उपभोक्ता इंटरनेट ऑफ थिंग्स की सुरक्षा हेतु कार्यप्रणाली की आचार संहिता

इंटरनेट ऑफ थिंग्स (आईओटी): प्रासंगिकता

• जीएस 3: सूचना प्रौद्योगिकी, अंतरिक्ष, कंप्यूटर, रोबोटिक्स, नैनो-प्रौद्योगिकी, जैव-प्रौद्योगिकी एवं बौद्धिक संपदा अधिकारों से संबंधित मुद्दों के क्षेत्र में जागरूकता।

इंटरनेट ऑफ थिंग्स (आईओटी): प्रसंग

• हाल ही में, संचार मंत्रालय ने उपभोक्ता आईओटी उपकरणों एवं पारिस्थितिकी तंत्र को सुरक्षित करने के साथ-साथ भेद्यता को प्रबंधित करने में सहायता करने हेतु “उपभोक्ता इंटरनेट ऑफ थिंग्स (आईओटी) को सुरक्षित करने के लिए कार्यप्रणाली की आचार संहिता” ( कोड ऑफ़ प्रैक्टिस फॉर सिक्योरिंग कंज्यूमर इंटरनेट ऑफ थिंग्स) नामक एक रिपोर्ट जारी की है।

इंटरनेट ऑफ थिंग्स (आईओटी) पर दिशानिर्देश: प्रमुख बिंदु

• यह रिपोर्ट आईओटी उपकरण निर्माताओं, सेवा प्रदाताओं / प्रणाली समाकलित्रों (सिस्टम इंटीग्रेटर्स) एवं अनुप्रयोग विकासकों (एप्लिकेशन डेवलपर्स) इत्यादि द्वारा उपयोग के लिए है।
• आईओटी उपकरणों की प्रत्याशित वृद्धि को देखते हुए, यह सुनिश्चित करना महत्वपूर्ण है कि आईओटी अंत्य बिंदु सुरक्षा एवं सुरक्षा मानकों तथा दिशानिर्देशों का पालन करते हों ताकि उपयोगकर्ताओं एवं इन आईओटी उपकरणों को जोड़ने वाले नेटवर्क की सुरक्षा की जा सके।

इंटरनेट ऑफ थिंग्स क्या है?

• इंटरनेट ऑफ थिंग्स (आईओटी) एक अवधारणा है जो भौतिक वस्तुओं के नेटवर्क का वर्णन करती है- “थिंग्स” – जो इंटरनेट पर अन्य उपकरणों एवं प्रणालियों के साथ डेटा को जोड़ने एवं आदान-प्रदान करने के उद्देश्य से सेंसर, सॉफ्टवेयर तथा अन्य तकनीकों के साथ अंतः स्थापित (एम्बेडेड) हैं।
• सीधे शब्दों में कहें तो आईओटी यह है कि हम दैनिक जीवन के भौतिक उपकरणों के डिजिटल रूप से जुड़े ब्रह्मांड का वर्णन कैसे करते हैं।

आईओटी उपकरणों के प्रकार

आईओटी उपकरणों के नीचे कुछ उदाहरण दिए गए हैं।

• संयोजित पहनने योग्य स्वास्थ्य संबंधी उपकरण
• स्मार्ट कैमरा, टीवी तथा स्पीकर
• संयोजित बच्चों के खिलौने एवं बेबी मॉनिटर
• संयोजित सुरक्षा-प्रासंगिक उत्पाद जैसे स्मोक डिटेक्टर एवं डोर लॉक
• संयोजित गृह स्वचालन (होम ऑटोमेशन) एवं सचेतक तंत्र (अलार्म सिस्टम)
• संयोजित हुए उपकरण (जैसे, वाशिंग मशीन, फ्रिज)
• स्मार्ट होम असिस्टेंट
• उपभोक्ता आईओटी उपकरणों को जोड़ने के लिए आईओटी गेटवे

आईओटी का विकास

• इंटरनेट ऑफ थिंग्स (आईओटी) संपूर्ण विश्व में सर्वाधिक तीव्र गति से उदीयमान प्रौद्योगिकियों में से एक है, जो समाज, उद्योग एवं उपभोक्ताओं के लिए अत्यधिक लाभकारी अवसर प्रदान करती है।
• इसका उपयोग बिजली, मोटर वाहन, सुरक्षा एवं निगरानी, ​​दूरस्थ स्वास्थ्य प्रबंधन, कृषि, स्मार्ट होम एवं स्मार्ट सिटी इत्यादि जैसे विभिन्न कार्य क्षेत्रों में जुड़े उपकरणों का उपयोग करके स्मार्ट आधारिक संरचना को निर्मित करने हेतु किया जा रहा है।
• आईओटी सेंसर, संचार प्रौद्योगिकियों (सेलुलर एवं गैर-सेलुलर), एआई/एमएल, क्लाउड/एज कंप्यूटिंग इत्यादि जैसी कई प्रौद्योगिकियों में हालिया प्रगति से लाभान्वित हुआ है।
• अनुमानों के अनुसार, 2026 तक वैश्विक स्तर पर 4 बिलियन आईओटी उपकरण उपयोग में हो सकते हैं। इसमें से लगभग 20% सेलुलर प्रौद्योगिकियों से संबंधित होंगे।
• उपभोक्ता एवं उद्यम आईओटी उपकरणों का अनुपात 45%: 55% हो सकता है।

इंटरनेट ऑफ थिंग्स (आईओटी): प्रमुख दिशा निर्देश

• कोई सार्वभौमिक डिफ़ॉल्ट पासवर्ड नहीं: सभी आईओटी उपकरण स्वतः निर्धारित (डिफ़ॉल्ट) पासवर्ड प्रत्येक उपकरण हेतु विशिष्ट होंगे। पासवर्ड को किसी भी सार्वभौमिक डिफ़ॉल्ट मान पर पुनर्नियोज्य (रीसेट करने योग्य) नहीं होना चाहिए।
• सॉफ़्टवेयर को अद्यतन रखना: आईओटी उपकरणों में सॉफ़्टवेयर घटकों को सुरक्षित रूप से अद्यतन करने योग्य होना चाहिए। अपडेट समयबद्ध होंगे एवं उपकरणों के कार्य संचालन पर प्रतिकूल प्रभाव नहीं डालना चाहिए।
• संवेदनशील सुरक्षा मापदंडों को सुरक्षित रूप से संग्रहित करना: आईओटी उपकरणों को सुरक्षा मापदंडों जैसे कि कुंजी एवं प्रत्यायकों (क्रेडेंशियल), प्रमाणपत्र, उपकरण पहचान इत्यादि को संग्रहित करने की आवश्यकता हो सकती है जो उपकरण के सुरक्षित संचालन हेतु महत्वपूर्ण हैं। ऐसी जानकारी प्रत्येक उपकरण हेतु विशिष्ट होनी चाहिए एवं इसे इस तरह से लागू किया जाना चाहिए कि यह भौतिक, विद्युत अथवा सॉफ़्टवेयर जैसे माध्यमों से छेड़छाड़ का विरोध करे। क्रेडेंशियल्स (जैसे, उपयोगकर्ता नाम, पासवर्ड) को स्रोत कूट (सोर्स कोड) में दृढ़ कूट (हार्ड-कोड) नहीं किया जाना चाहिए क्योंकि उन्हें रिवर्स इंजीनियरिंग के माध्यम से खोजा जा सकता है।
• सुरक्षित रूप से संचार/संप्रेषण करना: किसी भी दूरस्थ प्रबंधन एवं नियंत्रण सहित सुरक्षा-संवेदनशील डेटा, प्रौद्योगिकी के गुणों एवं उपकरण के उपयोग हेतु उपयुक्त, पारवहन (ट्रांजिट) में कूट लेखित (एन्क्रिप्ट) किया जाना चाहिए।
• प्रकट हमले के पृष्ठ को न्यूनतम करना: उपकरणों एवं सेवाओं को ‘न्यूनतम विशेषाधिकार के सिद्धांत’ ( प्रिंसिपल ऑफ लीस्ट प्रिविलेज) पर कार्य करना चाहिए। अप्रयुक्त कार्यक्षमता को अक्षम किया जाना चाहिए; हार्डवेयर को अनावश्यक रूप से अधिगम को प्रकट नहीं करना चाहिए (उदाहरण के लिए, नेटवर्क एवं लॉजिकल दोनों के लिए आवश्यक पोर्ट बंद होने चाहिए)।
• सुनिश्चित करना कि व्यक्तिगत डेटा सुरक्षित है: यदि उपकरण व्यक्तिगत डेटा एकत्र या प्रसारित करता है, तो ऐसे डेटा को सुरक्षित रूप से संग्रहित किया जाना चाहिए। साथ ही, एक उपकरण एवं एक सेवा, विशेष रूप से संबद्ध सेवाओं के मध्य व्यक्तिगत डेटा को स्थानांतरित करने की गोपनीयता को सर्वोत्तम अभ्यास क्रिप्टोग्राफी के साथ संरक्षित किया जाना चाहिए।
• उपयोगकर्ताओं के लिए उपयोगकर्ता डेटा को हटाना सरल बनाना: उपकरणों एवं सेवाओं में ऐसी व्यवस्था होनी चाहिए कि स्वामित्व का हस्तांतरण होने पर, जब उपभोक्ता इसे हटाना चाहता है एवं / या जब उपभोक्ता निपटान करना चाहता है तो व्यक्तिगत डेटा को सरलता से उपकरण से हटाया जा सकता है। उपभोक्ताओं को अपने व्यक्तिगत डेटा को हटाने के तरीके के बारे में स्पष्ट निर्देश प्रदान किए जाने चाहिए, जिसमें डिवाइस को “फ़ैक्टरी डिफ़ॉल्ट” पर पुनर्नियोजित (रीसेट) करना एवं डिवाइस पर संग्रहित डेटा एवं पश्च सिरा (बैक एंड) / क्लाउड खातों तथा मोबाइल एप्लिकेशन सहित संबंधित सेवाओं को हटाना सम्मिलित है।