एजेंट एआई फिनटेक की साइबर रक्षा खाई को पाट सकता है

जन धन खाते, आधार और मोबाइल से युक्त भारत के मूलभूत डिजिटल सार्वजनिक बुनियादी ढांचे (डीपीआई) ने डिजिटल लेनदेन को सुलभ बनाकर वित्तीय समावेशन और कल्याण वितरण में क्रांति ला दी है। भारत लगातार डिजिटल भुगतान की मात्रा और मूल्य में वृद्धि का अनुभव कर रहा है, विशेष रूप से यूनिफाइड पेमेंट इंटरफेस (यूपीआई) द्वारा संवर्धित। मात्रा के हिसाब से सभी लेन-देन में डिजिटल लेनदेन लगभग 99.8% है, पिछले दशक में भुगतान की मात्रा 38 गुना बढ़ गई है और चक्रवृद्धि वार्षिक वृद्धि दर (सीएजीआर) मात्रा में 52.5% और मूल्य में 13% बढ़ गई है। इसके अलावा, 2025 में, भारत ने प्रति माह औसतन 20 बिलियन यूपीआई लेनदेन संसाधित किए।

यह पैमाना दोधारी तलवार का प्रतिनिधित्व करता है। प्रत्येक लेन-देन एक डेटा बिंदु है; प्रत्येक डेटा बिंदु एक आक्रमण सतह है। बैंकिंग, वित्तीय सेवाओं और बीमा (बीएफएसआई) क्षेत्र की परस्पर जुड़ी प्रकृति और इसके द्वारा सुरक्षित किए जाने वाले वित्तीय डेटा की संवेदनशील प्रकृति एक अद्वितीय साइबर सुरक्षा चुनौती प्रस्तुत करती है। हाल के वर्षों में, भारतीय वित्तीय संस्थानों को साइबर घटनाओं में उल्लेखनीय वृद्धि का सामना करना पड़ा है, जिसमें फिनटेक क्षेत्र प्राथमिक लक्ष्य के रूप में उभरा है। आर्टिफिशियल इंटेलिजेंस (एआई) एक सुलभ और तेजी से किफायती उपकरण के रूप में उभरा है जिसका उपयोग हमलावरों द्वारा परिष्कृत और व्यापक पहचान-आधारित हमलों को अंजाम देने के लिए किया जाता है। प्रारंभिक संक्रमण वाहकों में से 25% अकेले फ़िशिंग हमलों के कारण होते हैं, और वॉर्मजीपीटी और फ्रॉडजीपीटी जैसे दुर्भावनापूर्ण बड़े भाषा मॉडल (एलएलएम) के उद्भव ने उन्हें पहले से कहीं अधिक सस्ता और अधिक विश्वसनीय बना दिया है। एक कम-कुशल बुरा अभिनेता अब लक्षित फ़िशिंग ईमेल उत्पन्न कर सकता है, मैलवेयर उत्पन्न कर सकता है, और बड़े पैमाने पर कमजोरियों का फायदा उठा सकता है, ऐसी क्षमताएं जिनके लिए एक बार महत्वपूर्ण तकनीकी विशेषज्ञता की आवश्यकता होती है।

इसके परिणामस्वरूप फिनटेक साइबर सुरक्षा (फिनसेक) एक असममित उद्यम बन गया है। हमलावरों को सिस्टम में सिर्फ एक भेद्यता का फायदा उठाने की जरूरत है, जिससे हमले की सतह काफी बढ़ जाती है। दूसरी ओर, सुरक्षा अभियानों को हर सुरक्षा परत पर हर संभावित खामियों का ध्यान रखना चाहिए, और उभरते खतरों के बारे में लगातार अपडेट रहना चाहिए। साइबर सुरक्षा में मानव भेद्यता एक गंभीर जोखिम बनी हुई है, विशेष रूप से जनरल एआई के युग में। स्टैनफोर्ड का एक अध्ययन इस वास्तविकता को रेखांकित करता है, जिसमें पाया गया है कि 88% साइबर सुरक्षा उल्लंघन मानवीय त्रुटि के कारण होते हैं। इसके अलावा, जवाबी उपायों के लिए समय पर हस्तक्षेप की आवश्यकता होती है जिसे केवल मानवीय क्षमताओं का उपयोग करके पूरा करना असंभव है। इस विषमता को संबोधित करने के लिए एक तकनीकी-कानूनी प्रतिक्रिया की आवश्यकता है: आज के खतरे के परिदृश्य के लिए निर्मित नियामक वास्तुकला द्वारा शासित स्वायत्त, एजेंटिक एआई-संचालित रक्षा प्रणाली।

एजेंट एआई फिनटेक को कुछ ट्रिगर घटनाओं के आधार पर स्वायत्त, समय पर कार्रवाई करने में मदद कर सकता है। इसकी क्षमताएं विभिन्न कंप्यूटिंग आर्किटेक्चर को स्वायत्त रूप से नेविगेट कर सकती हैं और एसक्यूएल से लेकर मशीन की गति पर त्वरित इंजेक्शन तक जटिल हमले वाले वैक्टर को सहसंबंधित कर सकती हैं, जिसे अन्यथा विभिन्न सूचना प्रौद्योगिकी (आईटी) और सुरक्षा कौशल के साथ मनुष्यों के बीच बेदाग सहयोग की आवश्यकता होगी। एक एकल, अनुकूलित एजेंटिक एआई मॉडल कई सुरक्षा पेशेवरों की क्षमताओं को संश्लेषित कर सकता है और पूर्व-निर्धारित ट्रिगर्स के आधार पर तेजी से और स्वायत्त रूप से कार्य कर सकता है, जिससे असममिति अंतर को बंद करने के लिए आवश्यक वास्तविक समय का पता लगाने और तटस्थता को सक्षम किया जा सकता है।

फिनसेक में एजेंटिक एआई का मामला आकर्षक है, लेकिन इसका एकीकरण एक विरोधाभास पेश करता है। एआई का वही लोकतंत्रीकरण जो स्वायत्त रक्षा को आवश्यक बनाता है, इसका मतलब यह भी है कि एक खराब शासित एआई सुरक्षा वास्तुकला एक संपत्ति के बजाय एक दायित्व बन सकती है। एजेंटिक एआई को तैनात करने के लिए पूर्वापेक्षाओं के रूप में पहुंच नियंत्रणों को सख्ती से परिभाषित करना, अनुमतियों की मैपिंग और जवाबदेही ढांचे की स्थापना की आवश्यकता होती है। खराब एआई गवर्नेंस और एक्सेस कंट्रोल ने संगठनों को बुरी तरह से परेशान कर दिया है, उनमें से 97% एआई-संबंधित सुरक्षा घटनाओं की रिपोर्ट कर रहे हैं जिनमें उचित एआई एक्सेस नियंत्रण का अभाव है, जबकि 63% के पास शैडो एआई को प्रबंधित करने या रोकने के लिए कोई एआई गवर्नेंस नीतियां नहीं हैं। जैसे-जैसे फिनटेक एजेंटिक एआई की ओर बढ़ रहे हैं, सवाल अब ऊंची दीवारें बनाने का नहीं है, बल्कि उच्च-मूल्य वाली संपत्तियों की सुरक्षा के लिए सही भूमिकाएं, पहचान और अनुमतियां सुनिश्चित करने का है। इस आधार के बिना, एजेंटिक एआई भेद्यता की सतह को चौड़ा करने की जितनी संभावना है उतनी ही इसे बंद करने की भी है।

फिनसेक में एजेंट एआई को अपनाना एक शासन शून्यता के भीतर संचालित होता है जिसे न तो संगठनों और न ही नियामकों ने पर्याप्त रूप से संबोधित किया है। जैसे-जैसे एजेंटिक एआई सिस्टम स्वायत्त निर्णय लेते हैं, जिसमें लेनदेन को अवरुद्ध करना, खातों को चिह्नित करना और बढ़ती घटनाओं को शामिल करना शामिल है, स्पष्ट जवाबदेही और ऑडिटेबिलिटी ढांचे गैर-परक्राम्य हो जाते हैं। भारतीय रिजर्व बैंक (आरबीआई) की फ्री-एआई समिति की रिपोर्ट अनुशंसा 15 के माध्यम से इस ओर इशारा करती है, जो विनियमित संस्थाओं को शासन संरचना, जोखिम की भूख, लेखापरीक्षा, देयता इत्यादि को कवर करने वाली एआई नीतियों का मसौदा तैयार करने का निर्देश देती है। हालांकि, मानकीकृत नीति टेम्पलेट अभी भी प्रगति पर हैं, व्यापक पारिस्थितिकी तंत्र अभी भी एआई ऑनबोर्डिंग के बुनियादी सिद्धांतों से जूझ रहा है। अंतरिम में, नियंत्रित सैंडबॉक्स में एआई-संवर्धित सुरक्षा मुद्राओं का नियमित तनाव परीक्षण प्रतिकूल परिदृश्यों का अनुकरण करने और अज्ञात खतरों के लिए तैयार करने के लिए आवश्यक है। इस प्रक्रिया के माध्यम से छोटी संस्थाओं का समर्थन करने में उद्योग निकायों की भूमिका होती है, जैसा कि फ्री-एआई समिति स्वयं स्वीकार करती है। फिनसेक में एआई अपनाने के लिए एक मानकीकृत, जिम्मेदार दृष्टिकोण की नींव के रूप में, भारत एनआईएसटी एआई जोखिम प्रबंधन फ्रेमवर्क की “शासन, मानचित्र, माप, प्रबंधन” संरचना को भारतीय संदर्भ में अनुकूलित करने के लिए अच्छा काम करेगा। व्यापक प्रशासन और साइबर लचीलेपन की दिशा में अनुपालन से आगे बढ़ने के लिए आरबीआई पहले ही एनआईएसटी के साइबर सुरक्षा फ्रेमवर्क पर काम कर चुका है। उस सोच को वित्त में एआई जोखिम प्रबंधन तक विस्तारित करना स्वाभाविक अगला कदम है।

एआई सुरक्षा, पारंपरिक साइबर सुरक्षा की तरह, एक स्तरित अनुशासन के रूप में देखी जानी चाहिए। मॉडल को अलग से सुरक्षित करने पर ध्यान केंद्रित करने के बजाय, सही संदर्भ के लिए सही मॉडल चुनना, उसका कठोरता से परीक्षण करना और फिल्टर, रेलिंग और जवाबदेही ढांचे के माध्यम से उसके व्यवहार को नियंत्रित करना प्राथमिकता होनी चाहिए। ग्राहक सहभागिता के लिए तैनात एक चैटबॉट को वित्तीय प्रणाली, हेल्थकेयर वर्कफ़्लो या धोखाधड़ी इंजन में एम्बेडेड एआई एजेंट के समान नहीं माना जा सकता है। प्रत्येक उपयोग के मामले में रेलिंग, फिल्टर और एक्सेस नियंत्रण के एक अलग सेट की आवश्यकता होती है। सीआईओ से लेकर गोपनीयता टीमों तक सुरक्षा-दर-डिज़ाइन, निरंतर अवलोकन और क्रॉस-फ़ंक्शनल निरीक्षण, गैर-परक्राम्य होना चाहिए। ऐसे युग में जहां एआई-सक्षम हमलों की लागत तेजी से घट रही है, लचीलापन उन संस्थानों का होगा जो एआई को एक जीवित प्रणाली के रूप में नियंत्रित करते हैं, न कि एक बार की तैनाती के रूप में। अगले तीन से पांच वर्षों में, जैसे-जैसे हमले अधिक जटिल होते जाएंगे, एआई-सहायता प्राप्त प्रथम उदाहरण प्रतिक्रियाओं और सुरक्षा मानकों को संहिताबद्ध करना होगा।

इस वर्ष के अंत तक, आरबीआई और भारतीय प्रतिभूति और विनिमय बोर्ड (सेबी) को फ्री-एआई समिति की रिपोर्ट में स्पष्ट सिफारिशों को ठोस बनाने के लिए विशिष्ट दिशानिर्देश जारी करने का लक्ष्य रखना चाहिए। फिनटेक में एआई के उपयोग को वर्गीकृत करने और आनुपातिक अनुपालन को अनिवार्य करने के लिए जोखिम-आधारित दृष्टिकोण पर विचार किया जा सकता है। अगले कुछ वर्षों में, सीईआरटी-इन को एआई-विशिष्ट घटना श्रेणियों जैसे मॉडल हेरफेर, त्वरित इंजेक्शन और प्रतिकूल इनपुट को शामिल करने के लिए अपने घटना रिपोर्टिंग ढांचे को अपडेट करने पर विचार करना चाहिए। अंत में, अगले पांच वर्षों में, आरबीआई, सीईआरटी-इन और इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (एमईआईटीवाई) सहित नियामक निकायों को अनिवार्य रेड-टीमिंग और सैंडबॉक्स परीक्षण सहित फिनटेक के लिए न्यूनतम एआई शासन मानकों को संहिताबद्ध करने के लिए एक साथ आना होगा।

आज के जिम्मेदार प्रयोग को कल संहिताबद्ध मानकों में कठोर होना चाहिए। वर्तमान समय में शासन ढांचे की आकांक्षापूर्ण प्रकृति को समय के साथ विकसित और ठोस होना चाहिए ताकि यह सुनिश्चित किया जा सके कि बुरे अभिनेता अच्छे अभिनेताओं की रक्षात्मक क्षमताओं की तुलना में हमलों के लिए एआई का उपयोग करने के लिए बेहतर ढंग से सुसज्जित नहीं हैं।

यह लेख द डायलॉग के वरिष्ठ शोध सहयोगी सोहम जगताप द्वारा लिखा गया है।