साझा पासवर्ड के कारण स्पेनिश बैंक को €400,000 का जुर्माना क्यों भुगतना पड़ा

कल्पना कीजिए कि आप एक उच्च-सुरक्षा वाले वॉल्ट (तिजोरी) में प्रवेश करते हैं, और पाते हैं कि प्रत्येक कर्मचारी एक ही भौतिक चाबी का उपयोग करता है। यदि नकदी का ढेर गायब हो जाता है, तो आप यह कैसे निर्धारित करेंगे कि दरवाजा किसने खोला था? यह किसी डकैती वाली फिल्म की कहानी नहीं है; यह वह डिजिटल वास्तविकता है जिसके कारण स्पेनिश डेटा सुरक्षा एजेंसी (AEPD) ने यूनिकाजा बैंको (Unicaja Banco) पर €400,000 का जुर्माना लगाया है।

इस मामले के केंद्र में वह बुनियादी विफलता है जिसे हम 'एक्सेस कंट्रोल' (पहुंच नियंत्रण) कहते हैं। साइबर सुरक्षा की दुनिया में, एक्सेस कंट्रोल वह डिजिटल बाउंसर है जो यह तय करता है कि किसे क्या देखने को मिलेगा। यूनिकाजा के लिए, यह बाउंसर अनिवार्य रूप से अपनी पोस्ट पर सो रहा था, जिससे कई ऑपरेटरों को साझा, सामान्य क्रेडेंशियल्स का उपयोग करके संवेदनशील वीडियो निगरानी फुटेज तक पहुंचने की अनुमति मिल गई।

मशीन में छिपा भूत (The Ghost in the Machine)

जब AEPD ने बैंक की निगरानी प्रथाओं की जांच की, तो उन्होंने एक प्रणालीगत भेद्यता (systemic vulnerability) की खोज की। प्रत्येक सुरक्षा अधिकारी के पास एक विशिष्ट उपयोगकर्ता नाम और पासवर्ड होने के बजाय—जिसे 'नामांकित खाते' (nominative accounts) के रूप में जाना जाता है—बैंक साझा लॉगिन पर निर्भर था। नियामक संदर्भ में, यह एक महापाप है। यदि पांच लोग 'Security_Admin' लॉगिन का उपयोग करते हैं, तो बैंक अपनी पूरी पता लगाने की क्षमता (traceability) खो देता है।

ट्रेसेबिलिटी वह पदचिह्न है जो किसी संगठन को यह पुनर्निर्माण करने की अनुमति देता है कि व्यक्तिगत डेटा तक किसने पहुंच बनाई, कब बनाई और उन्होंने क्या देखा। इसके बिना, बैंक यह साबित नहीं कर सका कि कैमरों को देखने वाले लोग उस विशिष्ट क्षण में ऐसा करने के लिए अधिकृत थे। GDPR के तहत, यदि डेटा को अत्यधिक सावधानी से नहीं संभाला जाता है, तो वह एक विषैली संपत्ति बन जाता है; नागरिकों के वीडियो फुटेज विशेष रूप से संवेदनशील होते हैं क्योंकि वे सार्वजनिक और निजी स्थानों में व्यवहार, आवाजाही और पहचान को कैप्चर करते हैं।

'हैंड्स-ऑफ प्रोसेसर' का मिथक

इस फैसले के सबसे दिलचस्प पहलुओं में से एक यह है कि यह 'डेटा कंट्रोलर' (बैंक) और उसके 'डेटा प्रोसेसर' (बाहरी सुरक्षा फर्म) के बीच संबंधों को कैसे संभालता है। सरल शब्दों में, कंट्रोलर वह बॉस होता है जो यह तय करता है कि डेटा क्यों एकत्र किया जाता है, और प्रोसेसर वह ठेकेदार होता है जिसे वास्तविक काम करने के लिए काम पर रखा जाता है।

यूनिकाजा ने तर्क दिया कि निगरानी प्रणाली के तकनीकी कार्यान्वयन के लिए सुरक्षा फर्म जिम्मेदार थी। हालाँकि, AEPD ने इसे स्वीकार नहीं किया। कानून की नजर में, कंट्रोलर जहाज का कप्तान होता है। आप स्टीयरिंग का काम सौंप सकते हैं, लेकिन आप सही रास्ते पर रहने की जिम्मेदारी नहीं सौंप सकते। यूनिकाजा अपने प्रोसेसर की निगरानी करने में विफल रहा, अनिवार्य रूप से एक अनुबंध पर हस्ताक्षर किए और फिर दूसरी तरफ देखने लगा जबकि ठेकेदार पुराने, असुरक्षित लॉगिन तरीकों का उपयोग कर रहा था।

अनुपालन एक दिशा-सूचक के रूप में, चेकलिस्ट के रूप में नहीं

यह €400,000 का जुर्माना एक सख्त अनुस्मारक के रूप में कार्य करता है कि अनुपालन 'सेट करें और भूल जाएं' वाला कार्य नहीं है। यह नेविगेशन की एक निरंतर प्रक्रिया है। AEPD ने यूनिकाजा को वीडियो सुरक्षा के प्रति अपने पूरे दृष्टिकोण को बदलने के लिए तीन महीने का समय दिया है। यह केवल पासवर्ड बदलने के बारे में नहीं है; यह उनकी गोपनीयता संरचना की नींव को फिर से बनाने के बारे में है।

अनुपालन करने के लिए, बैंक को कई मजबूत उपाय लागू करने होंगे:

• व्यक्तिगत पहचान: वीडियो फीड तक पहुंच रखने वाले प्रत्येक व्यक्ति के पास एक अद्वितीय, नामांकित खाता होना चाहिए।
• भूमिका-आधारित पहुंच नियंत्रण (RBAC): पहुंच विस्तृत होनी चाहिए। एक कनिष्ठ गार्ड को लाइव फीड देखने की आवश्यकता हो सकती है, लेकिन केवल एक वरिष्ठ प्रबंधक को ही रिकॉर्ड किए गए फुटेज को निर्यात करने या हटाने में सक्षम होना चाहिए।
• व्यापक लॉगिंग: सिस्टम को स्वचालित रूप से प्रत्येक लॉगिन, लॉगआउट और फ़ाइल एक्सेस को रिकॉर्ड करना चाहिए, जिससे एक स्थायी, छेड़छाड़-मुक्त ऑडिट ट्रेल बन सके।

डिजिटल जासूस की नोटबुक से सबक

एक ऐसे व्यक्ति के रूप में जो अपना दिन डेटा उल्लंघन और नियामक फाइलिंग के विश्लेषण में बिताता है, मैं इस पैटर्न को अक्सर देखता हूं। संगठन अक्सर गोपनीयता को एक मौलिक मानव अधिकार के बजाय एक नौकरशाही बाधा के रूप में देखते हैं। वे भौतिक तिजोरियों में लाखों का निवेश करते हैं लेकिन डिजिटल 'पिछले दरवाजे' को एक स्टिकी नोट पर लिखे साझा पासवर्ड के साथ खुला छोड़ देते हैं।

अपने काम में, मैं डेटा के हर टुकड़े को यूरेनियम की तरह मानता हूं। यह शक्तिशाली और आवश्यक है, लेकिन यदि आपके पास सही परिरक्षण और नियंत्रण प्रोटोकॉल नहीं हैं, तो यह अंततः लीक हो जाएगा और महत्वपूर्ण नुकसान पहुंचाएगा। यूनिकाजा के लिए, रिसाव दुनिया भर का कोई हैकर नहीं था; यह अपने स्वयं के कर्मचारियों और ग्राहकों के डिजिटल पदचिह्नों का सम्मान करने में एक प्रणालीगत विफलता थी।

अपने स्वयं के 'डिजिटल वॉल्ट' का ऑडिट कैसे करें

चाहे आप एक छोटा व्यवसाय चलाते हों या एक बहुराष्ट्रीय निगम, यूनिकाजा मामला कानून के सही पक्ष में रहने के लिए व्यावहारिक सबक प्रदान करता है:

1. सामान्य खातों को खत्म करें: यदि आपकी टीम व्यक्तिगत डेटा (ईमेल, CRM, CCTV) वाले किसी भी सिस्टम के लिए लॉगिन साझा करती है, तो उसे आज ही अक्षम कर दें।
2. अपने विक्रेताओं को सत्यापित करें: यह न मानें कि आपके सॉफ़्टवेयर प्रदाता या सुरक्षा ठेकेदार अनुपालन कर रहे हैं। ऑडिट लॉग और उनके सुरक्षा प्रोटोकॉल का प्रमाण मांगें।
3. न्यूनतम विशेषाधिकार का सिद्धांत: लोगों को केवल उतनी ही पहुंच दें जितनी उन्हें अपना काम करने के लिए आवश्यक है। यदि उन्हें डेटा डाउनलोड करने की आवश्यकता नहीं है, तो उनके इंटरफ़ेस से 'डाउनलोड' बटन हटा दें।
4. ट्रेल की समीक्षा करें: समय-समय पर अपने एक्सेस लॉग की जांच करें। यदि आप किसी ऐसे कर्मचारी से रात 3:00 बजे लॉगिन देखते हैं जो केवल दिन की पाली में काम करता है, तो आपने जुर्माना बनने से पहले एक खतरे का संकेत ढूंढ लिया है।

अंततः, 'प्राइवेसी बाय डिज़ाइन' एक घर की नींव है। यदि नींव में दरार है—यदि आप निश्चित रूप से यह भी नहीं कह सकते कि आपके डेटा को कौन देख रहा है—तो पूरी संरचना अनिश्चित है।

स्रोत

• General Data Protection Regulation (GDPR), Article 5(1)(f) (Integrity and Confidentiality) and Article 32 (Security of Processing).
• Spanish Organic Law 3/2018 (LOPDGDD) on the Protection of Personal Data.
• AEPD Decision PS/00392/2023 regarding Unicaja Banco S.A.

अस्वीकरण
यह लेख केवल सूचनात्मक और पत्रकारिता के उद्देश्यों के लिए प्रदान किया गया है। यह कानूनी सलाह नहीं है। गोपनीयता नियमों के अनुपालन पर विशिष्ट मार्गदर्शन के लिए, कृपया एक योग्य कानूनी पेशेवर से परामर्श लें।