रिपोर्ट के अनुसार, बैंकिंग और वित्तीय क्षेत्र में हो रहा तीव्र परिवर्तन खतरों की एक मौलिक रूप से नई तस्वीर पेश कर रहा है, क्योंकि पारंपरिक सुरक्षा मॉडल आधुनिक परस्पर जुड़ी पारिस्थितिक तंत्रों में कार्यों को संभाल नहीं पाते हैं।
रिपोर्ट के अनुसार, बैंकिंग और वित्तीय क्षेत्र में हो रहा तीव्र परिवर्तन खतरों की एक मौलिक रूप से नई तस्वीर पेश कर रहा है, क्योंकि पारंपरिक सुरक्षा मॉडल आधुनिक परस्पर जुड़ी पारिस्थितिक तंत्रों में कार्यों को संभाल नहीं पाते हैं।
सोमवार को प्रकाशित 'डिजिटल थ्रेट रिपोर्ट 2025-26' में उल्लेख किया गया है कि पिछली साइबर सुरक्षा वास्तुकला केंद्रीकृत प्रणालियों के लिए डिज़ाइन की गई थी जिनमें स्पष्ट रूप से परिभाषित विश्वास सीमाएँ थीं। हालांकि, वर्तमान वित्तीय वातावरण परस्पर जुड़े प्लेटफार्मों, अंतर्निहित वित्त, कृत्रिम बुद्धिमत्ता पर आधारित निर्णय लेने और वास्तविक समय भुगतान पर बनाया गया है, जो हमले की सतह को काफी बढ़ा देता है।
इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय (MeitY), भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (CERT-In), वित्तीय क्षेत्र में साइबर सुरक्षा घटना प्रतिक्रिया टीम (CSIRT-Fin) और SISA द्वारा तैयार की गई नई रिपोर्ट के अनुसार, आधुनिक वित्तीय हमले सीधे हैकिंग से हटकर विश्वास श्रृंखलाओं में हेरफेर की ओर बढ़ रहे हैं। ये हेरफेर बायोमेट्रिक पंजीकरण, साझेदारी अनुप्रयोगों, एआई निर्णय लेने की प्रक्रियाओं, वास्तविक समय भुगतान, एपीआई, प्रोग्रामेबल फाइनेंस और तृतीय-पक्ष पारिस्थितिक तंत्रों को प्रभावित करते हैं।
हमलावर विभिन्न प्रणालियों, संस्थानों और कार्यप्रवाहों के बीच के अंतराल का उपयोग करते हैं, जहाँ किसी भी नियंत्रण स्वामी के पास पूरी तस्वीर नहीं होती है। इसके परिणामस्वरूप एक नया खतरा मॉडल बनता है, जहाँ सुरक्षा उल्लंघन केवल क्रेडेंशियल्स या लेनदेन तक सीमित नहीं रहता है, बल्कि पहचान, एआई, एपीआई, भुगतान तर्क और आपूर्ति श्रृंखला के क्षेत्रों में प्रवेश करता है।
वास्तविक समय भुगतान की अपरिवर्तनीयता, एआई-संचालित निर्णय लेने, प्रोग्रामेबल वित्तीय तर्क, निरंतर पहचान तल और पारिस्थितिकी तंत्र पर निर्भर संचालन का संयोजन खतरों का एक ऐसा वातावरण बनाता है जहाँ गति, जटिलता और अंतरनिर्भरता एक साथ बढ़ती है। हालांकि नियामक ढांचे परिवर्तनों के पीछे भागने की कोशिश कर रहे हैं, वे स्वयं विकसित हो रही वास्तुकला से पीछे हैं।
संरचनात्मक परिवर्तनों और सुरक्षा मॉडल के अनुकूलन के बीच यह समय अंतराल वह 'खिड़की' है जिसका सक्रिय रूप से फायदा उठाते हैं परिष्कृत हमलावर। रिपोर्ट इस बात पर जोर देती है कि केंद्रीकृत नियंत्रण और सीमित विश्वास पर केंद्रित डिजाइन वर्तमान परिचालन वातावरण में लागू नहीं है।
चेतावनी दी गई है कि जैसे-जैसे डिजिटल सेवाएं कई प्लेटफार्मों को कवर करती हैं, सुरक्षा का विखंडन और पहचान पर आधारित पहुंच जोखिमों को बढ़ाता है। एक पहचान का समझौता संभावित रूप से विभिन्न प्लेटफार्मों के माध्यम से कई खातों और सेवाओं तक स्थायी पहुंच प्रदान कर सकता है। जब पहचान बायोमेट्रिक्स, निरंतर प्रमाणीकरण संकेतों और इंटर-सिस्टम टोकन श्रृंखलाओं पर निर्मित एक्सेस और लेनदेन के प्राथमिक नियंत्रण योजना बन जाती है, तो एक प्रोफ़ाइल का समझौता केवल एक खाते को प्रभावित करना बंद कर देता है, जिससे व्यापक और टिकाऊ क्रॉस-सिस्टम पहुंच मिलती है।
इसके अलावा, नियंत्रण संकेतों पर निर्भर अनुपालन निगरानी 'हथियार' बन जाती है, क्योंकि हमलावर लॉग छिपा सकते हैं, अलर्ट थ्रेशोल्ड बदल सकते हैं और स्वच्छ स्थिति की दृश्यता बनाए रख सकते हैं, जो समझौता किए गए वातावरण के भीतर कार्य करते हैं। इस प्रकार, खतरे की सतह अब परिधि नहीं है, बल्कि भागीदारों, प्लेटफार्मों, मॉडल, एपीआई और बुनियादी ढांचा स्तरों के बीच संबंधों का एक वितरित, निरंतर, बदलता हुआ नेटवर्क है, जिसमें कोई भी पूरी तरह से नियंत्रण या स्वामित्व में नहीं है।