6G सिक्योरिटी-बाय-डिज़ाइन दिशानिर्देश लॉन्च, AI इनसाइडर जोखिम गंभीर स्तर पर पहुंचा, एंटरप्राइज़ ज़ीरो-डे सर्वकालिक उच्च स्तर पर — सुरक्षा विनियमन राउंडअप
सात पश्चिमी देशों ने 6G नेटवर्क के लिए सिक्योरिटी-बाय-डिज़ाइन सिद्धांत प्रकाशित किए, इससे पहले कि मानक भी अंतिम रूप दिए जाएं। Mimecast की रिपोर्ट के अनुसार AI-संचालित इनसाइडर खतरे "गंभीर व्यावसायिक खतरा" बन गए हैं — 42% संगठनों ने दुर्भावनापूर्ण और लापरवाही दोनों प्रकार की इनसाइडर घटनाओं में वृद्धि देखी। Google की Threat Intelligence Group ने 2025 में 90 ज़ीरो-डे को ट्रैक किया, जिसमें एंटरप्राइज़ सॉफ़्टवेयर अब प्राथमिक लक्ष्य है। Microsoft ने Copilot डेटा लीकेज चिंताओं पर नए DLP नियंत्रणों के साथ प्रतिक्रिया दी। और Chrome में एक उच्च-गंभीरता Gemini AI भेद्यता ने EU AI Act के तहत AI सुरक्षा पर नए सवाल उठाए। यहां बताया गया है कि इस सप्ताह नियामकों और अनुपालन टीमों को किस पर कार्रवाई करनी होगी।
📡 GCOT ने 6G सिक्योरिटी-बाय-डिज़ाइन सिद्धांत लॉन्च किए
Global Coalition on Telecoms (GCOT) — जिसमें ऑस्ट्रेलिया, कनाडा, फिनलैंड, जापान, स्वीडन, यूके और अमेरिका शामिल हैं — ने बार्सिलोना में Mobile World Congress 2026 में स्वैच्छिक 6G सुरक्षा और लचीलापन सिद्धांत जारी किए। AT&T, BT, Ericsson, NVIDIA, Nokia, Qualcomm, Samsung और Vodafone सहित उद्योग भागीदारों ने इस ढांचे का समर्थन किया।
6G के अस्तित्व से पहले यह क्यों मायने रखता है
6G वाणिज्यिक रोलआउट 2029-2030 तक अपेक्षित नहीं होने के साथ, यह सिक्योरिटी-बाय-डिज़ाइन विनियमन का सबसे पहला उदाहरण है जो उस तकनीक से पहले आया जिसे यह नियंत्रित करता है। गठबंधन ने आकलन किया कि 6G अधिक वर्चुअलाइज़्ड नेटवर्क फ़ंक्शन, मानकीकृत इंटरफेस के साथ विघटित आर्किटेक्चर, और मूल AI एकीकरण लाएगा — प्रत्येक नई हमले की सतह बनाएगा जिसे मानक स्तर पर संबोधित किया जाना चाहिए, तैनाती के बाद नहीं।
आठ सिद्धांत
GCOT ने चार सुरक्षा और चार लचीलापन उद्देश्य परिभाषित किए:
| श्रेणी | सिद्धांत | मुख्य आवश्यकता |
|---|---|---|
| सुरक्षा | रोकथाम | नेटवर्क में दुर्भावनापूर्ण अभिकर्ताओं के प्रसार को सीमित करें |
| सुरक्षा | गोपनीयता | उपयोगकर्ता डेटा के लिए प्राइवेसी-बाय-डिज़ाइन, जासूसी से सुरक्षित |
| सुरक्षा | अखंडता | नेटवर्क ट्रांज़िट और इंफ्रास्ट्रक्चर में डेटा अखंडता की गारंटी |
| सुरक्षा | एक्सेस नियंत्रण | सभी नेटवर्क घटकों के लिए प्रमाणीकरण और प्राधिकरण |
| लचीलापन | सेवा निरंतरता | चुनौतीपूर्ण परिस्थितियों में उपलब्धता बनाए रखें |
| लचीलापन | आपूर्ति श्रृंखला | विश्वसनीय आपूर्तिकर्ता आश्वासन के साथ बहु-विक्रेता सुरक्षा |
| लचीलापन | भौतिक सुरक्षा | भौतिक और पर्यावरणीय खतरों के खिलाफ लचीलापन |
| लचीलापन | पुनर्प्राप्ति | सुरक्षा घटनाओं या व्यवधानों के बाद तेज़ बहाली |
विनियामक संरेखण
ये सिद्धांत सीधे मौजूदा और उभरते EU विनियमों से मैप होते हैं:
- NIS2 Article 21: सुरक्षा सिद्धांत दूरसंचार क्षेत्र में आवश्यक संस्थाओं के लिए NIS2 के जोखिम प्रबंधन उपायों को प्रतिबिंबित करते हैं — रोकथाम, अखंडता और एक्सेस नियंत्रण NIS2 की मूल आवश्यकताएं हैं
- EU Cyber Resilience Act (CRA): आपूर्ति श्रृंखला और सिक्योरिटी-बाय-डिज़ाइन सिद्धांत CRA की उत्पाद सुरक्षा आवश्यकताओं के अनुरूप हैं, जो व्यावसायीकरण होने पर 6G नेटवर्क उपकरणों पर लागू होंगे
- European Electronic Communications Code (EECC): GCOT के लचीलापन सिद्धांत नेटवर्क सुरक्षा और अखंडता पर EECC Articles 40-41 का पूरक हैं
- EU AI Act: 6G नेटवर्क में AI के मूल एकीकरण के साथ, Articles 6-49 के तहत AI शासन आवश्यकताएं उच्च-जोखिम के रूप में वर्गीकृत 6G इंफ्रास्ट्रक्चर में AI घटकों पर लागू होंगी
अनुपालन निष्कर्ष
दूरसंचार ऑपरेटरों और नेटवर्क उपकरण निर्माताओं को अभी अपने मौजूदा NIS2 और CRA अनुपालन कार्यक्रमों के विरुद्ध GCOT सिद्धांतों को मैप करना शुरू करना चाहिए। जब 3GPP द्वारा 6G मानक अंतिम रूप दिए जाएंगे, तो जिन संगठनों की विकास प्रक्रियाओं में सिक्योरिटी-बाय-डिज़ाइन शामिल है, उनके पास अनुपालन में महत्वपूर्ण बढ़त होगी। यह विनियामक अपेक्षाओं को अनिवार्य होने से पहले आकार देने का दुर्लभ अवसर है।
🤖 AI-संचालित इनसाइडर जोखिम: एक "गंभीर व्यावसायिक खतरा"
42% संगठनों ने बढ़ते इनसाइडर खतरों की रिपोर्ट की
Mimecast की State of Human Risk Report 2026, उत्तरी अमेरिका, यूरोप, दक्षिण पूर्व एशिया और ऑस्ट्रेलिया में 2,500 IT सुरक्षा निर्णय निर्माताओं के सर्वेक्षण पर आधारित, पाता है कि इनसाइडर जोखिम गंभीर स्तर तक बढ़ गया है — जो बड़े पैमाने पर कर्मचारियों द्वारा AI उपकरणों के दुरुपयोग और हमलावरों द्वारा अधिक प्रभावी सोशल इंजीनियरिंग के लिए AI को हथियार बनाने से प्रेरित है।
प्रमुख निष्कर्ष
- दुर्भावनापूर्ण इनसाइडर घटनाओं में 42% वृद्धि: कर्मचारी जानबूझकर डेटा चुरा रहे हैं, हेरफेर कर रहे हैं या नष्ट कर रहे हैं — अक्सर AI उपकरणों का उपयोग करके बड़े पैमाने पर संवेदनशील जानकारी का पता लगाने और बाहर निकालने के लिए
- लापरवाही घटनाओं में 42% वृद्धि: कर्मचारी व्यक्तिगत क्लाउड खातों, कमज़ोर पासवर्ड का उपयोग कर रहे हैं, या AI-उन्नत फ़िशिंग का शिकार हो रहे हैं — AI उत्पादकता उपकरणों द्वारा प्रदान की जाने वाली सुरक्षा की झूठी भावना से लापरवाही बढ़ रही है
- दुर्भावनापूर्ण इनसाइडर के बारे में CISO चिंता में साल-दर-साल 10% वृद्धि, सुरक्षा नेताओं ने अब प्रति माह औसतन छह इनसाइडर-संचालित खतरों की उम्मीद की है
- AI हथियार और भेद्यता दोनों के रूप में: हमलावर अधिक विश्वसनीय फ़िशिंग लालच तैयार करने के लिए AI का उपयोग करते हैं, जबकि इनसाइडर संवेदनशील डेटा को अधिक कुशलता से खोजने और निकालने के लिए AI का उपयोग करते हैं
EU AI Act प्रभाव
EU AI Act का जोखिम-आधारित ढांचा AI-संचालित इनसाइडर खतरों से सीधे संबंधित है:
- Article 9 (जोखिम प्रबंधन): कार्यस्थल वातावरण में तैनात उच्च-जोखिम AI सिस्टम में जोखिम प्रबंधन प्रणालियां शामिल होनी चाहिए जो दुरुपयोग परिदृश्यों को संबोधित करती हैं — जिसमें अधिकृत उपयोगकर्ताओं द्वारा जानबूझकर दुरुपयोग शामिल है
- Article 14 (मानव निरीक्षण): कॉर्पोरेट वातावरण में उपयोग किए जाने वाले AI उपकरणों को मानव निरीक्षण क्षमताओं को बनाए रखना चाहिए, जिसमें डेटा एक्सफ़िल्ट्रेशन पैटर्न का पता लगाने और रोकने की क्षमता शामिल है
- Article 13 (पारदर्शिता): AI उत्पादकता उपकरण तैनात करने वाले संगठनों को उपयोगकर्ताओं को सिस्टम की क्षमताओं और सीमाओं के बारे में सूचित करना चाहिए — कर्मचारियों को समझना चाहिए कि AI उपकरण किस डेटा तक पहुंच सकते हैं
- Article 52 (विशिष्ट पारदर्शिता): सामग्री उत्पन्न करने वाले या मनुष्यों के साथ बातचीत करने वाले AI सिस्टम को AI के रूप में पहचाने जाने योग्य होना चाहिए — यह कर्मचारियों को लक्षित करने वाले AI-निर्मित फ़िशिंग ईमेल पर लागू होता है
NIS2 और DORA आवश्यकताएं
इनसाइडर खतरे दोनों ढांचों के दायरे में स्पष्ट रूप से आते हैं:
- NIS2 Article 21(2)(i): "मानव संसाधन सुरक्षा" उपायों की आवश्यकता है, जिसमें पृष्ठभूमि जांच, सुरक्षा जागरूकता और एक्सेस प्रबंधन शामिल हैं — AI उपकरण शासन अब इसका हिस्सा होना चाहिए
- NIS2 Article 21(2)(a): जोखिम विश्लेषण और सूचना प्रणाली सुरक्षा नीतियों को AI-प्रवर्धित इनसाइडर जोखिम परिदृश्यों का हिसाब रखना चाहिए
- DORA Article 5: वित्तीय संस्थाओं को अपने ICT जोखिम प्रबंधन ढांचों में इनसाइडर खतरे के परिदृश्य शामिल करने चाहिए, AI-संचालित खतरों के लिए विशिष्ट पता लगाने और प्रतिक्रिया क्षमताओं की आवश्यकता है
- DORA Article 13: सीखने और विकसित होने की आवश्यकताओं का अर्थ है कि वित्तीय संस्थाओं को AI-सक्षम इनसाइडर हमले के पैटर्न को शामिल करने के लिए अपनी खतरा खुफिया जानकारी को अपडेट करना चाहिए
कार्रवाई आवश्यक
संगठनों को तुरंत ऑडिट करना चाहिए कि कर्मचारी कौन से AI उपकरण उपयोग कर रहे हैं (शैडो AI), AI-सहायता प्राप्त डेटा एक्सेस पर DLP नियंत्रण लागू करें, और अपने इनसाइडर खतरे का पता लगाने की बेसलाइन अपडेट करें। NIS2 और DORA के तहत, ज्ञात AI-संचालित इनसाइडर जोखिम पैटर्न को संबोधित करने में विफलता अब एक अनुपालन अंतर है। अपने अगले टेबलटॉप अभ्यास में AI दुरुपयोग परिदृश्यों को शामिल करें।
🎯 एंटरप्राइज़ ज़ीरो-डे सर्वकालिक उच्च स्तर पर: 2025 में 90
एंटरप्राइज़ सॉफ़्टवेयर अब प्राथमिक लक्ष्य
Google Threat Intelligence Group (GTIG) ने रिपोर्ट किया कि 2025 में 90 ज़ीरो-डे भेद्यताओं का सक्रिय रूप से शोषण किया गया — 2024 में 78 से बढ़कर। महत्वपूर्ण बदलाव: 48% अब एंटरप्राइज़ सॉफ़्टवेयर और उपकरणों को लक्षित करते हैं, 2024 में 46% से ऊपर, सुरक्षा और नेटवर्किंग उत्पादों पर सबसे अधिक प्रभाव।
एंटरप्राइज़ शिफ्ट
Google के विश्लेषण से खतरे के परिदृश्य में एक संरचनात्मक बदलाव का पता चलता है:
- 43 ज़ीरो-डे ने एंटरप्राइज़ उत्पादों को लक्षित किया — सुरक्षा उपकरण, नेटवर्किंग उपकरण, वर्चुअलाइज़ेशन प्लेटफ़ॉर्म और एंटरप्राइज़ एप्लिकेशन
- उनमें से 21 (लगभग आधे) ने सुरक्षा और नेटवर्किंग समाधानों को लक्षित किया — फ़ायरवॉल, VPN, राउटर और सुरक्षा गेटवे जो नेटवर्क एज पर बैठते हैं
- एज डिवाइस ब्लाइंड स्पॉट हैं: सुरक्षा उपकरणों में अक्सर एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (EDR) कवरेज की कमी होती है, जिससे ज़ीरो-डे शोषण का पता लगाना कठिन हो जाता है
- हमलावर गहराई से एम्बेड हो रहे हैं महत्वपूर्ण व्यावसायिक इंफ्रास्ट्रक्चर में, विशेषाधिकार वृद्धि और पार्श्विक गति के लिए समझौता किए गए एंटरप्राइज़ उपकरणों का उपयोग करते हैं
अतिरिक्त GTIG निष्कर्ष
- Windows सबसे लक्षित OS बना हुआ है: 47 अंतिम-उपयोगकर्ता ज़ीरो-डे में से, 24 (कुल का 27%) ने ऑपरेटिंग सिस्टम को लक्षित किया, Microsoft Windows अग्रणी
- मोबाइल ज़ीरो-डे में उछाल: 2025 में 15 मोबाइल OS ज़ीरो-डे, 2024 में 9 से ऊपर — 67% की वृद्धि
- ब्राउज़र ज़ीरो-डे ऐतिहासिक न्यूनतम पर: जैसे-जैसे ब्राउज़र सैंडबॉक्सिंग में सुधार होता है, हमलावर कम कठोर लक्ष्यों की ओर शिफ्ट हो रहे हैं
- CVE-2026-0628 (Chrome में Gemini AI): एक उच्च-गंभीरता (CVSS 8.8) विशेषाधिकार वृद्धि भेद्यता जो दुर्भावनापूर्ण एक्सटेंशन को Chrome ब्राउज़र पैनल में Gemini Live को हाइजैक करने की अनुमति देती है
विनियामक प्रभाव
| ढांचा | आवश्यकता | ज़ीरो-डे वृद्धि का प्रभाव |
|---|---|---|
| NIS2 | Art. 21(2)(e) — भेद्यता प्रबंधन | आवश्यक संस्थाओं के पास एंटरप्राइज़ इंफ्रास्ट्रक्चर के ज़ीरो-डे पता लगाने, ट्राइएज और आपातकालीन पैचिंग के लिए प्रक्रियाएं होनी चाहिए |
| DORA | Art. 9 — ICT जोखिम प्रबंधन | वित्तीय संस्थाओं को जोखिम आकलन में एंटरप्राइज़ ज़ीरो-डे परिदृश्य शामिल करने चाहिए और आपातकालीन पैचिंग प्रक्रियाएं बनाए रखनी चाहिए |
| CRA | Art. 11 — भेद्यता रिपोर्टिंग | उत्पाद निर्माताओं को सितंबर 2026 से सक्रिय रूप से शोषित भेद्यताओं की अनिवार्य 24-घंटे रिपोर्टिंग का सामना करना पड़ेगा |
| EU AI Act | Art. 15 — सटीकता, मजबूती, सुरक्षा | AI सिस्टम को शोषण के प्रति लचीला होना चाहिए — Gemini Chrome CVE दर्शाता है कि AI घटक नई भेद्यता श्रेणियां बनाते हैं |
अनुपालन निष्कर्ष
एंटरप्राइज़-लक्षित ज़ीरो-डे की ओर बदलाव का अर्थ है आपका सुरक्षा इंफ्रास्ट्रक्चर स्वयं अब प्राथमिक हमले की सतह है। NIS2 और DORA अनुपालन कार्यक्रमों में केवल पारंपरिक एंडपॉइंट ही नहीं, बल्कि सुरक्षा उपकरणों में ज़ीरो-डे प्रतिक्रिया के लिए विशिष्ट प्रक्रियाएं शामिल होनी चाहिए। संगठनों को ऐसा नेटवर्क विभाजन लागू करना चाहिए जो मानता हो कि सुरक्षा उपकरणों से समझौता हो सकता है, और एज डिवाइस के लिए आउट-ऑफ-बैंड मॉनिटरिंग तैनात करनी चाहिए।
🛡️ Microsoft Copilot डेटा सुरक्षा: व्यवहार में AI शासन
Microsoft ने Microsoft 365 Copilot के लिए नए डेटा हानि रोकथाम (DLP) नियंत्रणों की घोषणा की, व्यापक ग्राहक शिकायतों के जवाब में कि Copilot अपनी AI-जनित रिपोर्टों में गोपनीय जानकारी शामिल कर रहा था। नए नियंत्रण DLP नीतियों को स्थानीय रूप से सहेजी गई फ़ाइलों तक विस्तारित करते हैं — पहले, DLP केवल OneDrive और SharePoint में संग्रहीत फ़ाइलों की सुरक्षा करता था।
क्या बदला
मूल समस्या: Microsoft 365 Copilot का AI सहायक उपयोगकर्ताओं की मशीनों पर स्थानीय रूप से संग्रहीत फ़ाइलों तक पहुंच और प्रोसेस कर सकता था, भले ही DLP नीतियों ने उन्हीं फ़ाइलों को OneDrive और SharePoint पर प्रतिबंधित किया हो। इस अंतर का मतलब था कि गोपनीय दस्तावेज़ — DLP नियमों द्वारा संवेदनशील के रूप में चिह्नित — Copilot-जनित रिपोर्टों में बिना किसी सुरक्षा के सारांशित, उद्धृत या संदर्भित किए जा सकते थे।
- नया डिफ़ॉल्ट व्यवहार (अप्रैल 2026): DLP नीतियां Copilot द्वारा एक्सेस की जाने वाली सभी फ़ाइलों पर लागू होंगी, भंडारण स्थान की परवाह किए बिना
- डिफ़ॉल्ट रूप से लागू: संगठनों को ऑप्ट इन करने की आवश्यकता नहीं — सुरक्षा स्वचालित होगी
- पूर्वव्यापी प्रवर्तन: मौजूदा DLP नीतियां Copilot की स्थानीय फ़ाइल एक्सेस को कवर करने के लिए विस्तारित होंगी
विनियामक महत्व
यह प्रकरण एक विनियामक पैटर्न को दर्शाता है जिसे अनुपालन टीमों को आत्मसात करना चाहिए:
- GDPR Article 25 (डिज़ाइन द्वारा डेटा सुरक्षा): Copilot का मूल व्यवहार — मौजूदा DLP नियमों को लागू किए बिना गोपनीय डेटा को प्रोसेस करना — तर्कसंगत रूप से डिज़ाइन द्वारा और डिफ़ॉल्ट रूप से डेटा सुरक्षा के सिद्धांत का उल्लंघन करता है। DLP कवरेज सत्यापित किए बिना Copilot तैनात करने वाले संगठनों को नियंत्रक दायित्व का सामना करना पड़ सकता है
- EU AI Act Article 9 (जोखिम प्रबंधन): व्यक्तिगत या गोपनीय डेटा को प्रोसेस करने वाले AI सिस्टम में अनधिकृत डेटा एक्सपोज़र को रोकने के लिए नियंत्रण शामिल होने चाहिए। Copilot का DLP अंतर ठीक उसी प्रकार का जोखिम है जिसे Article 9 जोखिम प्रबंधन प्रणालियों को पहचानना और कम करना चाहिए
- DORA Article 28 (तृतीय-पक्ष ICT जोखिम): Microsoft 365 Copilot का उपयोग करने वाली वित्तीय संस्थाओं को इस DLP अंतर को एक महत्वपूर्ण ICT जोखिम घटना के रूप में मानना चाहिए। अपने तृतीय-पक्ष जोखिम रजिस्टर में अंतर, उपचार की समयसीमा (अप्रैल 2026), और किसी भी अंतरिम प्रतिपूरक नियंत्रण का दस्तावेज़ीकरण करें
- NIS2 Article 21(2)(d) — आपूर्ति श्रृंखला सुरक्षा: Copilot आपके ICT वातावरण में एक तृतीय-पक्ष AI घटक है। इसका डेटा हैंडलिंग व्यवहार एक आपूर्ति श्रृंखला जोखिम है जिसका निरंतर मूल्यांकन किया जाना चाहिए
कार्रवाई आवश्यक
अप्रैल तक प्रतीक्षा न करें। अभी अपनी Copilot तैनाती का ऑडिट करें यह पहचानने के लिए कि DLP सुरक्षा के बिना इसने कौन सा गोपनीय डेटा पहले ही प्रोसेस किया हो सकता है। GDPR Article 33 के तहत, यदि Copilot के DLP अंतर के माध्यम से व्यक्तिगत डेटा उजागर हुआ था, तो आपके पास रिपोर्ट करने योग्य डेटा उल्लंघन हो सकता है। अपने पर्यवेक्षी प्राधिकरण के लिए अपना आकलन और कोई भी प्रतिपूरक नियंत्रण दस्तावेज़ित करें।
⚠️ नकली AI ब्राउज़र एक्सटेंशन: उपभोक्ता संरक्षण अंतर
दुर्भावनापूर्ण "AI" एक्सटेंशन ऐप स्टोर में भर रहे हैं
सुरक्षा शोधकर्ताओं ने AI उत्पादकता उपकरणों के रूप में प्रच्छन्न दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन की बढ़ती प्रवृत्ति की पुष्टि की, जो प्रमुख ऐप स्टोर में दिखाई दे रहे हैं और प्रारंभिक समीक्षा प्रक्रियाओं को सफलतापूर्वक बायपास कर रहे हैं। ये एक्सटेंशन कुछ अपेक्षित AI कार्यक्षमता प्रदान करते हैं जबकि चुपचाप उपयोगकर्ता डेटा, क्रेडेंशियल और ब्राउज़िंग इतिहास एकत्र करते हैं।
विनियामक अंतर
यह प्रवृत्ति मौजूदा विनियामक ढांचों में गंभीर अंतर उजागर करती है:
- EU AI Act Article 52 (पारदर्शिता): उपयोगकर्ताओं के साथ बातचीत करने वाले AI सिस्टम को AI के रूप में पहचाने जाने योग्य होना चाहिए और अपने उद्देश्य का खुलासा करना चाहिए। नकली AI एक्सटेंशन पारदर्शिता और उद्देश्य सीमा दोनों आवश्यकताओं का उल्लंघन करते हैं, लेकिन ऐप स्टोर वितरण के लिए प्रवर्तन तंत्र अपरिभाषित हैं
- Digital Services Act (DSA): ऐप स्टोर DSA के तहत "ऑनलाइन प्लेटफ़ॉर्म" के रूप में योग्य हैं और दुर्भावनापूर्ण एक्सटेंशन के वितरण को रोकने के लिए उपाय लागू करने चाहिए। इसमें Very Large Online Platforms (VLOPs) के लिए सक्रिय सुरक्षा समीक्षा दायित्व शामिल हैं
- GDPR Article 5(1)(b) — उद्देश्य सीमा: अपनी बताई गई AI कार्यक्षमता से परे डेटा एकत्र करने वाले एक्सटेंशन उद्देश्य सीमा सिद्धांत का उल्लंघन करते हैं। डेटा सुरक्षा प्राधिकरणों को इन अभिकर्ताओं के खिलाफ प्रवर्तन को प्राथमिकता देनी चाहिए
- CRA उत्पाद सुरक्षा: जब CRA रिपोर्टिंग दायित्व सितंबर 2026 में प्रभावी होंगे, तो ऐप स्टोर को दुर्भावनापूर्ण एक्सटेंशन सहित वितरित सॉफ़्टवेयर में सक्रिय रूप से शोषित भेद्यताओं की रिपोर्ट करने की आवश्यकता हो सकती है
एंटरप्राइज़ अनुशंसा
सभी कॉर्पोरेट वातावरण के लिए ब्राउज़र एक्सटेंशन अनुमति सूची लागू करें। NIS2 Article 21(2)(i) के तहत, संगठनों को यह सुनिश्चित करना चाहिए कि कर्मचारी कॉर्पोरेट डिवाइस पर अनवेट्ड एक्सटेंशन इंस्टॉल नहीं कर सकते। एक स्वीकृत एक्सटेंशन सूची बनाए रखें और अन्य सभी को ब्लॉक करने के लिए ग्रुप पॉलिसी का उपयोग करें। AI उपकरण शासन अब एक सुरक्षा नियंत्रण है, IT सुविधा नहीं।
📅 विनियामक कैलेंडर: आगामी प्रमुख तिथियां
| तिथि | ढांचा | मील का पत्थर |
|---|---|---|
| मार्च 11, 2026 | Patch Tuesday | Microsoft मार्च 2026 रिलीज़ — 2025 में 90 ज़ीरो-डे के बाद, महत्वपूर्ण पैच के लिए तैयार रहें |
| अप्रैल 2026 | Microsoft | Copilot DLP स्थानीय फ़ाइल सुरक्षा डिफ़ॉल्ट रूप से लागू — सत्यापित करें कि आपकी DLP नीतियां सभी डेटा श्रेणियों को कवर करती हैं |
| मई 2, 2026 | EU AI Act | GPAI मॉडल पारदर्शिता दायित्व प्रभावी — AI प्रदाताओं को प्रशिक्षण डेटा सारांश प्रकाशित करना होगा |
| अगस्त 2, 2026 | EU AI Act | उच्च-जोखिम AI सिस्टम आवश्यकताएं प्रवर्तनीय (Articles 6-49) — पूर्ण अनुपालन स्टैक आवश्यक |
| सितंबर 11, 2026 | CRA | सक्रिय रूप से शोषित भेद्यताओं की अनिवार्य रिपोर्टिंग शुरू — 24-घंटे सूचना आवश्यकता |
| अक्टूबर 17, 2026 | NIS2 | सदस्य राज्य स्थानांतरण समय सीमा — सभी 27 EU देशों को राष्ट्रीय कानून में NIS2 होना चाहिए |
| 2029-2030 | GCOT/6G | अपेक्षित प्रारंभिक 6G वाणिज्यिक रोलआउट — तब तक सिक्योरिटी-बाय-डिज़ाइन सिद्धांत मानकों में शामिल होने चाहिए |
🔑 अनुपालन टीमों के लिए प्रमुख निष्कर्ष
- 6G सुरक्षा मानक अभी आकार ले रहे हैं। GCOT के आठ सिद्धांत ऐसी अपेक्षाएं निर्धारित करते हैं जो अनिवार्य आवश्यकताएं बनेंगी। दूरसंचार ऑपरेटरों और उपकरण निर्माताओं को आज ही अपनी सिक्योरिटी-बाय-डिज़ाइन प्रक्रियाओं को इन सिद्धांतों के साथ संरेखित करना चाहिए — अंतिम मानकों की प्रतीक्षा का अर्थ है पिछड़ना।
- AI इनसाइडर जोखिम एक अनुपालन दायित्व है, HR मुद्दा नहीं। 42% संगठनों द्वारा AI-संचालित इनसाइडर खतरों में वृद्धि की रिपोर्ट के साथ, NIS2 और DORA अनुपालन कार्यक्रमों में विशिष्ट AI उपकरण शासन नियंत्रण शामिल होने चाहिए — शैडो AI ऑडिट, AI-सहायता प्राप्त एक्सेस के लिए DLP, और AI क्षमताओं को ध्यान में रखने वाली इनसाइडर खतरा बेसलाइन।
- आपका सुरक्षा इंफ्रास्ट्रक्चर लक्ष्य है। Google के 90 ज़ीरो-डे निष्कर्ष, जिसमें लगभग आधे एंटरप्राइज़ सुरक्षा और नेटवर्किंग उपकरणों को लक्षित करते हैं, का अर्थ है कि भेद्यता प्रबंधन कार्यक्रमों को उन उपकरणों को प्राथमिकता देनी चाहिए जो आपकी रक्षा करने के लिए हैं। एज डिवाइस का समझौता मान लें और आउट-ऑफ-बैंड मॉनिटरिंग लागू करें।
- Microsoft Copilot का DLP अंतर AI शासन विफलताओं का पूर्वावलोकन है। डेटा हैंडलिंग नियंत्रणों को सत्यापित किए बिना AI उत्पादकता उपकरण तैनात करने वाले संगठनों को GDPR, EU AI Act और NIS2 दायित्व का सामना करना पड़ता है। नियामकों के प्रश्न पूछने से पहले AI उपकरण डेटा एक्सेस का ऑडिट करें।
- नकली AI एक्सटेंशन एक उपभोक्ता संरक्षण संकट हैं। जब तक DSA और CRA प्रवर्तन नहीं पकड़ता, एंटरप्राइज़ ब्राउज़र एक्सटेंशन अनुमति सूची आपका एकमात्र विश्वसनीय बचाव है। इसे अभी लागू करें।
- Patch Tuesday की तैयारी वैकल्पिक नहीं है। एंटरप्राइज़ ज़ीरो-डे के रिकॉर्ड वर्ष के बाद, दस्तावेज़ित, परीक्षित आपातकालीन पैचिंग प्रक्रियाओं के बिना DORA और NIS2 संस्थाएं एक अनुपालन घाटा चला रही हैं जिसे पर्यवेक्षक पहचानेंगे।