भारत में क्यों इतनी आसानी से हैक हो जाते हैं सरकारी डिजिटल सिस्टम? (CBSE केस स्टडी से समझिए पूरा सच)
डिजिटल इंडिया के इस दौर में जहाँ एक तरफ हम हर सेवा को ऑनलाइन ला रहे हैं, वहीं दूसरी तरफ हमारी साइबर सुरक्षा (Cybersecurity) की दीवारें बेहद कमजोर साबित हो रही हैं। हाल ही में देश के सबसे बड़े शिक्षा बोर्ड CBSE (Central Board of Secondary Education) के डिजिटल इवैल्यूएशन सिस्टम (OnMark Portal) में लगी सेंध ने एक बार फिर देश को झकझोर कर रख दिया है।
एक 19 साल के एथिकल हैकर निसर्ग अधिकारी ने सोशल मीडिया पर यह साबित कर दिया कि कैसे लाखों छात्रों की कॉपियां, संवेदनशील डेटा और प्रश्न पत्र असुरक्षित तरीके से इंटरनेट पर मौजूद थे। आखिरकार ऐसा क्यों होता है कि करोड़ों रुपये खर्च करने के बाद भी हमारे डिजिटल सिस्टम इतने असुरक्षित रह जाते हैं? आइए इसके पीछे के मुख्य तकनीकी और प्रशासनिक कारणों को विस्तार से समझते हैं।
1. सीबीएसई (CBSE) मामले में आखिर क्या हुआ था? (The Case Study)
सीबीएसई ने कॉपियों को डिजिटल रूप से जांचने (On-Screen Marking) के लिए COEMPT Eduteck नाम की एक थर्ड-पार्टी कंपनी को वेंडर (Vendor) नियुक्त किया था। एथिकल हैकर्स ने इस सिस्टम में बेहद बुनियादी और गंभीर खामियां (Vulnerabilities) ढूंढ निकालीं:
असुरक्षित क्लाउड स्टोरेज: कॉपियों और प्रश्न पत्रों को स्टोर करने के लिए जिस अमेज़न वेब सर्विसेज (AWS) बकेट का इस्तेमाल किया गया था, उसे बिना किसी पासवर्ड या ऑथेंटिकेशन (Authentication) के 'पब्लिक' छोड़ दिया गया था。 कोई भी व्यक्ति उस लिंक के जरिए किसी भी छात्र की स्कैन की हुई कॉपी डाउनलोड कर सकता था।
मास्टर पासवर्ड की बड़ी लापरवाही: हैकर्स ने पाया कि पोर्टल की कोडिंग (JavaScript File) में ही एक 'मास्टर पासवर्ड' छुपा हुआ था। इसे डाउनलोड करके कोई भी व्यक्ति किसी भी परीक्षक (Examiner) के अकाउंट में बिना किसी OTP वेरिफिकेशन के लॉग-इन कर सकता था और छात्रों के नंबर बदल सकता था।
डेटा संप्रभुता (Data Sovereignty) का उल्लंघन: यह भी आरोप लगा कि छात्रों के संवेदनशील पर्सनल डेटा को अमेरिकी सर्वरों (जैसे गूगल जेमिनी के ऑटोमेशन स्क्रिप्ट्स) पर बिना किसी मजबूत प्राइवेसी चेक के प्रोसेस किया जा रहा था।
हालांकि, विवाद बढ़ने के बाद सीबीएसई ने सरकार और IIT के एक्सपर्ट्स को बुलाकर इस कमी को ठीक करने (Contain) का दावा किया, लेकिन इस घटना ने हमारे पूरे सरकारी डिजिटल इन्फ्रास्ट्रक्चर की पोल खोल दी।
2. भारत के सरकारी सिस्टम आसानी से हैक होने के 4 मुख्य कारण
सीबीएसई कोई अकेला मामला नहीं है; इससे पहले एम्स (AIIMS) दिल्ली का सर्वर डाउन होना या कोविन (CoWIN) डेटा लीक की खबरें भी आ चुकी हैं। सरकारी तंत्र में ये 4 बड़ी कमियां हमेशा सामने आती हैं:
क) 'सस्ता और आसान' रास्ता चुनना (Outsourcing & Third-Party Vendors)
ज्यादातर सरकारी विभाग खुद सॉफ्टवेयर या ऐप्स नहीं बनाते। वे इसके लिए टेंडर (Tender) जारी करते हैं। सरकारी टेंडर नियमों के मुताबिक अक्सर सबसे कम बोली लगाने वाली कंपनी (L1 Vendor) को काम दे दिया जाता है। पैसे बचाने के चक्कर में ये कंपनियां सुरक्षा मानकों (Cybersecurity Protocols) से समझौता करती हैं और सस्ते, असुरक्षित क्लाउड स्टोरेज का इस्तेमाल करती हैं。
ख) बेसिक कोडिंग और सुरक्षा नियमों की अनदेखी (Poor Tech Infrastructure)
सीबीएसई के केस में जो कमियां पाई गईं, वे बहुत एडवांस नहीं थीं। डिफ़ॉल्ट पासवर्ड छोड़ देना, यूआरएल-आधारित कमजोरियां (URL-based RCEs), और डेटा को बिना एन्क्रिप्शन (Encryption) के रखना ऐसी गलतियां हैं जो कोडिंग की शुरुआत करने वाले छात्र भी जानते हैं। सरकारी वेबसाइट्स का ऑडिट समय पर नहीं होता, जिससे ये कमियां महीनों तक लाइव रहती हैं।
ग) एथिकल हैकर्स और चेतावनियों को नजरअंदाज करना
निसर्ग अधिकारी ने बताया कि उन्होंने फरवरी 2026 में ही इसकी शिकायत सरकारी साइबर सुरक्षा एजेंसी CERT-In और सीबीएसई को ई-मेल के जरिए दी थी। लेकिन महीनों तक कोई ठोस कार्रवाई नहीं की गई। सरकारी अधिकारी अक्सर बाहरी चेतावनियों को गंभीरता से नहीं लेते और जब बात पब्लिक डोमेन में आती है, तब जाकर 'वॉर रूम' बनाए जाते हैं।
घ) साइबर साक्षरता और जवाबदेही की कमी (Lack of Accountability)
हमारे सरकारी विभागों में जो कर्मचारी इन सिस्टम्स को संभालते हैं, वे अक्सर साइबर सुरक्षा के आधुनिक खतरों से अनजान होते हैं। इसके अलावा, जब इतना बड़ा डेटा ब्रीच (Data Breach) होता है, तो किसी बड़े अधिकारी या वेंडर कंपनी पर सख्त कानूनी कार्रवाई या भारी जुर्माना नहीं लगाया जाता, जिससे लापरवाही का यह सिलसिला थमता नहीं है।
3. इस समस्या का समाधान क्या है? (The Way Forward)
अगर भारत को सही मायने में एक सुरक्षित डिजिटल महाशक्ति बनना है, तो हमें तुरंत ये बदलाव करने होंगे:
टेंडर पॉलिसी में बदलाव: वेंडर चुनते समय केवल 'सबसे कम कीमत' को पैमाना न बनाकर 'उच्चतम सुरक्षा रेटिंग' को अनिवार्य किया जाए।
अनिवार्य पीर-रिव्यू और ऑडिट: किसी भी सरकारी पोर्टल को लाइव करने से पहले और उसके बाद हर महीने स्वतंत्र साइबर सिक्योरिटी फर्म्स से उसका 'पेनिट्रेशन टेस्टिंग' (Penetration Testing) और ऑडिट कराया जाए।
बग बाउंटी प्रोग्राम (Bug Bounty Program): सरकार को भारतीय टेक टैलेंट और एथिकल हैकर्स के लिए इनाम की घोषणा करनी चाहिए, ताकि वे कमियां ढूंढकर सरकार को बताएं, न कि उनका गलत इस्तेमाल हो।
निष्कर्ष (Conclusion)
डिजिटलाइजेशन एक बेहतरीन कदम है, लेकिन बिना सुरक्षा के डिजिटलाइजेशन एक बड़े टाइम-बम की तरह है। सीबीएसई के मामले में गनीमत रही कि एक 19 साल के जिम्मेदार नागरिक ने इस कमी को उजागर किया, न कि किसी विदेशी साइबर अपराधी ने। अब समय आ गया है कि सरकार 'डेटा प्राइवेसी' और 'साइबर सुरक्षा' को एक ऐच्छिक (Optional) चीज न मानकर देश की संप्रभुता और सुरक्षा का मुख्य हिस्सा माने।
Comments (0)
No comments yet. Be the first to share your thoughts!
