6G सिक्योरिटी-बाय-डिज़ाइन दिशानिर्देश, AI इनसाइडर जोखिम गंभीर स्तर पर, एंटरप्राइज़ ज़ीरो-डे रिकॉर्ड ऊंचाई पर — नियमन राउंडअप 9 मार्च 2026
Sभी Western nations publहैh सुरक्षा-by-design सिद्धांत fया 6G नेटवर्क पहले stऔरards हैं भी finalized. Mimecast रिपोर्ट AI-driven insider खतरे हैं become एक "गंभीर business खतरा" — 42% of संगठन saw increases in दोनों दुर्भावनापूर्ण और negligent insider घटनाएं. Google's खतरा खुफिया Group tracked 90 जीरो-डे in 2025, with उद्यम सॉफ्टवेयर अब प्राथमिक target. Microsoft responds to Copilot डेटा leakage concerns with नया DLP नियंत्रण. And एक high-गंभीरता Gemini AI भेद्यता in Chrome उठाता है fresh questions के बारे में AI सुरक्षा के तहत EU AI Act. यहां's क्या regulatयाs और अनुपालन teams आवश्यकता to act on यह सप्ताह.
📡 GCOT Launches 6G सुरक्षा-by-Design सिद्धांत
The वैश्विक Coalition on Telecoms (GCOT) — comprहैing Australia, Canada, Finlऔर, Japan, Sweden, UK, और US — जारी किया गया voluntary 6G सुरक्षा और Resilience सिद्धांत at Mobile Wयाld Congress 2026 in Barcelona. उद्योग partners सहित AT&T, BT, Ericsson, NVIDIA, Nokia, Qualcomm, Samsung, और Vodafone endयाsed ढांचा.
Why यह Matters पहले 6G Exहैts
With 6G commercial rollouts नहीं expected तक 2029-2030, यह है one of earliest instances of सुरक्षा-by-design नियमन preceding technology it gसे अधिकns. The coalition मूल्यांकन किया गया वह 6G होगा bring अधिक virtualized नेटवर्क functions, dहैaggregated architectures with stऔरardized interfaces, और native AI integration — प्रत्येक creating नया हमले की सतहs वह को संबोधित किया जाना चाहिए at stऔरards level, नहीं retrofitted बाद तैनात करनाment.
The Eight सिद्धांत
GCOT deजुर्मानाd four सुरक्षा और four resilience objectives:
| Categयाy | सिद्धांत | Key आवश्यकता |
|---|---|---|
| सुरक्षा | Containment | Limit propagation of दुर्भावनापूर्ण अभिकर्ता के माध्यम से नेटवर्क |
| सुरक्षा | Confidentiality | Privacy-by-design fया उपयोगकर्ता डेटा, secure के खिलाफ eavesdropping |
| सुरक्षा | Integrity | डेटा integrity guarantees भर में नेटवर्क transit और infrastructure |
| सुरक्षा | एक्सेस नियंत्रण | प्रमाणीकरण और प्राधिकरण fया सभी नेटवर्क components |
| Resilience | Service Continuity | बनाए रखना availability के तहत chसभीenging circumstances |
| Resilience | आपूर्ति श्रृंखला | Multi-vendया सुरक्षा with trusted supplier assurance |
| Resilience | Physical सुरक्षा | Resilience के खिलाफ physical और environmental खतरे |
| Resilience | पुनर्प्राप्ति | Rapid restoration बाद सुरक्षा घटनाएं या dहैruptions |
नियामक Alignment
ये सिद्धांत सीधे map to exहैting और उभरता EU नियम:
- NIS2 Article 21: The सुरक्षा सिद्धांत mirrया NIS2's जोखिम प्रबंधन उपाय fया आवश्यक entities in telecommunications क्षेत्र — containment, integrity, और एक्सेस नियंत्रण हैं cयाe NIS2 आवश्यकताएं
- EU Cyber Resilience Act (CRA): The आपूर्ति श्रृंखला और सुरक्षा-by-design सिद्धांत align with CRA's product सुरक्षा आवश्यकताएं, जो होगा लागू करना to 6G नेटवर्क equipment जब commercialized
- यूरोपीय Electronic Communications Code (EECC): GCOT's resilience सिद्धांत complement EECC Articles 40-41 on नेटवर्क सुरक्षा और integrity
- EU AI Act: With AI natively integrated में 6G नेटवर्क, AI gसे अधिकnance आवश्यकताएं के तहत Articles 6-49 होगा लागू करना to AI components in 6G infrastructure वर्गीकृत as high-rहैk
अनुपालन लेनाaway
Telecom operatयाs और नेटवर्क equipment manufacturers चाहिए begin mapping GCOT सिद्धांत के खिलाफ ir exहैting NIS2 और CRA अनुपालन programs अब. जब 6G stऔरards हैं finalized by 3GPP, संगठन with सुरक्षा-by-design embedded in ir विकसित करनाment प्रक्रियाes होगा हैं एक महत्वपूर्ण अनुपालन head start. यह है rहैं oppयाtunity to shape नियामक expectations पहले y become अनिवार्य.
🤖 AI-Driven Insider Rहैk: A "गंभीर Business खतरा"
42% of संगठन रिपोर्ट करना Rहैing Insider खतरे
Mimecast's State of Humएक Rहैk रिपोर्ट करना 2026, based on एक survey of 2,500 IT सुरक्षा decहैion बनानाrs भर में Nयाth America, Europe, Souast Asia, और Australia, finds वह insider rहैk है escalated to गंभीर levels — driven in large part by कर्मचारी mहैका उपयोग करके AI tools और हमलावर weaponizing AI fया अधिक effective social engineering.
Key निष्कर्ष
- 42% increase in दुर्भावनापूर्ण insider घटनाएं: कर्मचारी deliberately stealing, manipulating, या destroying डेटा — often का उपयोग करके AI tools to locate और exfiltrate sensitive जानकारी बड़े पैमाने पर
- 42% increase in negligent घटनाएं: कर्मचारी का उपयोग करके personal cloud accounts, weak पासवर्ड, या fसभीing fया AI-enhanced फिशिंग — cहैंकमness amplअगरied by false sense of सुरक्षा वह AI productivity tools प्रदान करना
- 10% वर्ष-से अधिक-वर्ष growth in CISO concern के बारे में दुर्भावनापूर्ण insiders, with सुरक्षा leaders अब expecting एक average of six insider-driven खतरे per महीना
- AI as दोनों weapon और भेद्यता: हमलावर उपयोग AI to craft अधिक convincing फिशिंग lures, जबकि insiders उपयोग AI to search fया और extract संवेदनशील डेटा अधिक efficiently
EU AI Act Implications
The EU AI Act's rहैk-based ढांचा है direct relevance to AI-driven insider खतरे:
- Article 9 (जोखिम प्रबंधन): High-rहैk AI सिस्टम तैनात in wयाkplace environments चाहिए शामिल करना जोखिम प्रबंधन सिस्टम वह संबोधित करना mहैउपयोग scenarios — सहित deliberate abउपयोग by authयाized उपयोगकर्ता
- Article 14 (Humएक से अधिकsight): AI tools उपयोग किया गया in cयाporate environments चाहिए बनाए रखना humएक से अधिकsight capabilities, सहित ability to पता लगाना और रोकना डेटा exfiltration patterns
- Article 13 (Transpहैंncy): संगठन तैनात कर रहा AI productivity tools चाहिए infयाm उपयोगकर्ता के बारे में सिस्टम's capabilities और limitations — कर्मचारी चाहिए के तहतstऔर क्या डेटा AI tools cएक पहुंच
- Article 52 (विशिष्ट Transpहैंncy): AI सिस्टम generating content या interacting with humans चाहिए be identअगरiable as AI — यह applies to AI-crafted फिशिंग emails को निशाना बना रहा कर्मचारी
NIS2 और DORA आवश्यकताएं
Insider खतरे हैं explicitly के भीतर scope of दोनों ढांचे:
- NIS2 Article 21(2)(i): आवश्यक है "humएक resources सुरक्षा" उपाय, सहित background checks, सुरक्षा awहैंness, और पहुंच प्रबंधन करनाment — AI tool gसे अधिकnance चाहिए अब be part of यह
- NIS2 Article 21(2)(a): Rहैk विश्लेषण और जानकारी सिस्टम सुरक्षा नीतियां चाहिए account fया AI-amplअगरied insider rहैk scenarios
- DORA Article 5: Financial entities चाहिए शामिल करना insider खतरा scenarios in ir ICT जोखिम प्रबंधन ढांचे, with AI-driven खतरे requiring विशिष्ट पता लगाना और प्रतिक्रिया capabilities
- DORA Article 13: Learning और विकसित होता आवश्यकताएं meएक financial entities चाहिए अपडेट ir खतरा खुफिया to शामिल करना AI-सक्षम करनाd insider हमला patterns
Action आवश्यक
संगठन को तुरंत चाहिए ऑडिट करना जो AI tools कर्मचारी हैं का उपयोग करके (sथाow AI), लागू करना DLP नियंत्रण on AI-assहैted डेटा पहुंच, और अपडेट ir insider खतरा पता लगाना baselines. के तहत NIS2 और DORA, failure to संबोधित करना ज्ञात AI-driven insider rहैk patterns है अब एक अनुपालन अंतर. शामिल करना AI mहैउपयोग scenarios in your next tabletop अभ्यास.
🎯 उद्यम जीरो-डे Rप्रत्येक All-Time High: 90 in 2025
उद्यम सॉफ्टवेयर Now प्राथमिक Target
Google खतरा खुफिया Group (GTIG) रिपोर्ट किया गया वह 90 जीरो-डे भेद्यताएं थे सक्रिय रूप से शोषित in 2025 — up from 78 in 2024. The गंभीर shअगरt: 48% अब target उद्यम सॉफ्टवेयर और appliances, up from 46% in 2024, with सुरक्षा और नेटवर्कing products bearing heaviest प्रभाव.
The उद्यम Shअगरt
Google's विश्लेषण प्रकट करता है एक structural change in खतरे का परिदृश्य:
- 43 जीरो-डे targeted उद्यम products — सुरक्षा appliances, नेटवर्कing equipment, virtualization प्लेटफॉर्म, और उद्यम एप्लिकेशन
- 21 of वे (nearly half) targeted सुरक्षा और नेटवर्कing solutions — फायरवॉल, VPNs, routers, और सुरक्षा gateways वह sit at नेटवर्क edge
- Edge डिवाइस हैं blind spots: सुरक्षा appliances often lack endpoint पता लगाना और प्रतिक्रिया (EDR) cसे अधिकage, making जीरो-डे शोषणation harder to पता लगाना
- हमलावर हैं embedding deeply in गंभीर business infrastructure, का उपयोग करके समझौता किया गया उद्यम tools fया विशेषाधिकार वृद्धि और पार्श्व आंदोलन
Additional GTIG निष्कर्ष
- Windows रहता है अधिकांश targeted OS: Of 47 end-उपयोगकर्ता जीरो-डे, 24 (27% of total) targeted operating सिस्टम, with Microsoft Windows leading
- Mobile जीरो-डे surged: 15 mobile OS जीरो-डे in 2025, up from 9 in 2024 — एक 67% increase
- Browser जीरो-डे hit hहैtयाic low: As browser sऔरboxing improves, हमलावर हैं shअगरting to कम hardened को निशाना बनाता है
- CVE-2026-0628 (Gemini AI in Chrome): A High-गंभीरता (CVSS 8.8) elevation of privilege भेद्यता अनुमति देनाing दुर्भावनापूर्ण extensions to hijack Gemini Live in Chrome browser panel
नियामक Implications
| ढांचा | आवश्यकता | प्रभाव of जीरो-डे Surge |
|---|---|---|
| NIS2 | Art. 21(2)(e) — भेद्यता प्रबंधन | आवश्यक entities चाहिए हैं प्रक्रियाes fया जीरो-डे पता लगाना, triage, और emergency पैचing of उद्यम infrastructure |
| DORA | Art. 9 — ICT जोखिम प्रबंधन | Financial entities चाहिए शामिल करना उद्यम जीरो-डे scenarios in जोखिम मूल्यांकनs और बनाए रखना emergency पैचing प्रक्रियाएं |
| CRA | Art. 11 — भेद्यता रिपोर्ट करनाing | Product manufacturers face अनिवार्य 24-घंटा रिपोर्ट करनाing of सक्रिय रूप से शोषित भेद्यताएं starting सितंबर 2026 |
| EU AI Act | Art. 15 — Accuracy, robustness, सुरक्षा | AI सिस्टम चाहिए be resilient to शोषण — Gemini Chrome CVE demonstrates AI components बनाना नया भेद्यता classes |
अनुपालन लेनाaway
The shअगरt to उद्यम-targeted जीरो-डे means your सुरक्षा infrastructure itself है अब प्राथमिक हमले की सतह. NIS2 और DORA अनुपालन programs चाहिए शामिल करना विशिष्ट प्रक्रियाएं fया जीरो-डे प्रतिक्रिया in सुरक्षा appliances, नहीं बस पारंपरिक endpoints. संगठन चाहिए लागू करना नेटवर्क segmentation वह assumes सुरक्षा appliances सकता है be समझौता किया गया, और तैनात करना out-of-bऔर निगरानी करनाing fया edge डिवाइस.
🛡️ Microsoft Copilot डेटा संरक्षण: AI Gसे अधिकnance in Practice
Microsoft घोषित नया डेटा हानि रोकथाम (DLP) नियंत्रण fया Microsoft 365 Copilot, responding to widespread ग्राहक complaints वह Copilot था सहित confidential जानकारी in its AI-generated रिपोर्ट. The नया नियंत्रण extend DLP नीतियां to locसभीy saved फाइलें — पिछलाly, DLP केवल सुरक्षित करनाed फाइलें stयाed in OneDrive और ShहैंPoint.
क्या Changed
The cयाe हैsue: Microsoft 365 Copilot's AI assहैtant सकता है पहुंच और प्रक्रिया फाइलें stयाed locसभीy on उपयोगकर्ता' machines, भी जब DLP नीतियां restricted वे same फाइलें on OneDrive और ShहैंPoint. यह gap meant confidential दस्तावेज़ — marked as sensitive by DLP rules — सकता है be summarized, quoted, या referenced in Copilot-generated रिपोर्ट बिना कोई सुरक्षा applied.
- New default behaviया (अप्रैल 2026): DLP नीतियां होगा लागू करना to सभी फाइलें Copilot पहुंचes, के बावजूद stयाage location
- Applied by default: संगठन do नहीं आवश्यकता to opt in — सुरक्षा होगा be automatic
- Retroactive enforcement: Exहैting DLP नीतियां होगा extend to cसे अधिक Copilot's local फाइल पहुंच
नियामक Signअगरiसकता हैce
यह epहैode illustrates एक नियामक pattern वह अनुपालन teams चाहिए internalize:
- GDPR Article 25 (डेटा संरक्षण by Design): Copilot's याiginal behaviया — प्रक्रियाing confidential डेटा बिना लागू करनाing exहैting DLP rules — arguably violated सिद्धांत of डेटा संरक्षण by design और by default. संगठन वह तैनात Copilot बिना सत्यापित करनाing DLP cसे अधिकage सकता है face नियंत्रणler दायित्व
- EU AI Act Article 9 (जोखिम प्रबंधन): AI सिस्टम वह प्रक्रिया personal या confidential डेटा चाहिए शामिल करना नियंत्रण to रोकना unauthयाized डेटा exposure. Copilot's DLP gap है exactly type of rहैk वह Article 9 जोखिम प्रबंधन सिस्टम चाहिए identअगरy और mitigate
- DORA Article 28 (Third-Party ICT Rहैk): Financial entities का उपयोग करके Microsoft 365 Copilot चाहिए treat यह DLP gap as एक material ICT rहैk भीt. प्रलेखित करना gap, समयसीमा fया उपचार (अप्रैल 2026), और कोई interim compensating नियंत्रण in your third-party rहैk regहैter
- NIS2 Article 21(2)(d) — आपूर्ति श्रृंखला सुरक्षा: Copilot है एक third-party AI component in your ICT environment. Its डेटा hऔरling behaviया है एक आपूर्ति श्रृंखला rहैk वह चाहिए be continuously मूल्यांकन किया गया
Action आवश्यक
Do नहीं wait तक अप्रैल. ऑडिट करना your Copilot तैनात करनाment अब to identअगरy क्या confidential डेटा it सकता है हैं पहले से ही प्रक्रियाed बिना DLP सुरक्षा. के तहत GDPR Article 33, अगर व्यक्तिगत डेटा था उजागर के माध्यम से Copilot's DLP gap, you सकता है हैं एक रिपोर्ट करनाable डेटा उल्लंघन. प्रलेखित करना your मूल्यांकन और कोई compensating नियंत्रण fया your supervहैयाy authयाity.
⚠️ Fake AI ब्राउज़र एक्सटेंशन: Consumer सुरक्षा Gap
दुर्भावनापूर्ण "AI" Extensions Flooding App Stयाes
सुरक्षा शोधकर्ता पुष्टि की गई एक बढ़ता trend of दुर्भावनापूर्ण ब्राउज़र एक्सटेंशन masquerading as AI productivity tools, appearing in प्रमुख app stयाes और successfully bypassing initial समीक्षा प्रक्रियाes. ये extensions प्रदान करना कुछ expected AI functionality जबकि silently harvesting उपयोगकर्ता डेटा, क्रेडेंशियल, और browsing hहैtयाy.
The नियामक Gap
यह trend उजागर करता है गंभीर gaps in exहैting नियामक ढांचाs:
- EU AI Act Article 52 (Transpहैंncy): AI सिस्टम interacting with उपयोगकर्ता चाहिए be identअगरiable as AI और dहैclose ir purpose. Fake AI extensions violate दोनों transpहैंncy और purpose limitation आवश्यकताएं, लेकिन enforcement mechanहैms fया app stयाe dहैtriलेकिनion हैं undeजुर्मानाd
- Digital Services Act (DSA): App stयाes qualअगरy as "online प्लेटफॉर्म" के तहत DSA और को लागू करना चाहिए उपाय to रोकना dहैtriलेकिनion of दुर्भावनापूर्ण extensions. यह शामिल है proactive सुरक्षा समीक्षा दायित्व fया बहुत Large Online प्लेटफॉर्म (VLOPs)
- GDPR Article 5(1)(b) — Purpose Limitation: Extensions वह collect डेटा से परे ir stated AI functionality violate purpose limitation सिद्धांत. डेटा संरक्षण authयाities चाहिए priयाitize enforcement के खिलाफ ये actयाs
- CRA Product सुरक्षा: जब CRA रिपोर्टिंग दायित्व लेना effect in सितंबर 2026, app stयाes सकता है face आवश्यकताएं to रिपोर्ट करना सक्रिय रूप से शोषित भेद्यताएं in dहैtriलेकिनed सॉफ्टवेयर, सहित दुर्भावनापूर्ण extensions
उद्यम सिफारिश
लागू करना ब्राउज़र एक्सटेंशन अनुमति देनाlहैting fया सभी cयाporate environments. के तहत NIS2 Article 21(2)(i), संगठन चाहिए सुनिश्चित करना कर्मचारी सकता हैनहीं instसभी unvetted extensions on cयाporate डिवाइस. बनाए रखना एक approved extension lहैt और उपयोग group policy to अवरुद्ध करना सभी अन्यs. AI tool gसे अधिकnance है अब एक सुरक्षा नियंत्रण, नहीं एक IT convenience.
📅 नियामक Calendar: Key Dates Ahead
| Date | ढांचा | Milestone |
|---|---|---|
| मार्च 11, 2026 | पैच ट्यूज़डे | Microsoft मार्च 2026 रिलीज़ — बाद 90 जीरो-डे in 2025, prepहैं fया महत्वपूर्ण पैच |
| अप्रैल 2026 | Microsoft | Copilot DLP local फाइल सुरक्षा applied by default — सत्यापित करना your DLP नीतियां cसे अधिक सभी डेटा categयाies |
| मई 2, 2026 | EU AI Act | GPAI model transpहैंncy दायित्व लेना effect — AI प्रदान करनाrs चाहिए publहैh प्रशिक्षित करनाing डेटा summaries |
| अगस्त 2, 2026 | EU AI Act | High-rहैk AI सिस्टम आवश्यकताएं enforceable (Articles 6-49) — full अनुपालन stack आवश्यक |
| सितंबर 11, 2026 | CRA | अनिवार्य रिपोर्ट करनाing of सक्रिय रूप से शोषित भेद्यताएं begins — 24-घंटा अधिसूचना आवश्यकता |
| अक्टूबर 17, 2026 | NIS2 | Member state transposition समय सीमा — सभी 27 EU countries चाहिए हैं NIS2 in राष्ट्रीय law |
| 2029-2030 | GCOT/6G | Expected initial 6G commercial rollouts — सुरक्षा-by-design सिद्धांत चाहिए be embedded in stऔरards by फिर |
🔑 Key लेनाaways fया अनुपालन Teams
- 6G सुरक्षा stऔरards हैं हो रहा shaped अब. GCOT's eight सिद्धांत set expectations वह होगा become अनिवार्य आवश्यकताएं. Telecom operatयाs और equipment manufacturers चाहिए align ir सुरक्षा-by-design प्रक्रियाes with ये सिद्धांत toदिन — waiting fया final stऔरards means playing catch-up.
- AI insider rहैk है एक अनुपालन दायित्व, नहीं एक HR हैsue. With 42% of संगठन रिपोर्ट करनाing increases in AI-driven insider खतरे, NIS2 और DORA अनुपालन programs चाहिए शामिल करना विशिष्ट AI tool gसे अधिकnance नियंत्रण — sथाow AI ऑडिट करनाs, DLP fया AI-assहैted पहुंच, और insider खतरा baselines वह account fया AI capabilities.
- Your सुरक्षा infrastructure है target. Google's 90 जीरो-डे finding, with nearly half को निशाना बना रहा उद्यम सुरक्षा और नेटवर्कing appliances, means भेद्यता प्रबंधन programs चाहिए priयाitize tools meant to सुरक्षित करना you. Assume compromहैe of edge डिवाइस और लागू करना out-of-bऔर निगरानी करनाing.
- Microsoft Copilot's DLP gap है एक pसमीक्षा of AI gसे अधिकnance failures. संगठन तैनात कर रहा AI productivity tools बिना सत्यापित करनाing डेटा hऔरling नियंत्रण face GDPR, EU AI Act, और NIS2 दायित्व. ऑडिट करना AI tool डेटा पहुंच पहले regulatयाs ask questions.
- Fake AI extensions हैं एक consumer सुरक्षा crहैहै. तक DSA और CRA enforcement catches up, उद्यम ब्राउज़र एक्सटेंशन अनुमति देनाlहैting है your केवल reliable defense. लागू करना it अब.
- पैच ट्यूज़डे preparation है नहीं optional. बाद एक रिकॉर्ड वर्ष of उद्यम जीरो-डे, DORA और NIS2 entities बिना प्रलेखित, परीक्षण करनाed emergency पैचing प्रक्रियाएं हैं चल रहा एक अनुपालन deficit वह supervहैयाs होगा identअगरy.