जुलिआना ब्राज़: “जिसे आप अद्वितीय रूप से पहचान नहीं सकते, उसे आप सत्यापित भी नहीं कर सकते”
जुलिआना ब्राज़ Serpro में इंटरनेशनल बिज़नेस डेवलपमेंट की प्रमुख हैं और साथ ही कंपनी की प्रवक्ता भी हैं। Serpro ब्राज़ील की संघीय सरकार की टेक्नोलॉजी रीढ़ है। इस भूमिका में वह क़ानून, पब्लिक एडमिनिस्ट्रेशन और इंजीनियरिंग को जोड़कर राज्य की सबसे कठिन चुनौतियों में से एक से निपटती हैं: राष्ट्रीय स्तर पर विश्वसनीय तरीके से साबित करना कि “कौन कौन है”। उन्होंने अपना करियर कागज़ी ड्राइविंग लाइसेंस को पुरस्कृत डिजिटल लाइसेंस CNH Digital में बदलने की प्रक्रिया में काम करते हुए शुरू किया और तब से डिजिटल पहचान, धोखाधड़ी-रोध और नागरिक अधिकारों पर एक स्पष्ट, व्यावहारिक आवाज़ के रूप में उभरी हैं। जुलिआना के लिए पहचान एक सार्वजनिक संपत्ति है और “सिक्योरिटी बाय डिज़ाइन” पर कोई समझौता नहीं हो सकता: जहाँ सचमुच भरोसा बढ़ता है वहीं बायोमेट्रिक्स और टोकनाइज़ेशन; प्राइवेसी की रक्षा के लिए LGPD का कड़ाई से पालन और रोल-बेस्ड एक्सेस; और ऐसे समावेशी रास्ते, जिनसे तकनीक किसी को भी बाहर न कर दे।
वे Gov.br के स्तरित भरोसा मॉडल (ब्रॉन्ज, सिल्वर, गोल्ड) को स्केलेबल ट्रस्ट के लिए एक ब्लूप्रिंट के रूप में बढ़ावा देती हैं और साथ-साथ डेटा साइलो के बीच इंटरऑपरेबिलिटी पर ज़ोर देती हैं ताकि सिंथेटिक पहचान और सोशल-इंजीनियरिंग गैंग्स को रोका जा सके। डीपफेक और SIM-स्वैप जोखिमों के बारे में वे व्यवहारिक रूप से स्पष्ट हैं और कहती हैं कि टूल जितनी तेज़ी से विकसित हो रहे हैं, संगठनात्मक संस्कृति और प्रशिक्षण को भी उतनी ही तेजी से आगे बढ़ना होगा। भविष्य की ओर देखते हुए, वे CPF-आधारित एक ऐसे इकोसिस्टम की कल्पना करती हैं जो SSI (Self-Sovereign Identity) की ओर बढ़ रहा हो, जहाँ Serpro ब्राज़ील की संप्रभु ट्रस्ट लेयर और रियल-टाइम एंटी-फ्रॉड इंटेलिजेंस हब के रूप में काम करे।
प्रश्न: जुलिआना, आपके करियर में क़ानून, पब्लिक एडमिनिस्ट्रेशन और टेक्नोलॉजी एक साथ आते हैं। Serpro में आप पहचान और धोखाधड़ी के विषय में विशेषज्ञ क्यों बनीं?
Serpro में पहचान और धोखाधड़ी पर विशेषज्ञता लेने की मेरी प्रेरणा सीधे-सीधे उन व्यावहारिक अनुभवों से आती है, जो मैंने राष्ट्रीय स्तर के अहम सिस्टम बनाते हुए हासिल किए। मैंने Serpro में अपना करियर मौजूदा नेशनल ड्राइविंग लाइसेंस (CNH) डेटाबेस पर काम करते हुए शुरू किया, जो पहले से ही ब्राज़ील की प्रमुख पहचान स्रोतों में से एक था।
CNH Digital बनाने वाले प्रोजेक्ट में मेरी सक्रिय भागीदारी—जिसने एक भौतिक दस्तावेज़ को हाई-सिक्योरिटी डिजिटल क्रेडेंशियल में बदल दिया और iBest जैसे राष्ट्रीय पुरस्कार जीते—ने मुझे इस क्षेत्र से गहराई से जोड़ा। मुझे समझ आया कि पहचान पब्लिक एडमिनिस्ट्रेशन की सबसे बुनियादी संपत्ति है और भरोसे तथा बड़े पैमाने की धोखाधड़ी से जुड़े कठिन सवालों का सबसे मज़बूत जवाब टेक्नोलॉजी ही है।
यही वजह है कि Serpro में मेरी विशेषज्ञता उसी काम का तार्किक विस्तार है। मैं पब्लिक एडमिनिस्ट्रेशन की अपनी पृष्ठभूमि और तकनीकी ज्ञान का इस्तेमाल करके यह समझती हूं कि प्रक्रियाओं में कमजोरियां कहाँ हैं (जहाँ धोखाधड़ी होती है) और फिर बायोमेट्रिक्स और टोकनाइज़ेशन जैसी उन्नत तकनीकों को लागू करके मज़बूत सुरक्षा समाधान डिज़ाइन करती हूं—ताकि नागरिक सुरक्षित रहें और सरकारी डिजिटलाइज़ेशन की अखंडता बनी रहे।
प्रश्न: सरकार की डिजिटलाइज़ेशन में एक प्रमुख संस्था की मैनेजर के रूप में, आपने नागरिकों और राज्य के लिए डिजिटल पहचान के मूल्य के बारे में क्या सीखा है?
सरकारी डिजिटलाइज़ेशन पहलों को संभालने के अपने अनुभव से मैंने सीखा है कि डिजिटल आइडेंटिटी का महत्व बिल्कुल बुनियादी है—यह आधुनिक, कुशल और समावेशी राज्य का मुख्य इंजन है। यह सिर्फ एक टेक्निकल अपग्रेड नहीं, बल्कि नागरिक-सरकार संबंधों की नई परिभाषा है, जो दशकों पुरानी अकार्यक्षमताओं को तेज़, भरोसेमंद सेवाओं में बदल देती है।
नागरिकों के लिए इसका सबसे बड़ा मूल्य सार्वभौमिक समावेशन और आसान पहुँच है। डिजिटल पहचान शारीरिक उपस्थिति, कतारों और कागज़ी फॉर्म्स की ज़रूरत कम कर देती है, जिससे लाखों लोग किसी भी स्थान और किसी भी समय ज़रूरी सेवाओं तक पहुंच सकते हैं और अधिकार वास्तव में उन तक पहुंच पाते हैं जिन्हें उनकी ज़रूरत है। इसके अलावा, बायोमेट्रिक्स पर आधारित मज़बूत डिजिटल पहचान पारंपरिक कागज़ी दस्तावेज़ों की तुलना में धोखाधड़ी के खिलाफ कहीं अधिक सुरक्षित होती है, जो न केवल व्यक्ति को पहचान-चोरी से बचाती है, बल्कि उसे अपने डेटा पर अधिक नियंत्रण भी देती है।
सरकार के लिए डिजिटल पहचान सुशासन और वित्तीय अखंडता का स्तंभ है। यह सभी एजेंसियों में ऑथेंटिकेशन प्रक्रियाओं को मानकीकृत और स्वचालित करके दक्षता और लागत-बचत प्रदान करती है। उससे भी बढ़कर, यह सबसे ताकतवर एंटी-फ्रॉड टूल है। जब राज्य सुनिश्चित कर सकता है कि हर नागरिक एक अद्वितीय और सत्यापित व्यक्ति है, तभी सार्वजनिक धन—जैसे सामाजिक लाभ और इमरजेंसी सहायता—सही लाभार्थी तक ही पहुँचता है, न कि किसी और तक या दो बार।
अंततः, डिजिटल पहचान सुरक्षित तरीके से सरकारी डेटा साइलो के बीच डेटा कंसॉलिडेशन और क्रॉस-रेफरेंसिंग सक्षम करती है, जिससे हर नागरिक का एक सटीक और एकीकृत व्यू बनता है और पब्लिक पॉलिसी अधिक प्रभावी और टार्गेटेड बन सकती है।
प्रश्न: ब्राज़ील में पहचान धोखाधड़ी एक स्थायी चुनौती है। आपकी नज़र में आज अपराधी किन मुख्य कमज़ोरियों का सबसे ज़्यादा फ़ायदा उठा रहे हैं?
ब्राज़ील में पहचान धोखाधड़ी एक लगातार बनी रहने वाली चुनौती है, और अपराधी इसे लेगेसी सिस्टम, चोरी किए गए डेटा की बाढ़ और मानवीय कमजोरियों के संगम पर हमला करके रणनीतिक रूप से एक्सप्लॉइट करते हैं। डिजिटलाइज़ेशन और सुरक्षा के नज़रिए से कमज़ोरियाँ सबसे पहले पर्सनल डेटा लीक से शुरू होती हैं। धोखाधड़ी के लिए सबसे बड़ा ईंधन वही विशाल मात्रा में चोरी या लीक हुआ डेटा है—CPF, मां का नाम, जन्म-तिथि जैसी जानकारी—जो डार्क वेब पर उपलब्ध है और फर्जी अकाउंट खोलने और बड़े पैमाने पर सोशल-इंजीनियरिंग अभियानों की नींव बनती है।
इसके अलावा, अपराधी “काडस्ट्रल फ्रैगमेंटेशन” यानी बिखरे हुए रिकॉर्ड का फायदा उठाकर सिंथेटिक आइडेंटिटी बनाते हैं। वे चोरी किया गया, लेकिन वैध CPF लेते हैं और उसे फर्ज़ी डेटा के साथ मिला देते हैं, ताकि उन सेक्टरों में शुरुआती ऑनबोर्डिंग चेक पार कर सकें, जिनके पास नागरिक का एकीकृत व्यू नहीं है।
दूसरी तरफ, अपराधी प्रक्रियाओं और किसी भी सिस्टम की सबसे कमज़ोर कड़ी—इंसान—पर हमला करने में माहिर हैं। सोशल इंजीनियरिंग और फ़िशिंग आज भी अत्यंत प्रभावी तरीके हैं; ठग लीक हुए डेटा का इस्तेमाल करके बेहद भरोसेमंद लगने वाली कहानी बनाते हैं और पीड़ित को इस हद तक मैनिपुलेट कर देते हैं कि वह खुद ही सिक्योरिटी कोड शेयर कर दे। इसी तरह SIM-स्वैप हमला टेलीकॉम कंपनियों की प्रक्रिया-स्तरीय कमजोरी का फायदा उठाता है: जैसे ही पीड़ित का मोबाइल नंबर नए सिम पर पोर्ट हो जाता है, अपराधी SMS-आधारित मल्टी-फैक्टर ऑथेंटिकेशन (MFA) कोड लेने लगता है और ऐप की सुरक्षा परत को बायपास कर देता है।
अंत में, लेगेसी सिस्टम भी कमजोरियों को जिंदा रखते हैं। अलग-अलग प्रकार के राज्य ID दस्तावेज़ों की ऐतिहासिक बहुलता और मैन्युअल प्रक्रियाओं पर निर्भरता ने फर्ज़ी दस्तावेज़ों और चोरी किए गए डॉक्युमेंट्स का उपयोग आसान बना दिया है। इसके साथ-साथ नई तकनीकी धमकियाँ भी सामने आ रही हैं, जो ताज़ा सुरक्षा परतों को चुनौती देती हैं। जैसे-जैसे फेसियल बायोमेट्रिक्स मानक बनता जा रहा है, अपराधी अकाउंट ओपनिंग के दौरान लिवनेस डिटेक्शन को धोखा देने के लिए डीपफेक वीडियो और उच्च गुणवत्ता वाली डिजिटल “मास्क” में निवेश कर रहे हैं। सप्लाई-चेन हमले भी अधिक जटिल हो गए हैं, जहाँ छोटे और अपेक्षाकृत कम सुरक्षित थर्ड-पार्टी विक्रेताओं को निशाना बनाकर संवेदनशील डेटा चोरी किया जाता है या व्यापक रूप से उपयोग किए जाने वाले सिस्टमों में मालिशियस कोड इंजेक्ट किया जाता है।
प्रश्न: ब्राज़ील ने बायोमेट्रिक्स और डिजिटल सॉल्यूशंस में निवेश करके करोड़ों लोगों की ऑथेंटिकेशन की है। आपके हिसाब से क्या अच्छा काम कर रहा है और किन सीमाओं पर अभी भी काम करना बाकी है?
बड़ी आबादी की पहचान के लिए बायोमेट्रिक्स और डिजिटल सॉल्यूशंस का इस्तेमाल करने के मामले में ब्राज़ील अग्रणी रहा है। हमने खासकर महत्वपूर्ण डेटा के कंसॉलिडेशन में काफी सफलता देखी है, लेकिन सभी के लिए वास्तव में सार्वभौमिक डिजिटल सुरक्षा सुनिश्चित करने के लिए अब भी कुछ कठिन चुनौतियां हैं।
Gov.br प्लेटफ़ॉर्म इस क्षेत्र की एक बड़ी उपलब्धि है। यह CNH/Denatran और फेडरल टैक्स अथॉरिटी जैसे सरकारी आधिकारिक डेटाबेस से डेटा मैच करके ऑथेंटिकेशन करता है और ब्रॉन्ज, सिल्वर, गोल्ड जैसे क्रमिक स्तरों का उपयोग करता है। इससे नागरिकों को बायोमेट्रिक्स के ज़रिए अपना सुरक्षा स्तर बढ़ाने के लिए प्रेरित किया जाता है और राज्य को हज़ारों सेवाओं तक पहुँच के लिए एक मज़बूत, सत्यापित डिजिटल पहचान लेयर मिलती है।
फिर भी, हम अब भी बड़ी सरकारी डेटाबेसों के बीच बिना रुकावट वाली इंटरऑपरेबिलिटी की कमी से जूझ रहे हैं। हमारे पास कई उच्च गुणवत्ता वाले बायोमेट्रिक “साइलो” हैं, जो अभी तक पूरी तरह या आसानी से एक-दूसरे से संवाद नहीं करते। इस तरह की फ्रैगमेंटेशन के कारण अलग-अलग एजेंसियों को बार-बार वही वेरिफिकेशन करना पड़ता है और किसी एक नागरिक के लिए वास्तव में एकीकृत आइडेंटिटी हिस्ट्री बनाना मुश्किल हो जाता है।
प्रश्न: जब हम एंटी-फ्रॉड तकनीक की बात करते हैं तो ज़्यादातर लोग सिर्फ टूल्स के बारे में सोचते हैं। आपके अनुभव में, संगठनात्मक संस्कृति और टीम प्रशिक्षण धोखाधड़ी रोकने में कितने महत्वपूर्ण हैं?
यह बहुत अहम बिंदु है। आमतौर पर सार्वजनिक चर्चा में फोकस सबसे नए टूल्स पर होता है—जैसे बायोमेट्रिक्स, AI, एन्क्रिप्शन—लेकिन मेरे अनुभव में संगठन की संस्कृति और टीम का प्रशिक्षण कम से कम उतने ही, और कई बार उससे भी अधिक महत्वपूर्ण हैं।
एंटी-फ्रॉड की सफलता एक त्रिभुज पर टिकी होती है: टेक्नोलॉजी, प्रक्रिया और लोग। अगर “लोग” और “संस्कृति” वाले दो पक्ष कमज़ोर हैं, तो सबसे उन्नत तकनीक भी अपेक्षित परिणाम नहीं दे पाएगी।
एक मज़बूत एंटी-फ्रॉड संस्कृति ऊपर से शुरू होती है—लीडरशिप लेवल से—और संस्था के हर स्तर तक फैलनी चाहिए। यह धोखाधड़ी रोकथाम को सिर्फ कम्प्लायंस चेकलिस्ट से निकालकर बिज़नेस का मुख्य मूल्य बना देती है। टेक्नोलॉजी अलर्ट देती है, लेकिन उन अलर्ट को समझना, संदर्भ जोड़ना और तेज़ प्रतिक्रिया देना अच्छे से प्रशिक्षित लोगों का काम है।
प्रश्न: Serpro में आप बहुत बड़े पैमाने के डेटा के साथ काम करती हैं। पहचान की सुरक्षा और सटीकता की ज़रूरत को नागरिकों की प्राइवेसी और अधिकारों के सम्मान के साथ कैसे संतुलित करती हैं?
Serpro जैसी संस्था में बड़े पैमाने पर सरकारी डेटा के साथ काम करना तीन बराबर महत्व की ज़रूरतों के बीच कड़े संतुलन की मांग करता है: सुरक्षा (धोखाधड़ी की रोकथाम), सटीकता (सही व्यक्ति की पहचान) और प्राइवेसी (नागरिक अधिकार)।
यह संतुलन किसी एक टूल से नहीं, बल्कि गवर्नेंस, टेक्नोलॉजी और लीगल कॉम्प्लायंस के गहरे सम्मिश्रण से बनता है।
सबसे पहला कदम क़ानून का सख़्ती से पालन करना है—खास तौर पर ब्राज़ील का Lei Geral de Proteção de Dados (LGPD)। यही वह कानूनी नींव है जिस पर बाकी सब कुछ टिका है। हम “नीड-टू-नो” सिद्धांत लागू करते हैं: डेटा कलेक्शन और उपयोग को सिर्फ़ उसी तक सीमित रखते हैं जो सेवा के लिए बिल्कुल ज़रूरी हो। उदाहरण के लिए, यदि सिर्फ़ किसी का एडल्ट होना वेरिफाई करना है, तो हम केवल जन्म-तिथि देखते हैं, न कि उनका पता या माता-पिता के नाम। यह फिलॉसफी सिस्टम आर्किटेक्चर में शुरू से ही एम्बेड की जाती है। इसके अलावा, हर डेटा क्वेरी या ट्रांसफर का एक साफ, वैध और विशेष उद्देश्य होना ज़रूरी है। हम सुनिश्चित करते हैं कि, उदाहरण के लिए, टैक्स उद्देश्यों के लिए जुटाए गए डेटा का इस्तेमाल हेल्थ सर्विसेज में बिना कानूनी अनुमति या स्पष्ट सहमति के न किया जाए। साथ ही, हम नागरिकों को स्पष्ट रूप से बताते हैं कि कौन-सा डेटा क्यों इस्तेमाल हो रहा है और LGPD के तहत उनके अधिकार—डेटा तक पहुंच, संशोधन और जहां लागू हो, अनोनिमाइज़ेशन—का पूरा सम्मान करते हैं।
टेक्नोलॉजी का उपयोग डेटा को सुरक्षित रखने और सही तरीके से उपयोग सुनिश्चित करने के लिए किया जाता है, न कि अधिकतम एक्सेस देने के लिए। संवेदनशील पहचान डेटा तक पहुंच को सेगमेंट किया जाता है, मॉनिटर किया जाता है और कड़ाई से सीमित रखा जाता है। हम सख़्त रोल-बेस्ड एक्सेस कंट्रोल (RBAC) लागू करते हैं ताकि केवल अधिकृत कर्मचारी ही संवेदनशील डेटा हैंडल कर सकें और हर एक्सेस लॉग हो तथा ऑडिटेबल हो। धोखाधड़ी पैटर्न एनालिसिस, क्वालिटी टेस्टिंग या मशीन लर्निंग जैसे कामों के लिए हम प्राथमिकता से अनॉनिमाइज़्ड या प्सूडोनिमाइज़्ड डेटा (जहाँ पहचानकर्ता टोकन से बदले जाते हैं) का इस्तेमाल करते हैं, जिससे हमें ट्रेंड की इंटेलिजेंस मिलती है, लेकिन व्यक्तिगत पहचान उजागर नहीं होती। डेटा को ट्रांज़िट में (सिस्टमों के बीच जाते समय) और एट रेस्ट (डेटाबेस में स्टोर रहते समय) दोनों ही अवस्थाओं में एन्क्रिप्ट किया जाता है। इसके अलावा, डिजिटल आइडेंटिटी के लिए हम टोकनाइज़ेशन का उपयोग करते हैं, जहाँ संवेदनशील डेटा—जैसे पूरा CPF—ट्रांज़ैक्शन के दौरान एक अर्थहीन डिजिटल टोकन से बदला जाता है, जिससे एक्सपोज़र न्यूनतम रहे।
प्रश्न: हाल के वर्षों में डीपफेक और सिंथेटिक पहचान जैसे और भी जटिल धोखाधड़ी सामने आए हैं। इन उभरते ख़तरों को पहले से भांपने की क्षमता के लिहाज़ से आप ब्राज़ील को कैसे देखती हैं?
डीपफेक और सिंथेटिक आइडेंटिटी फ्रॉड जैसी जटिल धमकियाँ साइबरक्राइम की अग्रिम पंक्ति में हैं और वे हमें प्रतिक्रियात्मक रक्षा से हटाकर प्रैक्टिव, अग्रिम सोच वाली रक्षा की ओर ले जाने की मांग करती हैं।
ब्राज़ील की क्षमता यहाँ कुछ मिलीजुली है: हमारे पास बड़े पैमाने के डेटा और रेगुलेटरी फ़ाउंडेशन जैसी मज़बूतियाँ हैं, लेकिन एकीकृत इंटेलिजेंस और टेक्नॉलॉजिकल रेडीनेस में अब भी अंतराल हैं।
हमारी सबसे बड़ी पूंजी हमारा व्यापक और उच्च गुणवत्ता वाला डेटा है। Serpro जैसी संस्थाएँ राष्ट्रीय स्तर पर बायोमेट्रिक और काडस्ट्रल डेटा मैनेज करती हैं। यह प्रामाणिक, बड़े पैमाने का डेटा सिंथेटिक आइडेंटिटी के खिलाफ सबसे अच्छी ढाल है, क्योंकि इससे बिल्कुल नई, नकली पहचान घड़कर कड़े क्रॉस-चेक में पास होना बहुत कठिन हो जाता है। LGPD का अस्तित्व भी संगठनों को “सिक्योरिटी बाय डिज़ाइन” के सिद्धांत अपनाने के लिए मजबूर करता है और जवाबदेही बढ़ाता है। यह रेगुलेटरी दबाव उन्नत सुरक्षा में निरंतर निवेश को लगातार बढ़ावा देता है, जिसमें डेटा मैनिप्युलेशन की परिष्कृत कोशिशों का पता लगाने वाले टूल भी शामिल हैं।
ब्राज़ील का बैंकिंग और फिनटेक सेक्टर, जो अत्यधिक प्रतिस्पर्धी और डिजिटल है, लगातार टेस्टबेड का काम भी करता है। ये संस्थाएँ रियल-टाइम बिहेविरल बायोमेट्रिक्स और फेस-आधारित लिवनेस डिटेक्शन जैसे उन्नत एंटी-फ्रॉड तरीकों को तेज़ी से अपनाती हैं, जिससे डीपफेक और प्रेजेंटेशन अटैक के खिलाफ बाज़ार का मानक लगातार ऊँचा होता जा रहा है।
लेकिन इन ताकतों के बावजूद, संरचनात्मक और तकनीकी अंतराल हमारी “पहले से अनुमान लगाने की क्षमता” को सीमित करते हैं। डेटा तो मौजूद है, पर इंटेलिजेंस अक्सर अलग-अलग साइलो में बंद रहता है। दूसरी ओर, धोखेबाज़ अपनी तकनीकों को वैश्विक स्तर पर और लगभग तुरंत साझा करते हैं। ख़तरों को पहले से भांपने के लिए सार्वजनिक क्षेत्र (पुलिस, टैक्स अथॉरिटी, इलेक्शन कोर्ट) और निजी क्षेत्र (बैंक, टेलीकॉम) को मिलकर एक कानूनी रूप से मज़बूत, रियल-टाइम थ्रेट इंटेलिजेंस हब बनाना होगा। इसके बिना, किसी बैंक में पकड़ी गई सिंथेटिक पहचान किसी सरकारी एजेंसी में बहुत देर तक अनदेखी रह सकती है—या उल्टा।
साथ ही, डीपफेक बनाने की तकनीक सस्ती और सुलभ बहुत तेज़ी से हो रही है, जबकि उन्हें पहचानने की तकनीक उसी गति से आगे नहीं बढ़ पा रही। ब्राज़ील को AI-चालित एंटी-स्पूफिंग तकनीकों में अधिक और संगठित निवेश की ज़रूरत है—ऐसी तकनीक जो साधारण लिवनेस चेक से आगे जाकर वीडियो स्ट्रीम में सूक्ष्म फिज़ियोलॉजिकल संकेतों और तकनीकी आर्टिफैक्ट्स का विश्लेषण करे। यह लगातार R&D और उच्च स्तर की विशेषज्ञता की मांग करता है, जो अभी कुछ गिने-चुने निजी सुरक्षा लैब्स में केंद्रित है।
नीतिगत रूप से भी हमारी प्रतिक्रिया अक्सर रिएक्टिव होती है—घोड़ा भागने के बाद अस्तबल का दरवाज़ा बंद करने जैसी। वास्तविक एंटिसिपेशन के लिए ज़रूरी है कि रेगुलेटर सिर्फ मौजूदा कमजोरियों पर नहीं, बल्कि भविष्य के संभावित हमले के रास्तों पर भी दिशानिर्देश जारी करें और यह सक्रिय रूप से मॉडल करें कि जेनरेटिव AI और क्वांटम कंप्यूटिंग जैसी तकनीकें मौजूदा सुरक्षा प्रोटोकॉल पर क्या प्रभाव डाल सकती हैं।
संक्षेप में, ब्राज़ील के पास सिंथेटिक पहचान से निपटने के लिए डेटा-पावर है और डीपफेक के जवाब में तेज़ी से प्रतिक्रिया देने के लिए मार्केट की गतिशीलता भी। लेकिन सच-मुच इन खतरों को पहले से पकड़ने के लिए, हमें सेक्टरों के बीच इंटेलिजेंस-शेयरिंग को प्राथमिकता देनी होगी और AI-आधारित डिफेंसिव R&D में संसाधन लगाने होंगे, ताकि डिफेंस उतनी ही फुर्तीला हो जितना अटैक।
प्रश्न: आपके सीधे अनुभव के आधार पर, सार्वजनिक पहचान सत्यापन प्रोजेक्ट की सफलता के लिए कौन-से कारक सबसे निर्णायक होते हैं—टेक्नोलॉजी, डेटा गवर्नेंस, एजेंसी-कोलैबोरेशन या कुछ और?
मेरे अनुभव में, सार्वजनिक पहचान सत्यापन प्रोजेक्ट की सफलता सबसे पहले तीन गैर-तकनीकी नींवों पर टिकी होती है, जबकि टेक्नोलॉजी सिर्फ़ इन्हें सक्षम बनाने का साधन है।
सबसे महत्वपूर्ण कारक डेटा गवर्नेंस और यूनिकनेस है। यदि हम एकल राष्ट्रीय मानक नहीं बनाते और यह सुनिश्चित नहीं करते कि कोर डेटा साफ, सटीक और लगातार अपडेटेड है, तो उस पर बने किसी भी उन्नत बायोमेट्रिक या डिजिटल समाधान के फेल होने की संभावना रहेगी; सीधी बात यह है कि जिसे हम अद्वितीय रूप से पहचान नहीं सकते, उसे हम भरोसेमंद तरीके से सत्यापित भी नहीं कर सकते।
दूसरा, इंटर-एजेंसी कोलैबोरेशन बिल्कुल अहम है। सफलता “एक बेहतर साइलो” बनाकर नहीं, बल्कि अलग-अलग सरकारी एजेंसियों को एकीकृत, भरोसेमंद वेरिफिकेशन नेटवर्क में बदलकर मिलती है, जो रियल-टाइम में जानकारी साझा कर सके और क्रॉस-रेफरेंस कर सके।
अंत में, प्रोजेक्ट को उपयोगिता (Usability) और समावेशन (Inclusion) द्वारा गाइड किया जाना चाहिए। सिस्टम इतना सुरक्षित होना चाहिए कि वह धोखाधड़ी से लड़ सके, लेकिन इतना सरल भी कि लगभग 100% नागरिक इसे अपना सकें। इसका मतलब है कि वेरिफिकेशन के कई, सुलभ रास्ते उपलब्ध कराए जाएं, ताकि सुरक्षा उपाय खुद कमजोर आबादी के लिए बाधा न बनें।
प्रश्न: जब हम फाइनेंशियल इंक्लूज़न और सेवाओं तक पहुँच पर विचार करते हैं, तो कैसे सुनिश्चित किया जाए कि एंटी-फ्रॉड सिस्टम उन संवेदनशील नागरिकों के लिए बाधा न बनें, जिनके पास सारे दस्तावेज़ या ज़रूरी टेक्नोलॉजी नहीं है?
यहाँ मुख्य विरोधाभास यह है कि सुरक्षा खुद दीवार नहीं बन सकती। एंटी-फ्रॉड सिस्टम को संवेदनशील नागरिकों को बाहर करने से रोकने के लिए हमें कठोर “कम्प्लायंस-फर्स्ट” माइंडसेट से हटकर “इन्क्लूज़न बाय डिज़ाइन” की ओर बढ़ना होगा।
हम मल्टी-टियर ऑथेंटिकेशन का इस्तेमाल करते हैं, जैसा कि Gov.br के स्तरों में दिखता है। साधारण, कम जोखिम वाली सेवाओं के लिए कम सुरक्षा स्तर पर्याप्त है, जबकि उच्च जोखिम वाली सेवाओं—जैसे लाभ भुगतान—के लिए पूर्ण बायोमेट्रिक वेरिफिकेशन की ज़रूरत होती है। इससे अधिकांश लोगों को आसान एक्सेस मिलता है, और सबसे कठोर विश्वसनीयता-प्रमाण केवल उच्च प्रभाव वाले मामलों के लिए आरक्षित रहती है।
साथ ही, हमें मानवीय सहायता-युक्त वेरिफिकेशन पॉइंट्स बनाए रखना चाहिए—जैसे समर्पित सरकारी सेवा केंद्र। जिनके पास स्मार्टफोन या स्थिर इंटरनेट नहीं है, उनकी पहचान एक प्रशिक्षित अधिकारी द्वारा सत्यापित की जा सके, ताकि डिजिटल गैप कम हो सके।
सिस्टम को वैकल्पिक पहचान प्रमाण और ऐतिहासिक डेटा क्रॉस-रेफरेंस—जैसे टैक्स या हेल्थ रिकॉर्ड—को भी स्वीकार करने में सक्षम होना चाहिए, बजाय इसके कि वह हमेशा एक ही “परफेक्ट” डॉक्युमेंट की मांग करे। कुल मिलाकर, सुरक्षा को इस तरह डिज़ाइन किया जाना चाहिए कि वह कई सुलभ रास्तों से “हाँ, यह आप ही हैं” कहने का तरीका ढूंढ सके, न कि एक ऐसी दीवार बने, जिसे सिर्फ सबसे ज्यादा टेक-सैवी लोग ही पार कर सकें।
प्रश्न: जुलिआना, अगर आपको किसी ऐसे युवा प्रोफेशनल को सलाह देनी हो जो अभी-अभी कम्प्लायंस और धोखाधड़ी-रोध के क्षेत्र में आया है, तो आप उसे किस तरह के अनुभव या सीख को प्राथमिकता देने के लिए कहेंगी?
तकनीकी ज्ञान के अलावा, मैं दृढ़ता से सलाह दूंगी कि वे ऑपरेशनल अनुभव और “फ्रंटलाइन कहानियों” की तलाश करें। सिर्फ थ्योरी काफ़ी नहीं है। आपको धोखाधड़ी के पूरे लाइफ-साइकिल को समझना होगा—या तो इंसीडेंट रिस्पॉन्स टीम के साथ काम करके, या शुरू से अंत तक बिज़नेस प्रक्रियाओं का मैप बनाकर।
अपराधी हमेशा किसी प्रक्रिया के सबसे कमज़ोर हिस्से को निशाना बनाता है, इसलिए अटैकर की तरह सोचना सीखना—और साथ ही यह समझना कि दबाव की स्थिति में सबूत कैसे इकट्ठे करें और प्रतिक्रिया को कैसे समन्वित करें—सबसे मूल्यवान सीख है जो आप प्राप्त कर सकते हैं। यही क्रॉस-डिसिप्लिनरी विशेषज्ञता एक कम्प्लायंस स्पेशलिस्ट को संगठन के लिए अनिवार्य नेता में बदल देती है।
प्रश्न: अंत में, आगे की ओर देखते हुए, आप अगले 10 साल में ब्राज़ील के डिजिटल पहचान इकोसिस्टम को कैसे देखती हैं और उस परिदृश्य में Serpro की क्या भूमिका होनी चाहिए?
10 साल बाद मैं ब्राज़ील के डिजिटल पहचान इकोसिस्टम को पूरी तरह समेकित रूप में देखती हूँ, जहाँ CPF एकल और आधिकारिक पहचानकर्ता होगा और देश Self-Sovereign Identity (SSI) मॉडल की ओर बढ़ रहा होगा। इसका मतलब है कि डिजिटल पहचान एक निजी, एन्क्रिप्टेड क्रेडेंशियल होगी, जिसे नागरिक अपने मोबाइल डिवाइस पर मैनेज करेगा और ज़रूरत के मुताबिक केवल वही डेटा साझा करेगा जो आवश्यक है—जैसे केवल “मैं बालिग हूँ” साबित करना, जन्म-तिथि बताए बिना। यह नींव मौजूदा डेटाबेस फ्रैगमेंटेशन को खत्म कर देगी और सभी सार्वजनिक व निजी सेवाओं में रियल-टाइम, उच्च अखंडता वाली वेरिफिकेशन संभव करेगी।
महत्त्वपूर्ण बात यह है कि यह सिस्टम आने वाले आर्थिक मॉडलों के साथ सहज रूप से जुड़ जाएगा और नई तकनीकों को बड़े पैमाने पर अपनाने के लिए आवश्यक डिजिटल भरोसा प्रदान करेगा।
इस भविष्य में Serpro की भूमिका को भी विकसित होना चाहिए—विशिष्ट एप्लिकेशन बनाने वाले प्रदाता से संघीय सरकार के “Sovereign Trust Enabler” और “इंटेलिजेंस हब” के रूप में। इसका अर्थ है कि Serpro को वह क्रिटिकल, सुरक्षित इन्फ्रास्ट्रक्चर संभालना होगा जहाँ बुनियादी डेटा रहता है और उस बड़े डेटा-स्केल का उपयोग करके उन्नत, रियल-टाइम एंटी-फ्रॉड इंटेलिजेंस एक सेवा के रूप में देना होगा। Serpro को वह प्राथमिक ट्रस्ट लेयर बनना होगा जो सभी पब्लिक सर्विसेज के लिए किसी व्यक्ति के बायोमेट्रिक और काडस्ट्रल डेटा को अधिकृत स्रोतों से मिलाकर सत्यापित करे।
डेटा सुरक्षा और अखंडता पर फ़ोकस करके, Serpro अन्य सरकारी एजेंसियों और कंपनियों को यह भरोसा दे सकता है कि वे नवाचार पर ध्यान दें, जबकि कोर आइडेंटिटी वेरिफिकेशन जैसी सबसे कठिन नींव Serpro सुरक्षित रूप से संभाले।
जुलिआना ब्राज़: “जिसे आप अद्वितीय रूप से पहचान नहीं सकते, उसे आप सत्यापित भी नहीं कर सकते”
