स्टार्टअप संस्थापक अक्सर गति, विकास और नवाचार को प्राथमिकता देते हैं – और मानते हैं कि सुरक्षा बाद में आ सकती है। वह धारणा अब मान्य नहीं है। आर्टिफिशियल इंटेलिजेंस (एआई)-संचालित हमले, सख्त डेटा सुरक्षा कानून और बढ़ती उपयोगकर्ता विश्वास अपेक्षाओं का मतलब है कि साइबर सुरक्षा अब एक मुख्य व्यावसायिक जिम्मेदारी है, न कि कोई तकनीकी विचार।
डिजिटल ट्रस्ट का अर्थ है कि उपयोगकर्ता मानते हैं कि उनकी पहचान, डेटा और लेनदेन सुरक्षित हैं। (प्रतीकात्मक फाइल फोटो)
इस साक्षात्कार में, ग्रांट थॉर्नटन भारत एलएलपी के पार्टनर और लीडर अक्षय गार्केल ने एआई, क्लाउड इन्फ्रास्ट्रक्चर और भारत के डिजिटल पर्सनल डेटा प्रोटेक्शन एक्ट, 2023 (डीपीडीपी) को नेविगेट करने वाले संस्थापकों के लिए अंतर्दृष्टि साझा की है – प्रचार के माध्यम से मूल सिद्धांतों पर ध्यान केंद्रित करने के लिए जो वास्तव में कंपनियों, डेटा और विश्वास की रक्षा करते हैं।
हमने इस विचार के साथ शुरुआत की कि अगला साइबर हमलावर मानव नहीं, बल्कि एआई-संचालित हो सकता है। क्या हम स्वयं सबसे उन्नत हमलावर तैयार कर रहे हैं?
अक्षय: सबसे उन्नत हमलावर पहले से मौजूद है. जो बदल गया है वह यह है कि हमले अब मानवीय प्रयास या समय तक सीमित नहीं हैं। एआई हमलावरों को स्वचालित करने, पैटर्न का निरीक्षण करने और लगातार स्केल करने की अनुमति देता है। आक्रमण थकते नहीं. यही असली बदलाव है. यदि हमलावर मशीन की गति से काम कर रहे हैं, तो बचाव को भी मशीन की गति से आगे बढ़ना होगा। अब केवल मानव निगरानी जारी नहीं रह सकती।
जब साइबर सुरक्षा की बात आती है तो स्टार्टअप आमतौर पर किस चीज़ को कम आंकते हैं?
अक्षय: अधिकांश कंपनियाँ बुनियादी बातों को कम आंकती हैं। हर कोई उन्नत उपकरणों के बारे में बात करता है, लेकिन कमजोर कॉन्फ़िगरेशन, खराब पहुंच नियंत्रण, अप्रकाशित सिस्टम और खराब पासवर्ड प्रथाओं के कारण उल्लंघन अभी भी होते हैं। सुरक्षा शुरू से ही इस बात का हिस्सा होनी चाहिए कि सिस्टम कैसे डिज़ाइन किया गया है। आप इसे बाद में लागू नहीं कर सकते और यह उम्मीद नहीं कर सकते कि यह काम करेगा।
क्लाउड-प्रथम, एपीआई-संचालित दुनिया में, क्या सुरक्षा परिधि का विचार अभी भी मौजूद है?
अक्षय: परिधि का विस्तार हुआ है. यह अब केवल संगठन का आंतरिक नेटवर्क नहीं रह गया है। इसमें एंडपॉइंट, एपीआई, विक्रेता, भागीदार और ग्राहक शामिल हैं। आज कई उल्लंघन कोर सिस्टम के अंदर नहीं बल्कि तीसरे पक्ष के एकीकरण के माध्यम से होते हैं। यदि आप अपने तीसरे पक्ष के जोखिम को नहीं समझते हैं, तो आप अपनी सुरक्षा स्थिति को नहीं समझते हैं।
आज डिजिटल ट्रस्ट का वास्तव में क्या मतलब है, खासकर जब डीपफेक और सिंथेटिक पहचान आम हो गई हैं?
अक्षय: डिजिटल ट्रस्ट का अर्थ है कि उपयोगकर्ता मानते हैं कि उनकी पहचान, डेटा और लेनदेन सुरक्षित हैं। यह गोपनीयता, अखंडता, निजता और पारदर्शिता के बारे में है। चाहे वह बैंकिंग हो, यूपीआई, आधार-आधारित सेवाएं, या डिजीयात्रा, भरोसा तब बनता है जब सिस्टम उपयोगकर्ताओं को सुरक्षित रूप से प्रमाणित करता है और उनके डेटा की लगातार सुरक्षा करता है। एक बार जब भरोसा टूट जाता है, तो उपयोगकर्ता डिजिटल रूप से जुड़ने से झिझकते हैं।
स्टार्टअप और बढ़ती कंपनियों को भारत के डिजिटल व्यक्तिगत डेटा संरक्षण (डीपीडीपी) अधिनियम के प्रति किस प्रकार दृष्टिकोण रखना चाहिए?
अक्षय: पहला कदम यह समझना है कि आप कौन सा व्यक्तिगत डेटा एकत्र करते हैं, इसे कहाँ संग्रहीत किया जाता है, और यह आपके सिस्टम के माध्यम से कैसे चलता है। कई संगठनों को तो यह बात पता ही नहीं है. डेटा अक्सर कागज पर शुरू होता है, स्कैन किया जाता है, और फिर उचित नियंत्रण के बिना डिजिटल सिस्टम में प्रवेश करता है। डीपीडीपी कंपनियों को जिम्मेदारी लेने के लिए बाध्य करता है। यदि आप गोपनीयता और सहमति तंत्र को जल्दी डिज़ाइन करते हैं, तो अनुपालन बहुत आसान हो जाता है।
क्या उपभोक्ता-सामना करने वाले और D2C स्टार्टअप को समान जोखिम और ज़िम्मेदारियों का सामना करना पड़ता है?
अक्षय: बिल्कुल। यहां तक कि छोटे D2C व्यवसाय भी नाम, फ़ोन नंबर, पते और भुगतान जानकारी एकत्र करते हैं। यदि वह डेटा लीक हो जाता है, तो इसका दुरुपयोग घोटालों और धोखाधड़ी के लिए किया जा सकता है। पैमाने से जिम्मेदारी कम नहीं होती. यदि आप व्यक्तिगत डेटा एकत्र करते हैं, तो आप इसकी सुरक्षा के लिए जिम्मेदार हैं।
संगठनों को एआई मॉडल और प्रशिक्षण डेटा सुरक्षित करने के बारे में कैसे सोचना चाहिए?
अक्षय: एआई सुरक्षा सिर्फ साइबर हमलों के बारे में नहीं है। यह इस बारे में भी है कि डेटा का उपयोग कैसे किया जाता है। यदि आप उचित सहमति के बिना व्यक्तिगत या संवेदनशील डेटा पर मॉडलों को प्रशिक्षित करते हैं, तो आप डेटा सुरक्षा कानूनों का उल्लंघन कर सकते हैं। सार्वजनिक मॉडल इस बारे में सावधान रहते हैं, लेकिन लापरवाही से बनाए गए निजी मॉडल कानूनी और नैतिक सीमाओं को पार कर सकते हैं। एआई के आसपास शासन महत्वपूर्ण है।
एआई का बहुत प्रचार है। संस्थापक और निवेशक क्या खो रहे हैं?
अक्षय: सबसे बड़ा ख़तरा लापरवाही से किया गया डेटा उपयोग है. डीपीडीपी के तहत जुर्माना तक जा सकता है ₹250 करोड़. एआई को एक खिलौने की तरह नहीं माना जा सकता। निवेशकों को पूछना चाहिए कि क्या स्टार्टअप अनुपालन, शासन और दीर्घकालिक जिम्मेदारी को समझते हैं। एआई को वास्तविक समस्याओं का समाधान करना चाहिए, न कि केवल मार्केटिंग के लिए।
क्या भविष्य में साइबर सुरक्षा में अधिक स्वचालन या अधिक मानवीय निरीक्षण की आवश्यकता है?
अक्षय: दोनों। गति और पैमाने के लिए स्वचालन आवश्यक है, लेकिन संदर्भ और निर्णय लेने के लिए अभी भी मनुष्यों की आवश्यकता है। लक्ष्य लोगों को हटाना नहीं है, बल्कि उन्हें बार-बार निगरानी के बजाय रणनीति पर ध्यान केंद्रित करने की अनुमति देना है।
कोपायलट या जेमिनी जैसे उपकरणों का उपयोग करते समय नेताओं को कितनी सावधानी बरतनी चाहिए?
अक्षय: नेताओं को अनुशासित रहना चाहिए. संवेदनशील जानकारी ज़्यादा साझा न करें. समझें कि डेटा कहां जाता है और इसे कैसे संग्रहीत किया जाता है। एआई को सोच का समर्थन करना चाहिए, निर्णय का स्थान नहीं लेना चाहिए।
