परिचय: एआई के द्वि-उपयोग खतरे और शासन की तात्कालिकता
साल 2024 की शुरुआत में, Anthropic नामक अग्रणी एआई अनुसंधान कंपनी ने Mythos नामक एक उन्नत एआई मॉडल पेश किया, जो मिनटों में स्वचालित रूप से जीरो-डे कमजोरियों का पता लगा सकता है, जिससे पारंपरिक खोज का समय 90% से अधिक घट जाता है (Anthropic Whitepaper 2024)। यह क्षमता एआई के द्वि-उपयोग स्वभाव को दर्शाती है, जहां एक ही तकनीक साइबर सुरक्षा को मजबूत करने या साइबर हमलों के लिए हथियार के रूप में इस्तेमाल की जा सकती है। भारत, जो साइबर सुरक्षा तत्परता में वैश्विक स्तर पर 10वें और साइबर हमलों की संख्या में 4थे स्थान पर है (ITU Global Cybersecurity Index 2023), ऐसे एआई संचालित खतरों से गंभीर जोखिम में है। वर्तमान कानूनी और संस्थागत ढांचे, जैसे Information Technology Act, 2000 और National Cyber Security Policy, 2013, में स्वायत्त एआई खतरों को संबोधित करने वाले स्पष्ट प्रावधान नहीं हैं, इसलिए राष्ट्रीय और वैश्विक स्तर पर शासन सुधार की आवश्यकता है।
UPSC प्रासंगिकता
- GS Paper 3: विज्ञान एवं प्रौद्योगिकी – एआई, साइबर सुरक्षा, कानूनी ढांचे
- GS Paper 2: अंतरराष्ट्रीय संबंध – वैश्विक साइबर शासन, UN GGE
- निबंध: डिजिटल युग में प्रौद्योगिकी और शासन की चुनौतियाँ
एआई का साइबर सुरक्षा पर परिवर्तनकारी प्रभाव
एआई ने साइबर सुरक्षा में क्रांति ला दी है, जिससे वास्तविक समय में खतरों का पता लगाने, पूर्वानुमान लगाने और स्वचालित रक्षा तंत्रों को सक्षम किया जा रहा है। हालांकि, एजेंटिक एआई सिस्टम, जो 5% से कम मानवीय हस्तक्षेप के साथ काम करते हैं (Cybersecurity Journal 2024), खतरे के परिदृश्यों में अनिश्चितता और जटिलता बढ़ाते हैं। बैंकिंग और ऊर्जा जैसे महत्वपूर्ण बुनियादी ढांचे, जो साइबर हमलों के कारण सालाना 1 बिलियन अमेरिकी डॉलर से अधिक का नुकसान झेलते हैं (World Economic Forum 2023), पर एआई-सशक्त बहु-चरणीय साइबर हमले तेजी से बढ़ रहे हैं। 2023 में भारत के महत्वपूर्ण बुनियादी ढांचे पर हुए 70% से अधिक साइबर हमलों में एआई तकनीकों का इस्तेमाल हुआ (CERT-In Annual Report 2023), जो खतरे के पैमाने को दर्शाता है।
- एआई स्वायत्त रूप से जीरो-डे कमजोरियों की खोज करता है, जिससे प्रतिक्रिया समय बहुत कम हो जाता है।
- एजेंटिक एआई की न्यूनतम मानवीय निगरानी तेज़ और अप्रत्याशित साइबर हमलों का जोखिम बढ़ाती है।
- परंपरागत साइबर सुरक्षा ढांचे, जो मानवीय नेतृत्व वाले खतरे की पहचान के लिए बनाए गए हैं, एआई-आधारित खतरों के खिलाफ अपर्याप्त हैं।
Anthropic का Mythos: द्वि-उपयोग दुविधा का उदाहरण
Mythos द्वि-उपयोग चुनौती का प्रतीक है: यह साइबर रक्षा को मजबूत कर सकता है, लेकिन इसकी स्वायत्त शोषण क्षमताएँ गैर-राज्यीय तत्वों और परिष्कृत विरोधियों द्वारा दुरुपयोग के खतरे पैदा करती हैं। यह मॉडल मानव साइबर सुरक्षा विशेषज्ञों से बेहतर प्रदर्शन करता है, जिससे अनधिकृत पहुँच और प्रणालीगत कमजोरियों की चिंता बढ़ती है। यह द्वैत नियामक प्रतिक्रियाओं को जटिल बनाता है, क्योंकि एआई विकास पर रोक लगाना नवाचार को बाधित कर सकता है, वहीं निगरानी की कमी सुरक्षा उल्लंघनों को आमंत्रित करती है।
- Mythos स्वायत्त रूप से कमजोरियों की पहचान और शोषण करता है, जो मानव टीमों से तेज़ है।
- साइबर अपराधियों और शत्रुतापूर्ण संस्थाओं द्वारा संभावित दुरुपयोग राष्ट्रीय सुरक्षा के लिए खतरा है।
- एआई की जवाबदेही और नियंत्रण से जुड़े नैतिक और कानूनी सवाल उठाता है।
भारत में कानूनी और संस्थागत ढांचे: कमियाँ और सीमाएँ
भारत का प्रमुख कानून, Information Technology Act, 2000, सेक्शन 43A (डेटा संरक्षण में विफलता के लिए मुआवजा) और 66F (साइबर आतंकवाद) शामिल करता है, लेकिन यह उन्नत एआई खतरों से पहले बना था। Personal Data Protection Bill, 2019, जो अभी लंबित है, संविधान के Article 21 (गोपनीयता का अधिकार) के तहत डेटा गोपनीयता को मजबूत करने का प्रयास करता है, जैसा कि Justice K.S. Puttaswamy (Retd.) vs Union of India (2017) में माना गया। हालांकि, इनमें से कोई भी स्वायत्त एआई सिस्टम या एजेंटिक एआई कमजोरियों को स्पष्ट रूप से संबोधित नहीं करता। CERT-In और NCIIPC जैसी संस्थाएं घटना प्रतिक्रिया और महत्वपूर्ण बुनियादी ढांचे की सुरक्षा का समन्वय करती हैं, लेकिन इनके पास एआई-विशिष्ट प्रावधान नहीं हैं। National Cyber Security Policy, 2013 को एआई शासन को शामिल करने के लिए अपडेट करने की जरूरत है।
- IT Act 2000 में एआई-आधारित स्वायत्त साइबर खतरों के लिए प्रावधान नहीं हैं।
- लंबित Personal Data Protection Bill गोपनीयता पर केंद्रित है, एआई खतरे कम करने पर नहीं।
- CERT-In और NCIIPC सक्रिय हैं लेकिन एआई-विशिष्ट चुनौतियों के लिए संसाधन सीमित हैं।
- MeitY नीति नेतृत्व करता है, लेकिन एआई साइबर सुरक्षा मानक अभी शुरुआती चरण में हैं।
तुलनात्मक अध्ययन: भारत और यूरोपीय संघ का साइबर सुरक्षा शासन
EU Cybersecurity Act, 2019 ने एआई सिस्टम के लिए बाध्यकारी प्रमाणन ढांचा स्थापित किया, जिससे सदस्य देशों में एआई-संबंधित साइबर उल्लंघनों में 15% की कमी आई (European Commission Report 2023)। यह ढांचा अनुपालन मूल्यांकन और निरंतर निगरानी को अनिवार्य करता है, जो वैश्विक मानक स्थापित करता है। इसके विपरीत, भारत की एआई-विशिष्ट साइबर सुरक्षा नीतियाँ अभी प्रारंभिक चरण में हैं, केवल 30% कंपनियां एआई-विशिष्ट प्रोटोकॉल अपनाती हैं (NASSCOM Survey 2023)। यह नियामक अंतर भारत को एजेंटिक एआई खतरों से अधिक जोखिम में डालता है।
| पहलू | यूरोपीय संघ | भारत |
|---|---|---|
| कानूनी ढांचा | Cybersecurity Act 2019 के तहत AI प्रमाणन | IT Act 2000; लंबित Personal Data Protection Bill |
| एआई-विशिष्ट साइबर सुरक्षा नीतियाँ | अनिवार्य प्रमाणन और निगरानी | प्रारंभिक, 30% कंपनियों द्वारा स्वैच्छिक अपनाना |
| संस्थागत क्षमता | EU Agency for Cybersecurity (ENISA) को अधिकार | CERT-In, NCIIPC सीमित AI फोकस के साथ |
| साइबर उल्लंघनों पर प्रभाव | एआई से संबंधित उल्लंघनों में 15% कमी | एआई संचालित हमलों की उच्च संख्या; विश्व में 4था स्थान |
आर्थिक दांव और साइबर सुरक्षा बाजार की प्रवृत्तियाँ
भारत का साइबर सुरक्षा बाजार 2025 तक USD 35 बिलियन तक पहुंचने का अनुमान है, जिसमें 15.6% की वार्षिक वृद्धि दर है (NASSCOM 2023)। सरकार ने 2023-24 के बजट में साइबर सुरक्षा के लिए INR 3,500 करोड़ आवंटित किए हैं, जो प्राथमिकता को दर्शाता है। वैश्विक स्तर पर, एआई साइबर सुरक्षा बाजार 2023 में USD 18.5 बिलियन का था और 2030 तक 23% की CAGR से बढ़ने की उम्मीद है (MarketsandMarkets)। साइबर अपराध की लागत 2025 तक सालाना USD 10.5 ट्रिलियन तक पहुंचने का अनुमान है (Cybersecurity Ventures)। ये आंकड़े मजबूत एआई साइबर सुरक्षा शासन की आर्थिक आवश्यकता को रेखांकित करते हैं।
- बढ़ता हुआ बाजार निवेश को बढ़ावा देता है लेकिन हमलों की सतह भी बढ़ाता है।
- महत्वपूर्ण बुनियादी ढांचे वाले क्षेत्र एआई संचालित साइबर हमलों से वित्तीय नुकसान में वृद्धि देख रहे हैं।
- सरकारी फंडिंग को एआई-विशिष्ट खतरे कम करने और क्षमता निर्माण पर केंद्रित करना चाहिए।
आगे का रास्ता: एआई साइबर सुरक्षा शासन को मजबूत बनाना
- IT Act 2000 में संशोधन करें और Personal Data Protection Bill को शीघ्र पारित करें ताकि एजेंटिक एआई और स्वायत्त हमलों को संबोधित करने वाले प्रावधान शामिल हों।
- EU Cybersecurity Act के मॉडल पर आधारित अनिवार्य एआई प्रमाणन ढांचा विकसित करें, जिससे अनुपालन सुनिश्चित हो और उल्लंघन कम हों।
- CERT-In और NCIIPC की संस्थागत क्षमताओं को बढ़ाएं, समर्पित एआई खतरा प्रतिक्रिया इकाइयों और निरंतर कौशल उन्नयन के साथ।
- सार्वजनिक-निजी भागीदारी को बढ़ावा दें, NASSCOM की उद्योग विशेषज्ञता का उपयोग कर एआई साइबर सुरक्षा नवाचार को प्रोत्साहित करें।
- UN GGE जैसे वैश्विक मंचों में सक्रिय भागीदारी करें ताकि एआई शासन के लिए अंतरराष्ट्रीय साइबर मानदंडों का निर्माण किया जा सके।
एआई संचालित साइबर सुरक्षा खतरों के बारे में निम्नलिखित कथनों पर विचार करें:
- एजेंटिक एआई सिस्टम 5% से कम मानवीय हस्तक्षेप के साथ काम करते हैं।
- Anthropic का Mythos मिनटों में स्वायत्त रूप से जीरो-डे कमजोरियों का पता लगा सकता है।
- IT Act 2000 स्वायत्त एआई सिस्टम को स्पष्ट रूप से नियंत्रित करता है।
उपरोक्त में से कौन सा/से कथन सही हैं?
उत्तर: (a)
कथन 1 सही है क्योंकि एजेंटिक एआई न्यूनतम मानवीय निगरानी के साथ काम करता है (Cybersecurity Journal 2024)। कथन 2 भी सही है (Anthropic Whitepaper 2024)। कथन 3 गलत है क्योंकि IT Act 2000 में स्वायत्त एआई सिस्टम के लिए स्पष्ट नियम नहीं हैं।
EU Cybersecurity Act 2019 और भारत के साइबर सुरक्षा ढांचे के बारे में निम्नलिखित पर विचार करें:
- EU Cybersecurity Act AI सिस्टम प्रमाणन अनिवार्य करता है, जिससे AI-संबंधित उल्लंघनों में कमी आई।
- भारत का Personal Data Protection Bill, 2019, AI साइबर सुरक्षा प्रमाणन अनिवार्य करता है।
- भारत का साइबर सुरक्षा बाजार 2025 तक USD 35 बिलियन तक पहुंचने का अनुमान है।
उपरोक्त में से कौन सा/से कथन सही हैं?
उत्तर: (c)
कथन 1 सही है (European Commission Report 2023)। कथन 2 गलत है क्योंकि Personal Data Protection Bill में AI प्रमाणन अनिवार्य नहीं है। कथन 3 सही है (NASSCOM 2023)।
मुख्य प्रश्न
Anthropic के Mythos जैसे उन्नत एआई मॉडलों द्वारा भारत के साइबर सुरक्षा ढांचे को होने वाली चुनौतियों का आलोचनात्मक विश्लेषण करें। एआई संचालित साइबर खतरों से प्रभावी ढंग से निपटने के लिए आवश्यक कानूनी और संस्थागत सुधारों पर चर्चा करें। (250 शब्द)
झारखंड और JPSC प्रासंगिकता
- JPSC पेपर: पेपर 3 – विज्ञान और प्रौद्योगिकी, साइबर सुरक्षा
- झारखंड का दृष्टिकोण: झारखंड के खनन और ऊर्जा क्षेत्रों में बढ़ती डिजिटलीकरण से एआई संचालित साइबर खतरों का जोखिम बढ़ रहा है।
- मुख्य बिंदु: राज्य स्तर पर एआई साइबर सुरक्षा नीतियों की जरूरत, जो राष्ट्रीय ढांचे के अनुरूप हों, और झारखंड के महत्वपूर्ण बुनियादी ढांचे की सुरक्षा में क्षमता निर्माण पर जोर।
साइबर सुरक्षा में एआई के द्वि-उपयोग दुविधा क्या है?
द्वि-उपयोग एआई उस तकनीक को कहते हैं जो साइबर सुरक्षा को मजबूत कर सकती है और साथ ही साइबर हमलों के लिए भी इस्तेमाल हो सकती है, जैसा कि Anthropic का Mythos दिखाता है, जो कमजोरियों का पता लगाता है लेकिन दुश्मनों द्वारा दुरुपयोग हो सकता है।
भारत में वर्तमान में साइबर आतंकवाद को कौन सा कानून नियंत्रित करता है?
Information Technology Act, 2000 का सेक्शन 66F साइबर आतंकवाद को अपराध मानता है, लेकिन यह एआई संचालित स्वायत्त साइबर खतरों को विशेष रूप से संबोधित नहीं करता।
भारत में CERT-In की क्या भूमिका है?
CERT-In भारत की राष्ट्रीय एजेंसी है जो साइबर घटनाओं का जवाब देती है और साइबर सुरक्षा समन्वय करती है, लेकिन फिलहाल इसके पास एआई-विशिष्ट संचालन इकाइयां नहीं हैं।
EU Cybersecurity Act ने एआई-संबंधित साइबर उल्लंघनों पर क्या प्रभाव डाला है?
EU Cybersecurity Act, 2019 ने एआई सिस्टम के लिए अनिवार्य प्रमाणन शुरू किया, जिससे सदस्य देशों में एआई-संबंधित साइबर उल्लंघनों में 15% की कमी आई (European Commission Report 2023)।
भारत का Personal Data Protection Bill साइबर सुरक्षा के लिए क्यों महत्वपूर्ण है?
यह बिल संविधान के Article 21 के तहत डेटा गोपनीयता को मजबूत करता है, लेकिन वर्तमान में इसमें एआई संचालित साइबर खतरों के लिए स्पष्ट प्रावधान नहीं हैं।