剣 KENSAI
← All posts · regulations · 2026-03-09 · 16 min

6G सिक्योरिटी-बाय-डिज़ाइन दिशानिर्देश लॉन्च, AI इनसाइडर जोखिम गंभीर स्तर पर पहुंचा, एंटरप्राइज़ ज़ीरो-डे सर्वकालिक उच्च स्तर पर — सुरक्षा विनियमन राउंडअप

सात पश्चिमी देशों ने 6G नेटवर्क के लिए सिक्योरिटी-बाय-डिज़ाइन सिद्धांत प्रकाशित किए, इससे पहले कि मानक भी अंतिम रूप दिए जाएं। Mimecast की रिपोर्ट के अनुसार AI-संचालित इनसाइडर खतरे "गंभीर व्यावसायिक खतरा" बन गए हैं — 42% संगठनों ने दुर्भावनापूर्ण और लापरवाही दोनों प्रकार की इनसाइडर घटनाओं में वृद्धि देखी। Google की Threat Intelligence Group ने 2025 में 90 ज़ीरो-डे को ट्रैक किया, जिसमें एंटरप्राइज़ सॉफ़्टवेयर अब प्राथमिक लक्ष्य है। Microsoft ने Copilot डेटा लीकेज चिंताओं पर नए DLP नियंत्रणों के साथ प्रतिक्रिया दी। और Chrome में एक उच्च-गंभीरता Gemini AI भेद्यता ने EU AI Act के तहत AI सुरक्षा पर नए सवाल उठाए। यहां बताया गया है कि इस सप्ताह नियामकों और अनुपालन टीमों को किस पर कार्रवाई करनी होगी।


📡 GCOT ने 6G सिक्योरिटी-बाय-डिज़ाइन सिद्धांत लॉन्च किए

Global Coalition on Telecoms (GCOT) — जिसमें ऑस्ट्रेलिया, कनाडा, फिनलैंड, जापान, स्वीडन, यूके और अमेरिका शामिल हैं — ने बार्सिलोना में Mobile World Congress 2026 में स्वैच्छिक 6G सुरक्षा और लचीलापन सिद्धांत जारी किए। AT&T, BT, Ericsson, NVIDIA, Nokia, Qualcomm, Samsung और Vodafone सहित उद्योग भागीदारों ने इस ढांचे का समर्थन किया।

6G के अस्तित्व से पहले यह क्यों मायने रखता है

6G वाणिज्यिक रोलआउट 2029-2030 तक अपेक्षित नहीं होने के साथ, यह सिक्योरिटी-बाय-डिज़ाइन विनियमन का सबसे पहला उदाहरण है जो उस तकनीक से पहले आया जिसे यह नियंत्रित करता है। गठबंधन ने आकलन किया कि 6G अधिक वर्चुअलाइज़्ड नेटवर्क फ़ंक्शन, मानकीकृत इंटरफेस के साथ विघटित आर्किटेक्चर, और मूल AI एकीकरण लाएगा — प्रत्येक नई हमले की सतह बनाएगा जिसे मानक स्तर पर संबोधित किया जाना चाहिए, तैनाती के बाद नहीं।

आठ सिद्धांत

GCOT ने चार सुरक्षा और चार लचीलापन उद्देश्य परिभाषित किए:

श्रेणीसिद्धांतमुख्य आवश्यकता
सुरक्षारोकथामनेटवर्क में दुर्भावनापूर्ण अभिकर्ताओं के प्रसार को सीमित करें
सुरक्षागोपनीयताउपयोगकर्ता डेटा के लिए प्राइवेसी-बाय-डिज़ाइन, जासूसी से सुरक्षित
सुरक्षाअखंडतानेटवर्क ट्रांज़िट और इंफ्रास्ट्रक्चर में डेटा अखंडता की गारंटी
सुरक्षाएक्सेस नियंत्रणसभी नेटवर्क घटकों के लिए प्रमाणीकरण और प्राधिकरण
लचीलापनसेवा निरंतरताचुनौतीपूर्ण परिस्थितियों में उपलब्धता बनाए रखें
लचीलापनआपूर्ति श्रृंखलाविश्वसनीय आपूर्तिकर्ता आश्वासन के साथ बहु-विक्रेता सुरक्षा
लचीलापनभौतिक सुरक्षाभौतिक और पर्यावरणीय खतरों के खिलाफ लचीलापन
लचीलापनपुनर्प्राप्तिसुरक्षा घटनाओं या व्यवधानों के बाद तेज़ बहाली

विनियामक संरेखण

ये सिद्धांत सीधे मौजूदा और उभरते EU विनियमों से मैप होते हैं:

अनुपालन निष्कर्ष

दूरसंचार ऑपरेटरों और नेटवर्क उपकरण निर्माताओं को अभी अपने मौजूदा NIS2 और CRA अनुपालन कार्यक्रमों के विरुद्ध GCOT सिद्धांतों को मैप करना शुरू करना चाहिए। जब 3GPP द्वारा 6G मानक अंतिम रूप दिए जाएंगे, तो जिन संगठनों की विकास प्रक्रियाओं में सिक्योरिटी-बाय-डिज़ाइन शामिल है, उनके पास अनुपालन में महत्वपूर्ण बढ़त होगी। यह विनियामक अपेक्षाओं को अनिवार्य होने से पहले आकार देने का दुर्लभ अवसर है।


🤖 AI-संचालित इनसाइडर जोखिम: एक "गंभीर व्यावसायिक खतरा"

42% संगठनों ने बढ़ते इनसाइडर खतरों की रिपोर्ट की

Mimecast की State of Human Risk Report 2026, उत्तरी अमेरिका, यूरोप, दक्षिण पूर्व एशिया और ऑस्ट्रेलिया में 2,500 IT सुरक्षा निर्णय निर्माताओं के सर्वेक्षण पर आधारित, पाता है कि इनसाइडर जोखिम गंभीर स्तर तक बढ़ गया है — जो बड़े पैमाने पर कर्मचारियों द्वारा AI उपकरणों के दुरुपयोग और हमलावरों द्वारा अधिक प्रभावी सोशल इंजीनियरिंग के लिए AI को हथियार बनाने से प्रेरित है।

प्रमुख निष्कर्ष

EU AI Act प्रभाव

EU AI Act का जोखिम-आधारित ढांचा AI-संचालित इनसाइडर खतरों से सीधे संबंधित है:

NIS2 और DORA आवश्यकताएं

इनसाइडर खतरे दोनों ढांचों के दायरे में स्पष्ट रूप से आते हैं:

कार्रवाई आवश्यक

संगठनों को तुरंत ऑडिट करना चाहिए कि कर्मचारी कौन से AI उपकरण उपयोग कर रहे हैं (शैडो AI), AI-सहायता प्राप्त डेटा एक्सेस पर DLP नियंत्रण लागू करें, और अपने इनसाइडर खतरे का पता लगाने की बेसलाइन अपडेट करें। NIS2 और DORA के तहत, ज्ञात AI-संचालित इनसाइडर जोखिम पैटर्न को संबोधित करने में विफलता अब एक अनुपालन अंतर है। अपने अगले टेबलटॉप अभ्यास में AI दुरुपयोग परिदृश्यों को शामिल करें।


🎯 एंटरप्राइज़ ज़ीरो-डे सर्वकालिक उच्च स्तर पर: 2025 में 90

एंटरप्राइज़ सॉफ़्टवेयर अब प्राथमिक लक्ष्य

Google Threat Intelligence Group (GTIG) ने रिपोर्ट किया कि 2025 में 90 ज़ीरो-डे भेद्यताओं का सक्रिय रूप से शोषण किया गया — 2024 में 78 से बढ़कर। महत्वपूर्ण बदलाव: 48% अब एंटरप्राइज़ सॉफ़्टवेयर और उपकरणों को लक्षित करते हैं, 2024 में 46% से ऊपर, सुरक्षा और नेटवर्किंग उत्पादों पर सबसे अधिक प्रभाव।

एंटरप्राइज़ शिफ्ट

Google के विश्लेषण से खतरे के परिदृश्य में एक संरचनात्मक बदलाव का पता चलता है:

अतिरिक्त GTIG निष्कर्ष

विनियामक प्रभाव

ढांचाआवश्यकताज़ीरो-डे वृद्धि का प्रभाव
NIS2Art. 21(2)(e) — भेद्यता प्रबंधनआवश्यक संस्थाओं के पास एंटरप्राइज़ इंफ्रास्ट्रक्चर के ज़ीरो-डे पता लगाने, ट्राइएज और आपातकालीन पैचिंग के लिए प्रक्रियाएं होनी चाहिए
DORAArt. 9 — ICT जोखिम प्रबंधनवित्तीय संस्थाओं को जोखिम आकलन में एंटरप्राइज़ ज़ीरो-डे परिदृश्य शामिल करने चाहिए और आपातकालीन पैचिंग प्रक्रियाएं बनाए रखनी चाहिए
CRAArt. 11 — भेद्यता रिपोर्टिंगउत्पाद निर्माताओं को सितंबर 2026 से सक्रिय रूप से शोषित भेद्यताओं की अनिवार्य 24-घंटे रिपोर्टिंग का सामना करना पड़ेगा
EU AI ActArt. 15 — सटीकता, मजबूती, सुरक्षाAI सिस्टम को शोषण के प्रति लचीला होना चाहिए — Gemini Chrome CVE दर्शाता है कि AI घटक नई भेद्यता श्रेणियां बनाते हैं

अनुपालन निष्कर्ष

एंटरप्राइज़-लक्षित ज़ीरो-डे की ओर बदलाव का अर्थ है आपका सुरक्षा इंफ्रास्ट्रक्चर स्वयं अब प्राथमिक हमले की सतह है। NIS2 और DORA अनुपालन कार्यक्रमों में केवल पारंपरिक एंडपॉइंट ही नहीं, बल्कि सुरक्षा उपकरणों में ज़ीरो-डे प्रतिक्रिया के लिए विशिष्ट प्रक्रियाएं शामिल होनी चाहिए। संगठनों को ऐसा नेटवर्क विभाजन लागू करना चाहिए जो मानता हो कि सुरक्षा उपकरणों से समझौता हो सकता है, और एज डिवाइस के लिए आउट-ऑफ-बैंड मॉनिटरिंग तैनात करनी चाहिए।


🛡️ Microsoft Copilot डेटा सुरक्षा: व्यवहार में AI शासन

Microsoft ने Microsoft 365 Copilot के लिए नए डेटा हानि रोकथाम (DLP) नियंत्रणों की घोषणा की, व्यापक ग्राहक शिकायतों के जवाब में कि Copilot अपनी AI-जनित रिपोर्टों में गोपनीय जानकारी शामिल कर रहा था। नए नियंत्रण DLP नीतियों को स्थानीय रूप से सहेजी गई फ़ाइलों तक विस्तारित करते हैं — पहले, DLP केवल OneDrive और SharePoint में संग्रहीत फ़ाइलों की सुरक्षा करता था।

क्या बदला

मूल समस्या: Microsoft 365 Copilot का AI सहायक उपयोगकर्ताओं की मशीनों पर स्थानीय रूप से संग्रहीत फ़ाइलों तक पहुंच और प्रोसेस कर सकता था, भले ही DLP नीतियों ने उन्हीं फ़ाइलों को OneDrive और SharePoint पर प्रतिबंधित किया हो। इस अंतर का मतलब था कि गोपनीय दस्तावेज़ — DLP नियमों द्वारा संवेदनशील के रूप में चिह्नित — Copilot-जनित रिपोर्टों में बिना किसी सुरक्षा के सारांशित, उद्धृत या संदर्भित किए जा सकते थे।

विनियामक महत्व

यह प्रकरण एक विनियामक पैटर्न को दर्शाता है जिसे अनुपालन टीमों को आत्मसात करना चाहिए:

कार्रवाई आवश्यक

अप्रैल तक प्रतीक्षा न करें। अभी अपनी Copilot तैनाती का ऑडिट करें यह पहचानने के लिए कि DLP सुरक्षा के बिना इसने कौन सा गोपनीय डेटा पहले ही प्रोसेस किया हो सकता है। GDPR Article 33 के तहत, यदि Copilot के DLP अंतर के माध्यम से व्यक्तिगत डेटा उजागर हुआ था, तो आपके पास रिपोर्ट करने योग्य डेटा उल्लंघन हो सकता है। अपने पर्यवेक्षी प्राधिकरण के लिए अपना आकलन और कोई भी प्रतिपूरक नियंत्रण दस्तावेज़ित करें।


⚠️ नकली AI ब्राउज़र एक्सटेंशन: उपभोक्ता संरक्षण अंतर

दुर्भावनापूर्ण "AI" एक्सटेंशन ऐप स्टोर में भर रहे हैं

सुरक्षा शोधकर्ताओं ने AI उत्पादकता उपकरणों के रूप में प्रच्छन्न दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन की बढ़ती प्रवृत्ति की पुष्टि की, जो प्रमुख ऐप स्टोर में दिखाई दे रहे हैं और प्रारंभिक समीक्षा प्रक्रियाओं को सफलतापूर्वक बायपास कर रहे हैं। ये एक्सटेंशन कुछ अपेक्षित AI कार्यक्षमता प्रदान करते हैं जबकि चुपचाप उपयोगकर्ता डेटा, क्रेडेंशियल और ब्राउज़िंग इतिहास एकत्र करते हैं।

विनियामक अंतर

यह प्रवृत्ति मौजूदा विनियामक ढांचों में गंभीर अंतर उजागर करती है:

एंटरप्राइज़ अनुशंसा

सभी कॉर्पोरेट वातावरण के लिए ब्राउज़र एक्सटेंशन अनुमति सूची लागू करें। NIS2 Article 21(2)(i) के तहत, संगठनों को यह सुनिश्चित करना चाहिए कि कर्मचारी कॉर्पोरेट डिवाइस पर अनवेट्ड एक्सटेंशन इंस्टॉल नहीं कर सकते। एक स्वीकृत एक्सटेंशन सूची बनाए रखें और अन्य सभी को ब्लॉक करने के लिए ग्रुप पॉलिसी का उपयोग करें। AI उपकरण शासन अब एक सुरक्षा नियंत्रण है, IT सुविधा नहीं।


📅 विनियामक कैलेंडर: आगामी प्रमुख तिथियां

तिथिढांचामील का पत्थर
मार्च 11, 2026Patch TuesdayMicrosoft मार्च 2026 रिलीज़ — 2025 में 90 ज़ीरो-डे के बाद, महत्वपूर्ण पैच के लिए तैयार रहें
अप्रैल 2026MicrosoftCopilot DLP स्थानीय फ़ाइल सुरक्षा डिफ़ॉल्ट रूप से लागू — सत्यापित करें कि आपकी DLP नीतियां सभी डेटा श्रेणियों को कवर करती हैं
मई 2, 2026EU AI ActGPAI मॉडल पारदर्शिता दायित्व प्रभावी — AI प्रदाताओं को प्रशिक्षण डेटा सारांश प्रकाशित करना होगा
अगस्त 2, 2026EU AI Actउच्च-जोखिम AI सिस्टम आवश्यकताएं प्रवर्तनीय (Articles 6-49) — पूर्ण अनुपालन स्टैक आवश्यक
सितंबर 11, 2026CRAसक्रिय रूप से शोषित भेद्यताओं की अनिवार्य रिपोर्टिंग शुरू — 24-घंटे सूचना आवश्यकता
अक्टूबर 17, 2026NIS2सदस्य राज्य स्थानांतरण समय सीमा — सभी 27 EU देशों को राष्ट्रीय कानून में NIS2 होना चाहिए
2029-2030GCOT/6Gअपेक्षित प्रारंभिक 6G वाणिज्यिक रोलआउट — तब तक सिक्योरिटी-बाय-डिज़ाइन सिद्धांत मानकों में शामिल होने चाहिए

🔑 अनुपालन टीमों के लिए प्रमुख निष्कर्ष

  1. 6G सुरक्षा मानक अभी आकार ले रहे हैं। GCOT के आठ सिद्धांत ऐसी अपेक्षाएं निर्धारित करते हैं जो अनिवार्य आवश्यकताएं बनेंगी। दूरसंचार ऑपरेटरों और उपकरण निर्माताओं को आज ही अपनी सिक्योरिटी-बाय-डिज़ाइन प्रक्रियाओं को इन सिद्धांतों के साथ संरेखित करना चाहिए — अंतिम मानकों की प्रतीक्षा का अर्थ है पिछड़ना।
  2. AI इनसाइडर जोखिम एक अनुपालन दायित्व है, HR मुद्दा नहीं। 42% संगठनों द्वारा AI-संचालित इनसाइडर खतरों में वृद्धि की रिपोर्ट के साथ, NIS2 और DORA अनुपालन कार्यक्रमों में विशिष्ट AI उपकरण शासन नियंत्रण शामिल होने चाहिए — शैडो AI ऑडिट, AI-सहायता प्राप्त एक्सेस के लिए DLP, और AI क्षमताओं को ध्यान में रखने वाली इनसाइडर खतरा बेसलाइन।
  3. आपका सुरक्षा इंफ्रास्ट्रक्चर लक्ष्य है। Google के 90 ज़ीरो-डे निष्कर्ष, जिसमें लगभग आधे एंटरप्राइज़ सुरक्षा और नेटवर्किंग उपकरणों को लक्षित करते हैं, का अर्थ है कि भेद्यता प्रबंधन कार्यक्रमों को उन उपकरणों को प्राथमिकता देनी चाहिए जो आपकी रक्षा करने के लिए हैं। एज डिवाइस का समझौता मान लें और आउट-ऑफ-बैंड मॉनिटरिंग लागू करें।
  4. Microsoft Copilot का DLP अंतर AI शासन विफलताओं का पूर्वावलोकन है। डेटा हैंडलिंग नियंत्रणों को सत्यापित किए बिना AI उत्पादकता उपकरण तैनात करने वाले संगठनों को GDPR, EU AI Act और NIS2 दायित्व का सामना करना पड़ता है। नियामकों के प्रश्न पूछने से पहले AI उपकरण डेटा एक्सेस का ऑडिट करें।
  5. नकली AI एक्सटेंशन एक उपभोक्ता संरक्षण संकट हैं। जब तक DSA और CRA प्रवर्तन नहीं पकड़ता, एंटरप्राइज़ ब्राउज़र एक्सटेंशन अनुमति सूची आपका एकमात्र विश्वसनीय बचाव है। इसे अभी लागू करें।
  6. Patch Tuesday की तैयारी वैकल्पिक नहीं है। एंटरप्राइज़ ज़ीरो-डे के रिकॉर्ड वर्ष के बाद, दस्तावेज़ित, परीक्षित आपातकालीन पैचिंग प्रक्रियाओं के बिना DORA और NIS2 संस्थाएं एक अनुपालन घाटा चला रही हैं जिसे पर्यवेक्षक पहचानेंगे।