इस्लामाबाद:
जून 2024 में, अमेरिकी सरकार ने अमेरिकी कंपनियों द्वारा प्रदान किए जाने वाले EAR99 सॉफ़्टवेयर और IT सेवाओं के संबंध में रूस और बेलारूस पर अतिरिक्त निर्यात प्रतिबंधों की घोषणा की। EAR99 निर्यात प्रशासन विनियमन (EAR) व्यवस्था में डिफ़ॉल्ट श्रेणी है और इसमें व्यावसायिक रूप से उपलब्ध सॉफ़्टवेयर शामिल हैं। यह कदम कुछ हद तक आश्चर्यजनक था क्योंकि EAR पहले से ही कई देशों में दोहरे उपयोग (EAR 5A002 और 5D002) की संभावना वाले सॉफ़्टवेयर निर्यात को प्रतिबंधित करता है।
2020 में, अमेरिकी वाणिज्य विभाग के उद्योग और सुरक्षा ब्यूरो (BIS) ने वाणिज्य नियंत्रण सूची (CCL) में कई साइबर निगरानी और हैकिंग टूल जोड़े, इसके बाद यूरोपीय संघ के दोहरे उपयोग विनियमन के तहत भी इसी तरह की कार्रवाई की गई। पिछले साल ही, वासेनार व्यवस्था की नियंत्रण सूचियों में साइबर निगरानी उपकरणों की पाँच नई श्रेणियाँ जोड़ी गई हैं, जिसमें 43 भागीदार राज्य और यूरोपीय संघ शामिल हैं।
हार्वर्ड के बेलफर सेंटर के साइबर पावर इंडेक्स के अनुसार, पाकिस्तान को अभी भी शीर्ष-30 साइबर शक्तियों में जगह नहीं मिली है। निर्यात नियंत्रण और साइबर प्रसार उपायों के सख्त होने के कारण यह दर्जा प्राप्त करना और भी कठिन होता जाएगा। उदाहरण के लिए, फोर्ट्रा का कोबाल्ट स्ट्राइक सॉफ्टवेयर, जिसका उपयोग दुश्मन के सिमुलेशन और संचालन के लिए किया जाता है, अब अमेरिकी निर्यात नियंत्रण विनियमों के अधीन है। कंपनी अमेरिकी सरकार की प्रतिबंधित पार्टी सूचियों के विरुद्ध प्रत्येक निर्यात ऑर्डर की जांच करती है।
पाकिस्तानी खरीदारों के लिए, इस सॉफ़्टवेयर को प्राप्त करने में एक थकाऊ जांच प्रक्रिया शामिल है, क्योंकि खरीद केवल जिम्मेदार खरीदारों तक ही सीमित है। प्रस्तावित उपयोग-मामले को अस्वीकार किए जाने की संभावना है। यदि नहीं, तो आयात के समय सहमत मूल उपयोग-मामले के अनुपालन को सुनिश्चित करने के लिए निरंतर निगरानी के साथ अंतिम-उपयोगकर्ता प्रमाणपत्र की आवश्यकता होगी।
इसी तरह, डेटा कार्विंग टूल, साइबरवारफेयर सिमुलेशन प्रोग्राम, रूटकिट, भेद्यता मूल्यांकन और पैठ परीक्षण टूल सहित ईएआर के तहत सॉफ़्टवेयर के नवीनतम संस्करण प्राप्त करना लगातार मुश्किल होता जा रहा है। इन बाधाओं के बावजूद, साइबर हथियारों का बाजार 2024 में $11.6 बिलियन से बढ़कर 2028 में $17 बिलियन तक 10% की वार्षिक दर से बढ़ने का अनुमान है।
यह वृद्धि प्रवृत्ति इस वर्ष साइबर सुरक्षा उद्योग में कई अरब डॉलर के विलय और अधिग्रहणों से स्पष्ट है। उदाहरण के लिए, साइबरआर्क ने मई में $1.54 बिलियन के सौदे में वेनाफी का अधिग्रहण किया, और अकामाई टेक्नोलॉजीज ने लगभग $450 मिलियन में नोनेम सिक्योरिटी को खरीदने की योजना की घोषणा की। इसके अतिरिक्त, कोहेसिटी वेरिटास के डेटा सुरक्षा व्यवसाय का अधिग्रहण कर रही है, जिसके साथ सैकड़ों ऐसे साइबर सुरक्षा एमएंडए सौदे पाइपलाइन में हैं।
हालाँकि, पाकिस्तान के सार्वजनिक और निजी क्षेत्रों में, विशेषकर आक्रामक पक्ष में, न्यूनतम प्रगति हुई है।
पाकिस्तान के प्रमुख नीतिगत दस्तावेजों में साइबर का संदर्भ मुख्य रूप से साइबर हमलों से बचाव पर केंद्रित है, साइबर हथियार हासिल करने का कोई उल्लेख नहीं है। साइबर हथियार कई रूपों में आते हैं, और पारंपरिक सैन्य दृष्टिकोण से आक्रामक साइबर ऑपरेशन को अपेक्षाकृत गलत समझा जाता है।
ये ऑपरेशन पारंपरिक बैलिस्टिक हथियार प्रणालियों में कमज़ोरियों की पहचान करने से लेकर अलग-थलग नेटवर्क से वर्गीकृत जानकारी को बाहर निकालने तक हो सकते हैं। वे साइड-चैनल हमलों के लिए कई तरह की तकनीकों का इस्तेमाल करते हैं, जैसे कि सॉफ़्टवेयर-परिभाषित रेडियो, चिप व्हिस्परर और सॉफ़्टवेयर-परिभाषित नेटवर्क (एसडीएन)।
आक्रामक साइबर ऑपरेशन महत्वपूर्ण डेटा को मिटाकर, डेटा में परिवर्तन करके प्रणालियों को अविश्वसनीय बना कर, संचार को नकार कर, तथा महत्वपूर्ण अवसंरचना प्रणालियों पर नियंत्रण करके सीधे प्रतिष्ठानों को निशाना बना सकते हैं।
उदाहरण के लिए, यदि कोई राज्य प्रायोजित साइबर अपराधी नेशनल ट्रांसमिशन एंड डिस्पैच कंपनी (एनटीडीसी) की वेबसाइट तक पहुंच प्राप्त कर लेता है और गलत आवृत्तियों की रिपोर्ट करने के लिए इसके प्रबंधन पैनल में हेरफेर करता है, तो वह ग्रिड ऑपरेटरों को अनावश्यक सुधार करने के लिए मजबूर कर सकता है, जिसके परिणामस्वरूप देशव्यापी बिजली कटौती हो सकती है।
अमेरिकी सरकार ने द्वितीय विश्व युद्ध के आरंभ में ही टेम्पेस्ट नामक एक परियोजना शुरू की थी, जिसमें अनजाने रेडियो और पावर सिग्नल, ईएमएफ सिग्नेचर और ध्वनियों सहित लीक उत्सर्जन के माध्यम से सूचना प्रणालियों की जासूसी शामिल थी। अब एनएसए की देखरेख में, अमेरिका ने स्मार्टफोन, लैपटॉप और स्मार्ट टीवी सहित कंप्यूटर उपकरणों पर जासूसी करने की कई तकनीकों को निपुण किया है, चाहे उनका इंटरनेट कनेक्शन कुछ भी हो। ये तकनीकें साइबर हथियारों और COMINT (संचार खुफिया) की श्रेणी में आती हैं।
शांति काल के दौरान भी, देश विदेशी शत्रुओं में स्थापित विभिन्न प्रणालियों के लिए ‘सॉफ़्टवेयर बिल ऑफ़ मैटेरियल्स (SBOM)’ बनाए रखते हैं, एक ऐसी गतिविधि जिसके लिए OSINT और सार्वजनिक खरीद प्रणालियों पर नज़र रखने की आवश्यकता होती है। बाद में, लक्षित सॉफ़्टवेयर घटकों के लिए ज़ीरो-डे एक्सप्लॉइट (अप्रकाशित कमज़ोरियाँ) खरीदना अपेक्षाकृत सरल हो जाता है ताकि उन्हें समझौता किया जा सके। ज़ीरोडियम (पूर्व में वुपेन) जैसी कंपनियाँ इन एक्सप्लॉइट को सरकारी एजेंसियों को उनके साइबर हथियारों में इस्तेमाल करने के लिए बेचती हैं।
संक्षेप में कहें तो साइबर सुरक्षा अब एंटीवायरस और फायरवॉल के बारे में नहीं है, और साइबर युद्ध अब आम हैकिंग के बारे में नहीं है। यह परमाणु और मिसाइल प्रौद्योगिकियों के समान एक पूर्ण पारिस्थितिकी तंत्र में विकसित हो गया है, और तेजी से अमेरिकी निर्यात नियंत्रण व्यवस्थाओं के दायरे में आ रहा है। ऐसी परिस्थितियों में, साइबर शक्ति बनना एक लंबी, घुमावदार सड़क बनी हुई है जब तक कि अमेरिका या चीन से पर्याप्त प्रौद्योगिकी हस्तांतरण न हो।
लेखक कैम्ब्रिज से स्नातक हैं और रणनीति सलाहकार के रूप में काम कर रहे हैं
