमें से कोई भी प्रतिक्रिया उस सवाल का उत्तर नहीं देती जो प्रबंधन के लिए महत्वपूर्ण है जो इस एपिसोड से कुछ सीखना चाहता है: कौन सी प्रिविलेज एक्सेस प्रबंधन पर दिशा-निर्देश की बातचीत 11 मार्च से पहले नहीं की गई क्योंकि यह असुविधाजनक, महंगा या संगठन के भीतर राजनीतिक रूप से कठिन बना रहा।
किसी कंपनी की सुरक्षा आर्किटेक्चर हमेशा उसकी आंतरिक शक्ति की आर्किटेक्चर का सही प्रतिष्ठान है। वे विशेषाधिकार जो बिना ऑडिट के जमा होते हैं, वे डिजिटल के बराबर होते हैं जिन प्रक्रियाओं को कोई पुनः जांच नहीं करता क्योंकि जिसने उन्हें डिज़ाइन किया वह अभी भी कंपनी में है। वह क्रेडेंशियल जो नहीं घुमती हैं, वे वादे हैं जिन्हें किसी ने भी फिर से बातचीत नहीं की। वैश्विक प्रशासक पहुंच जो दोहरी प्रमाणीकरण के बिना है, वे निर्णय हैं जो एक बार, किसी अन्य संदर्भ में लिया गया, और जिन्हें किसी ने बाद में पूछने की प्रेरणा नहीं दी।
2025 में चिकित्सा प्रौद्योगिकी क्षेत्र में हमलों में 30% की वृद्धि हो रही है। रिकॉर्ड की गई 40% उधड़ने में चुराए गए क्रेडेंशियल शामिल हैं। ये संख्याएँ घबराने के लिए तर्क नहीं हैं; ये वो संदर्भ हैं जो आलस्य को अदृश्य नहीं बनाते।
एक अधिकारी जो इस एपिसोड को देखता है और निष्कर्ष निकालता है कि Stryker केवल बुरी किस्मत थी वह गलत कहानी पढ़ रहा है। किसी भी संगठन की संस्कृति एक प्रामाणिक उद्देश्य को खोजने का स्वाभाविक परिणाम है, या सभी कठिन वार्तालापों का अनिवार्य लक्षण है जिनका नेतृत्वकर्ता का अहंकार अपूर्वा नहीं होने देता।
