यूरोपीय आयोग ने हाल ही में अपने क्लाउड इंफ्रास्ट्रक्चर पर एक बड़े साइबर हमले की पुष्टि की है, जो हाल की स्मृति में यूरोपीय संघ सरकार प्रणालियों के सबसे महत्वपूर्ण उल्लंघनों में से एक है। हैकर्स का दावा है कि उन्होंने आयोग के क्लाउड स्टोरेज से भारी मात्रा में डेटा चुराया है, हालांकि उल्लंघन का पूरा दायरा स्पष्ट नहीं है। यह घटना सरकारी क्लाउड बुनियादी ढांचे की सुरक्षा के बारे में नए सवाल उठाती है और यह तब हुई है जब यूरोपीय संघ सदस्य देशों में आक्रामक साइबर सुरक्षा नियमों को आगे बढ़ा रहा है।
यूरोपीय आयोग शुक्रवार को पुष्टि की गई कि हैकरों द्वारा कथित तौर पर उसके क्लाउड स्टोरेज सिस्टम में सेंध लगाने और संवेदनशील डेटा का भंडार होने का दावा करने के बाद उसे साइबर हमले का सामना करना पड़ा। यह स्वीकारोक्ति यूरोपीय संघ के सबसे शक्तिशाली कार्यकारी निकाय की ओर से एक सुरक्षा घटना की दुर्लभ सार्वजनिक पुष्टि का प्रतीक है, जो प्रतिस्पर्धा नीति से लेकर अरबों लोगों को प्रभावित करने वाले डेटा सुरक्षा नियमों तक हर चीज की देखरेख करती है।
आयोग के संक्षिप्त बयान में यह नहीं बताया गया कि कौन सा डेटा चुराया गया था या हमलावरों ने कैसे पहुंच प्राप्त की, लेकिन ऐसा प्रतीत होता है कि उल्लंघन ने क्लाउड इंफ्रास्ट्रक्चर को लक्षित किया है जो संभवतः आंतरिक संचार से लेकर नीति ड्राफ्ट और प्रशासनिक रिकॉर्ड तक सब कुछ संग्रहीत करता है। घटना पर नज़र रखने वाले सुरक्षा शोधकर्ताओं का कहना है कि हैकरों ने डार्क वेब मंचों पर उल्लंघन के सबूत पोस्ट किए, और दावा किया कि आयोग द्वारा घुसपैठ का पता लगाने से पहले उन्होंने “डेटा का ढेर” निकाल लिया।
जो चीज़ इस उल्लंघन को विशेष रूप से अजीब बनाती है वह है समय। यूरोपीय संघ ने खुद को डिजिटल सुरक्षा और गोपनीयता में वैश्विक नेता के रूप में स्थापित करने में वर्षों बिताए हैं, जीडीपीआर जैसे ऐतिहासिक कानून और हाल ही में अधिनियमित एनआईएस2 निर्देश को आगे बढ़ाया है जो कंपनियों को अपनी साइबर सुरक्षा सुरक्षा को मजबूत करने के लिए मजबूर करता है। अब आयोग को यह समझाने में परेशानी हो रही है कि कैसे उसके अपने सिस्टम से समझौता किया गया, जिससे संभावित रूप से संवेदनशील सरकारी जानकारी उजागर हो सकती है जिसमें व्यापार वार्ता से लेकर नियामक जांच तक सब कुछ शामिल हो सकता है।
यह घटना सरकारी क्लाउड बुनियादी ढांचे की बढ़ती भेद्यता को भी उजागर करती है। कई संगठनों की तरह, आयोग ने लागत बचत और लचीलेपन की तलाश में हाल के वर्षों में अपने आईटी परिचालन के महत्वपूर्ण हिस्से को क्लाउड सेवाओं में स्थानांतरित कर दिया है। लेकिन वह बदलाव नए हमले की सतह बनाता है – और शुक्रवार के उल्लंघन से पता चलता है कि उन प्रणालियों को उतना लॉक नहीं किया गया था जितना उन्हें होना चाहिए था।
सुरक्षा विशेषज्ञों का कहना है कि इस तरह के सरकारी उल्लंघन अक्सर बुनियादी प्रवेश बिंदुओं से शुरू होते हैं: फ़िशिंग ईमेल जो कर्मचारियों को क्रेडेंशियल सौंपने के लिए बरगलाते हैं, विरासत प्रणालियों में अप्रकाशित कमजोरियाँ, या गलत तरीके से कॉन्फ़िगर किए गए क्लाउड स्टोरेज बकेट को इंटरनेट के लिए खुला छोड़ दिया जाता है। आयोग ने यह नहीं बताया है कि यहां किस अटैक वेक्टर का उपयोग किया गया था, लेकिन हैकर्स की क्लाउड स्टोरेज तक स्पष्ट पहुंच या तो समझौता किए गए क्रेडेंशियल्स या गलत कॉन्फ़िगरेशन के शोषण का सुझाव देती है।
