E-Paper Download App

बँकिंग, वित्तीय संस्था आणि इन्शुरन्स क्षेत्रातील सायबर सुरक्षितता

01-Feb-2024

Total Views | 51

भारतातील बँकिंग, फायनान्शिअल सर्व्हिसेस आणि इन्शुरन्स क्षेत्र (बीएफएसआय) वेगाने विकसित होत आहे. या गतिशील परिस्थितीत डिजिटल सुपरव्हिजन आणि सायबर सिक्युरिटी यांमधील नवोन्मेष, ‘बीएफएसआय’ उद्योगाच्या वाढीसाठी व परिणामकारकतेसाठी अत्यंत महत्त्वपूर्ण ठरतो. त्याचबरोबर संवेदनशील डेटाचे संरक्षण, सायबर धोक्यांचा प्रतिबंध आणि सायबर फसवणूक/हल्ले ओळखणे यांमुळे व्यवसायात सातत्य राखणे, नियमांची पूर्तता, ग्राहकांचा विश्वास टिकवून ठेवणे व आर्थिक तोटे भरून काढणे शक्य होणार आहे. एकंदर सुरक्षितता व विश्वासाच्या भावनेमुळे व्यवसायाला व वाढीला चालना मिळेल. त्यामुळेच या क्षेत्रातील सायबर सुरक्षिततेचे महत्त्व अधोरेखित करणारा हा लेख...

सायबर सुरक्षिततेला धोका निर्माण करणे तसेच त्यावरील हल्ले म्हणजे प्रामुख्याने, आयटी प्रणाली, नेटवर्क्स आणि डेटाबेसेसची, गोपनीयता (कॉन्फिडेन्शिअ‍ॅलिटी), सचोटी (इंटिग्रिटी) व उपलब्धता (अ‍ॅव्हलॅबिलिटी) म्हणजेच ‘सीआयए’ यांना आव्हान देण्याचा प्रयत्न असतो. गोपनीयता म्हणजे अधिकृत वापरकर्त्यांद्वारे प्रणालीतील प्रवेश व माहितीची उपलब्धता यांवर मर्यादा घातल्या जाणे, तर सचोटी म्हणजे डेटा खात्रीशीर व अचूक असेल याची हमी होय. उपलब्धता म्हणजे अधिकृत वापरकर्त्यांना प्रणालीत खात्रीशीर प्रवेशाची हमी दिली जाणे. सायबर सुरक्षितता चौकट ही सायबर हल्ल्यांचा प्रतिकार करू शकली पाहिजे. तसेच, सायबर विश्वाचे स्थितीस्थापकत्व सुधारू शकली पाहिजे. व्यावसायिक कंपनी सायबर हल्ल्यांना तोंड देण्यासाठी, त्यादरम्यान अन्य कामकाज चालू ठेवण्यासाठी आणि सायबर हल्ल्यांमधून सावरून पूर्वपदास येण्यासाठी सज्ज व सक्षम असली पाहिजे.

हे धोके प्रभावीपणे व कार्यक्षमतेने हाताळण्यासाठी कंपन्यांनी, विशेषत: ‘बीएफएसआय’ क्षेत्रांना, ठोस ‘इन्फॉर्मेशन अ‍ॅण्ड सायबर सिक्युरिटी पॉलिसी’(आयसीएसपी) लागू करणे. तसेच या धोरणाची नीट अंमलबजावणी तसेच तिचे पर्यवेक्षण करणे आवश्यक आहे. ‘आयसीएसपी’मध्ये व्यवस्थापनाच्या जबाबदार्‍या निश्चित केल्या जातात आणि कंपनीच्या महत्त्वपूर्ण डेटा व इन्फॉर्मेशन असेट्सचे संरक्षण करण्याच्या दृष्टीने सातत्यपूर्ण व सुयोग्य संरक्षणाचे ध्येय प्रस्थापित केले जाते. या धोरणाची नीट अंमलबजावणी केल्यास अपघाताने किंवा जाणूनबुजून माहिती फोडली जाण्याचा, तिच्यात बदल करण्याचा, ती नाहीशी करण्याचा, डेटा विलंबाने देण्याचा किंवा त्याच्या गैरवापराचा धोका कमी होईल.

कर्मचार्‍यांना कामकाज करण्यासाठी वापरकर्ताकेंद्री, विश्वासार्ह आणि सुरक्षित संसाधने व वातावरण पुरवले जाईल, या पद्धतीने हे धोरण अमलात आणले गेले पाहिजे. त्याचवेळी ग्राहकांच्या डेटासह माहितीच्या स्वरूपातील मालमत्तेच्या संरक्षणाचीही निश्चिती झाली पाहिजे. कर्मचार्‍याची सायबर जागरूकता हा या धोरणाचा अत्यावश्यक व अविभाज्य भाग आहे. सायबर जागरूकतेच्या लक्ष्य समूहामध्ये कर्मचार्‍यांसह कंत्राटदार, व्हेंडर्स आणि अन्य थर्ड पार्टी सेवा पुरवठादार यांचाही समावेश केला पाहिजे. सायबर सुरक्षितता उपायांमधील नवोन्मेषाच्या महत्त्वाच्या क्षेत्रांचे ढोबळ उद्दिष्ट प्रत्येक टप्प्यावर ‘डेटा लीकेज प्रोटेक्शन (डीएलपी)’ आणि ‘टेक्नोलॉजी रिस्क असेसमेंट (टीआरए) हेच असले पाहिजे.

यामुळे व्यावसायिक आस्थापनांमध्ये स्थापित माहिती-तंत्रज्ञान (आयटी) प्रणालीमध्ये सुधारणा होईल आणि त्यामुळे पुढे नियमांची पूर्तता, फसवणुकींचा प्रतिबंध व त्या ओळखणे तसेच कामकाजातील कार्यक्षमता सुधारणे, हे सर्व शक्य होईल. अलीकडेच आणल्या गेलेल्या ‘डिजिटल पर्सनल डेटा प्रोटेक्शन बिल (डीपीडीपीबी) २०२२’मुळे ‘बीएफएसआय’ क्षेत्रातील कंपन्यांना, ‘आयसीएसपी’च्या (इन्फॉर्मेशन अ‍ॅण्ड सायबर सिक्युरिटी पॉलिसी) माध्यमातून परिणामकारक व लवचिक सायबर सिक्युरिटी उपाय राबवण्यासाठी योग्य व प्रभावी पाठबळ मिळणार आहे.

अर्थात, ‘इन्फॉर्मेशन सिक्युरिटी रिस्क मॅनेजमेंट कमिटी’द्वारे (आयएसआरएमसी) या धोरणावर सातत्याने देखरेख ठेवली जाणे, तसेच त्याचा आढावा घेतला जाणे, धोरण निर्दोषपणे राबविले जाण्यासाठी अत्यावश्यक आहे. या समितीमध्ये चीफ रिस्क ऑफिसर (सीआरओ), चीफ इन्फॉर्मेशन सिक्युरिटी ऑफिसर (सीआयएसओ), चीफ आयटी सिक्युरिटी ऑफिसर (सीआयटीएसओ), चीफ सिक्युरिटी ऑफिसर (सीएसओ), चीफ ह्युमन रिसोर्स ऑफिसर (सीएचआरओ), चीफ टेक्नोलॉजी ऑफिसर (सीटीओ) आणि कार्यान्वयन, विधी, पूर्तता आणि वित्त विभागांचे कार्यकारी प्रमुख यांचा समावेश असतो.

अत्याधुनिक उपाय, धोरणे आणि सर्वोत्तम पद्धती यांच्या माध्यमातून चिरेबंद सायबर सुरक्षिततेच्या निश्चितीसाठी उद्योगक्षेत्राद्वारे प्रभावी व कार्यक्षम डिजिटल पर्यवेक्षणाचा मार्ग अवलंबला जातो. डिजिटल परिसंस्था सुरक्षित राखण्यासाठी हा मार्ग उपयुक्त ठरतो.

‘बीएफएसआय’ क्षेत्रामध्ये ‘आर्टिफिशिअल इंटेलिजन्स’ (एआय), ‘मशिन लर्निंग’ (एमएल), ‘इंटरनेट ऑफ थिंग्ज’ (आयओटी), ‘बिग डेटा अ‍ॅनालिटिक्स’ आणि ‘ब्लॉकचेन’ या प्रगत तंत्रज्ञानांचा अवलंब खूप मोठ्या प्रमाणात झाला आहे. या प्रगत तंत्रज्ञानांच्या वापरामुळे डिजिटल पर्यवेक्षण, फसवणुकीचा शोध व प्रतिबंध, जोखीम व्यवस्थापन आणि ग्राहकांची अस्सलता तपासणे, यांसारख्या सायबर सुरक्षितता वाढवणार्‍या प्रक्रियांना नवीन आकार येत आहे.

वित्तीय सेवांचे डिजिटल प्लॅटफॉर्म्सकडे स्थित्यंतर होऊ लागल्यामुळे, उद्योगावर प्रभावी देखरेख ठेवण्यात तसेच त्याचे पर्यवेक्षण करण्यात नियामक यंत्रणा व प्राधिकरणांना नवीन आव्हानांना तोंड द्यावे लागत आहे. ‘रेग टेक’सारखी (रेग्युलेटरी टेक्नोलॉजी अर्थात नियामक तंत्रज्ञान) नवोन्मेष्कारी सोल्युशन्स पूर्तता शिस्तबद्ध करण्यात, रिपोर्टिंगच्या स्वयंचलनात तसेच नियामक मानकांशी चिकटून राहण्यात उपयुक्त ठरत आहेत. ‘बीएफएसआय’ क्षेत्रातील सायबर सुरक्षितलेला असलेल्या धोक्यांमध्ये प्रामुख्याने रॅन्समवेअर हल्ले, डेटा ब्रीचेस, इनसायडर थ्रेट्स आणि सोशल इंजिनिअरिंग यांचा समावेश होतो. नवोन्मेष तसेच वर उल्लेख केलेल्या तंत्रज्ञानांचा वापर यांमुळे हे धोके सक्रियपणे शोधता येतात आणि त्यावर उपाय करता येतात.

सायबर धोक्यांपासून सामूहिक बचाव उभा करण्यासाठी वित्तीय संस्था, तंत्रज्ञान पुरवठादार आणि नियामक यंत्रणांचा सहयोगात्मक दृष्टिकोन व त्यांच्यातील समन्वय खूपच महत्त्वाचा आहे. नवोन्मेष्कारी सहयोग आणि माहितीचे आदानप्रदान करणारे उपक्रम यातून सायबर सुरक्षिततेच्या अधिक भक्कम यंत्रणांचा विकास केला जाऊ शकतो.

‘बीएफएसआय’ उद्योगामध्ये ग्राहकांचा विश्वास कायम राखण्याला सर्वोच्च महत्त्व असते. म्हणूनच व्यवसायांनी एन्क्रिप्शन्स, बायोमेट्रिक्स आणि सिक्युअर डेटा स्टोरेज यांसारखे नवोन्मेष्कारी उपाय अमलात आणणे खूपच आवश्यक आहे. यामुळे ग्राहकांच्या संवेदनशील माहितीचे संरक्षण होते आणि डेटा प्रायव्हसीचीही निश्चिती होते. लवचिकता आणि व्यवसायातील सातत्य या बाबी वाढीसाठी अत्यावश्यक आहेत. म्हणूनच ‘बीएफएसआय क्षेत्र डिझास्टर रिकव्हरी’ (फटक्यातून सावरणे) आणि ‘इन्सिडेंट रिस्पॉन्स कपॅबिलिटीज’ (प्रसंगाला तोंड देण्याची क्षमता) यांना खूप महत्त्व देत आहे.

‘बीएफएसआय’ क्षेत्रात ग्राहकांचा व्यक्तिगत डेटा प्रचंड प्रमाणात साठवला व वापरला जातो. तसेच, व्यवसायवाढीसाठी बिग डेटा अ‍ॅनालिटिक्सचा उपयोगही केला जातो. त्यामुळे व्यक्तिगत डेटाचे संरक्षण सर्वच कंपन्यांसाठी खूपच महत्त्वपूर्ण आहे. २०२२ मध्ये संसदेत सादर झालेल्या डिजिटल पर्सनल डेटा विधेयकात यावर विशेषत्वाने भर देण्यात आला आहे. खासगीत्व (प्रायव्हसी) हक्काचे संरक्षण आणि भारतातील व्यक्तींचे स्वातंत्र्य यांच्या कक्षांमध्ये या विधेयकाचा मसुदा तयार करण्यात आला आहे.

या विधेयकामध्ये व्यक्तीच्या सक्षमीकरणासाठी तसेच डिजिटल स्वरूपात व्यक्तिगत डेटावर तिला नियंत्रण मिळवून देण्यासाठी, प्रशासन, आवश्यकता, दंड, वेगवेगळ्या बाजूंच्या तक्रारींसाठी यंत्रणा, यांच्याशी संबंधित तरतुदी आहेत. या विधेयकात नमूद करण्यात आलेल्या महत्त्वाच्या बाजूंमध्ये व्यक्ती (डेटा प्रिन्सिपल), कंपनी (डेटा फिडुशिअरी अर्थात डेटा विश्वासाने सांभाळणारा घटक), कंपनीचे सदस्य (डेटा प्रोसेसर्स) आणि नियामक यंत्रणा (भारतीय डेटा संरक्षण मंडळ) यांचा समावेश आहे. भारतामध्ये ऑनलाईन व ऑफलाईन (डेटा आधी प्रत्यक्ष संकलित करून मग डिजिटाइझ करण्याची पद्धत) दोन्ही पद्धतींनी केलेल्या डेटा संकलनासाठी हे विधेयक लागू आहे.

डेटावर केल्या जाणार्‍या प्रक्रियेचा भारतीय प्रदेशामधील ‘डेटा प्रिन्सिपल’च्या (व्यक्ती) रुपरेषेशी किंवा तिला माल किंवा सेवा पुरवणार्‍या एखाद्या उपक्रमाशी संबंध असेल, तर भारताबाहेरील डेटाला आणि डिजिटल व्यक्तिगत डेटावर केल्या जाणार्‍या प्रक्रियांनाही हे विधेयक लागू आहे. हे विधेयक डेटा फिडुशिअरी, सिग्निफिकंट डेटा फिडुशिअरी, डेटा प्रोसेसर आणि डेटा प्रिन्सिपल यांच्यावरही काही बंधने घालते. केंद्र सरकार वैध मुद्द्यांचे मूल्यांकन करून त्या आधारे कोणत्याही डेटा फिडुशिअरीला किंवा डेटा फिडुशिअरी वर्गाला सिग्निफिकंट डेटा फिडुशिअरी म्हणून अधिसूचित करू शकते.

संपूर्ण ‘बीएफएसआय’ क्षेत्र तसेच नियामक प्राधिकरणांची कृती हे डेटाच्या पायावर उभे आहेत आणि अलीकडेच आलेले डेटा संरक्षण विधेयक बघता, आपल्या क्षेत्रात प्रभावी व गतिशील सायबर सुरक्षितता यंत्रणेची निश्चिती करणे या क्षेत्रातील सर्व संबंधितांसाठी अधिकच महत्त्वाचे झाले आहे. वर्तमान विश्वात ‘टाईम इज मनी’ या म्हणीची जागा ‘डेटा इज मनी’ या नवीन म्हणीने घेतली आहे. तेव्हा हा डेटा संरक्षित करून वाढीच्या संधींचा उपभोग घ्या!

डॉ. रश्मी सलुजा

(लेखिका रेलिगेअरच्या कार्याध्यक्षा आहेत.)

९००४०५६५७४