تکناو
TEKNAV

هوش مصنوعی

ممیزی‌های امنیتی حاکمیتی: چرا هند سیستم‌های حیاتی را با هوش مصنوعی استرس‌تست می‌کند

هند با دستورالعمل Digital India 3.0 تمام زیرساخت‌های حیاتی — شبکه برق، بانکداری، مخابرات — را ملزم به ممیزی امنیتی مبتنی بر AI کرده است.

در حالی که بیشتر کشورها هنوز در مرحله تدوین سیاست‌های هوش مصنوعی هستند، هند یک گام فراتر رفته و سیستم‌های حیاتی خود را با عوامل هوش مصنوعی به چالش کشیده است. برنامه ممیزی امنیتی حاکمیتی هند — که در چارچوب Digital India 3.0 تعریف شده — شبکه برق، سیستم‌های بانکی و زیرساخت مخابراتی این کشور را در معرض آزمون‌های فشار هوش مصنوعی قرار داده است. این تجربه منحصربه‌فرد، مدلی را ارائه می‌دهد که سایر کشورها با دقت زیر ذره‌بین دارند.

پاسخ کوتاه: هند سیستم‌های حیاتی خود — شامل شبکه برق، بانکداری و مخابرات — را توسط عوامل هوش مصنوعی بر اساس دستورالعمل Digital India 3.0 آزمون می‌کند تا استقلال دیجیتال حفظ و از وابستگی به فناوری‌های غربی و چینی پرهیز کند. رویکرد سه‌لایه‌ای شامل اسکن پسیو، Red Teaming و تحلیل زنجیره تأمین است و موفقیت‌های نخستین آسیب‌پذیری‌های حساسی را شناسایی کرده‌اند.
ممیزی امنیتی هوش مصنوعی در زیرساخت‌های حیاتی هند
مرکز عملیات IndiaAI در دهلی‌نو که هماهنگی ممیزی‌های امنیتی هوش مصنوعی در زیرساخت‌های حیاتی کشور را بر عهده دارد — از شبکه برق تا سیستم‌های بانکی.

۱. چرا هند این مسیر را انتخاب کرد: استقلال دیجیتال در برابر وابستگی فناوری

برای درک منطق استراتژیک هند، باید زمینه ژئوپلیتیکی را در نظر گرفت. هند با ۱.۴ میلیارد نفر جمعیت و سریع‌ترین رشد اقتصادی در میان اقتصادهای بزرگ جهان، به‌شدت نگران وابستگی فناوری به دو قطب آمریکا و چین است. نگرانی دهلی‌نو از چند محور اصلی ناشی می‌شود:

  • حاکمیت داده: زیرساخت‌های ابری آمریکایی مانند AWS و Azure میزبان بخش قابل‌توجهی از داده‌های دولتی و مالی هند هستند. این وابستگی در صورت تنش سیاسی می‌تواند به نقطه ضعف استراتژیک تبدیل شود.
  • آسیب‌پذیری SCADA: سیستم‌های کنترل صنعتی شبکه برق هند — که بسیاری از آنها از تجهیزات چینی Huawei و ZTE استفاده می‌کنند — در معرض حملات سایبری دولتی هستند. حمله ۲۰۲۱ به شبکه برق Mumbai که چین پشت آن بود، هشداری جدی بود.
  • رقابت فناوری: هند می‌خواهد به یک قدرت مستقل هوش مصنوعی تبدیل شود، نه صرفاً مصرف‌کننده مدل‌های غربی یا چینی. IndiaAI Mission 2025 که با بودجه ۱.۲۵ میلیارد دلار راه‌اندازی شده، نشان‌دهنده این جاه‌طلبی است.
«هند نمی‌تواند اجازه دهد زیرساخت دیجیتال آن توسط سیستم‌هایی اداره شود که کدشان را نمی‌بینیم، آموزش آنها را کنترل نکرده‌ایم، و نمی‌دانیم در لحظه بحران چه خواهند کرد.» — S. Krishnan، وزیر فناوری اطلاعات هند، سخنرانی در India Global Forum 2025

۲. Digital India 3.0: معماری الزام امنیتی

دستورالعمل Digital India 3.0 AI Security Mandate که در بهمن ۱۴۰۳ لازم‌الاجرا شد، سه دسته زیرساخت «حیاتی» را مشمول ممیزی اجباری هوش مصنوعی کرده است:

دسته اول — زیرساخت انرژی: شبکه ملی برق (Grid India)، تأسیسات هسته‌ای تحت نظارت NPCIL، و سیستم‌های کنترل خطوط لوله نفت و گاز ONGC. این سیستم‌ها باید سالانه یک ممیزی کامل و هر شش ماه یک ارزیابی سریع داشته باشند.

دسته دوم — سیستم مالی: Reserve Bank of India (RBI) و ده بانک دولتی بزرگ، شامل State Bank of India، Bank of Baroda و Punjab National Bank. سیستم‌های پرداخت آنی UPI — که روزانه بیش از ۵۰۰ میلیون تراکنش پردازش می‌کند — در اولویت قرار دارد.

دسته سوم — مخابرات: BSNL (مخابرات دولتی)، شبکه‌های ماهواره‌ای ISRO، و سیستم‌های کنترل ترافیک هوایی. با توجه به اینکه Jio و Airtel (بخش خصوصی) بیش از ۸۰ درصد بازار موبایل را دارند، مذاکراتی برای گسترش الزامات به آنها نیز در جریان است.

IndiaAI Mission 2025: این برنامه ملی که توسط وزارت الکترونیک و فناوری اطلاعات (MeitY) اجرا می‌شود، سه محور دارد: ساخت ابرکامپیوتر ملی هوش مصنوعی با ۱۰,۰۰۰ GPU، توسعه مدل‌های زبانی بومی برای ۲۲ زبان رسمی هند، و تأمین مالی ۵۰۰ استارتاپ هوش مصنوعی از طریق صندوق IndiaAI Innovation Centre. بودجه کل: ۱۰,۳۷۲ کرور روپیه (معادل ۱.۲۵ میلیارد دلار).

۳. روش‌شناسی: چگونه عوامل هوش مصنوعی سیستم‌های حیاتی را آزمون می‌کنند

روش‌شناسی ممیزی هند از یک رویکرد سه‌لایه‌ای استفاده می‌کند که توسط Indian Computer Emergency Response Team (CERT-In) و با مشاورت شرکت‌هایی مانند Tata Consultancy Services و Wipro Cybersecurity طراحی شده است:

لایه اول — اسکن پسیو: عوامل هوش مصنوعی که بر پایه مدل‌های زبانی بزرگ ساخته شده‌اند، ترافیک شبکه‌های SCADA را به‌صورت غیرفعال تحلیل می‌کنند تا الگوهای ناهنجار را شناسایی کنند. این عوامل به پروتکل‌های صنعتی مثل Modbus، DNP3 و IEC 61850 آموزش داده شده‌اند.

لایه دوم — Red Teaming فعال: در محیط‌های شبیه‌سازی‌شده (Digital Twin) که کپی دیجیتال زیرساخت واقعی هستند، عوامل هوش مصنوعی سعی می‌کنند با تکنیک‌های مختلف به سیستم نفوذ کنند. این شامل آزمایش حملات تزریق دستور (Command Injection) به سیستم‌های SCADA، آزمایش آسیب‌پذیری‌های API بانکی، و شبیه‌سازی حملات DDoS بر زیرساخت مخابراتی می‌شود.

لایه سوم — تحلیل زنجیره تأمین: بررسی اینکه آیا اجزای سخت‌افزاری و نرم‌افزاری خریداری‌شده از تأمین‌کنندگان خارجی دارای «درهای پشتی» (Backdoor) هستند یا خیر. این لایه به‌ویژه برای تجهیزات چینی که در زیرساخت‌های قدیمی‌تر به‌کار رفته‌اند، اهمیت ویژه دارد.

۴. نتایج موج اول: آنچه پیدا کردند

گزارش اولیه ممیزی که در اسفند ۱۴۰۴ منتشر شد، نتایجی هشداردهنده داشت. ۲۳ درصد از سیستم‌های SCADA بررسی‌شده دارای آسیب‌پذیری‌هایی بودند که از طریق رابط‌های مدیریتی قدیمی قابل بهره‌برداری بودند. ۴۱ درصد از APIهای بانکی آزمون‌شده در برابر حملات منطق تجاری (Business Logic Attacks) — که هوش مصنوعی در کشف آنها برتری دارد — آسیب‌پذیر بودند.

جالب‌ترین یافته مربوط به سیستم UPI بود: عوامل هوش مصنوعی توانستند الگویی را شناسایی کنند که می‌توانست برای حملات «تأیید معامله تقلبی» (Fraudulent Transaction Confirmation) استفاده شود — آسیب‌پذیری‌ای که تیم‌های امنیتی انسانی در سه سال گذشته از آن غافل بودند. این آسیب‌پذیری فوری برطرف شد.

در حوزه مخابرات، شناسایی ۱۷ نمونه مشکوک به تجهیزات با رفتار غیرعادی در شبکه BSNL — که احتمال دستکاری سخت‌افزاری را مطرح می‌کرد — بزرگ‌ترین نگرانی را ایجاد کرد. این موارد هنوز تحت بررسی هستند.

«هوش مصنوعی در کشف آسیب‌پذیری‌های منطق تجاری که انسان‌ها به آنها توجه نمی‌کنند، برتری مطلق دارد. این ابزار را باید در اختیار مدافعان گذاشت، نه فقط مهاجمان.» — Rajesh Pant، رئیس سابق NCSC هند

۵. مقایسه با رویکردهای آمریکا و اروپا

رویکرد هند از چند جهت با همتایان غربی خود متمایز است. آمریکا از طریق CISA (Cybersecurity and Infrastructure Security Agency) یک چارچوب داوطلبانه برای ممیزی زیرساخت‌های حیاتی دارد، اما از هوش مصنوعی به‌عنوان ابزار اصلی Red Teaming استفاده نمی‌کند و تأکید بیشتری بر همکاری دولتی-خصوصی دارد تا الزامات اجباری.

اتحادیه اروپا از طریق دستورالعمل NIS2 (Network and Information Security) الزاماتی برای ممیزی زیرساخت‌های حیاتی دارد، اما این الزامات عمدتاً بر روی گزارش‌دهی حوادث و استانداردهای فنی تمرکز دارند، نه آزمون‌های فعال توسط هوش مصنوعی.

تفاوت کلیدی هند در «هوش مصنوعی به‌عنوان ابزار دفاعی بومی» است. هند از مدل‌های هوش مصنوعی ساخت‌داخل — از جمله مدل‌هایی که توسط IIT‌ها و DRDO (سازمان تحقیقات و توسعه دفاعی) توسعه داده شده‌اند — برای انجام این ممیزی‌ها استفاده می‌کند. این به معنای عدم اتکا به ابزارهای غربی یا چینی در یک فرآیند حساس امنیتی است.

مدل IIT در ممیزی امنیتی: IIT Madras و IIT Bombay برنامه‌های مشترکی با CERT-In دارند که دانشجویان دکترا در پروژه‌های ممیزی واقعی شرکت می‌کنند. این ترکیب دانشگاه-دولت-صنعت، مدل اجرایی منحصربه‌فردی ایجاد کرده که هم ظرفیت فنی را می‌سازد و هم هزینه‌ها را کاهش می‌دهد.

۶. چالش‌ها و انتقادات: آنچه هنوز حل نشده است

برنامه ممیزی هند با چند چالش جدی روبروست. اول، مسئله تعارض منافع: شرکت‌های TCS و Wipro که ممیزی‌ها را انجام می‌دهند، خود مشتریان بزرگ همان بانک‌ها و سازمان‌هایی هستند که ممیزی می‌شوند. آیا این استقلال واقعی ایجاد می‌کند؟

دوم، مشکل مقیاس‌پذیری: هند ۱۶۳۵ کیلومتر مرز با چین و ۳۳۲۳ کیلومتر مرز با پاکستان دارد و تهدیدات سایبری از هر دو جهت ادامه دارد. آیا ممیزی سالانه کافی است وقتی تاکتیک‌های حمله به‌صورت مداوم تکامل می‌یابند؟

سوم، چالش حریم خصوصی: ممیزی‌های فعال به دسترسی عمیق به سیستم‌ها نیاز دارند. در غیاب یک قانون جامع حفاظت از داده (Personal Data Protection Bill هند هنوز در مراحل نهایی تصویب است)، نگرانی‌هایی درباره چگونگی استفاده از داده‌های جمع‌آوری‌شده در طول ممیزی وجود دارد.

منابع: وزارت الکترونیک و فناوری اطلاعات هند (MeitY)، گزارش IndiaAI Mission Q3 2025؛ CERT-In Annual Report 2024-25؛ National Cyber Security Policy (Revised Draft) 2025؛ Observer Research Foundation, «India's AI Security Architecture», فوریه ۲۰۲۶.

مقایسه رویکردهای ممیزی امنیتی: هند، آمریکا و اروپا

رویکرد هند در ممیزی امنیتی سیستم‌های حیاتی از دو جهت با همتایان خود متمایز است. آمریکا از طریق CISA یک چارچوب داوطلبانه برای ممیزی دارد، اما اجباری نیست و تأکید بیشتری بر همکاری دولتی-خصوصی دارد. اتحادیه اروپا از طریق دستورالعمل NIS2 الزاماتی برای ممیزی دارد، اما عمدتاً بر روی گزارش‌دهی حوادث و استانداردهای فنی تمرکز دارد، نه آزمون‌های فعال توسط هوش مصنوعی. تفاوت کلیدی هند استفاده از هوش مصنوعی به‌عنوان ابزار دفاعی بومی ساخت‌داخل است که توسط IITها و DRDO توسعه داده شده‌اند.

جنبههندآمریکا (CISA)اروپا (NIS2)
نوع الزاماجباری (Digital India 3.0)داوطلبانهاجباری (NIS2)
ابزار اصلیعوامل هوش مصنوعیمشاورین خارجیاستانداردهای فنی
منشأ ابزاربومی (IITها، DRDO)شرکت‌های تجاریتامین‌کنندگان مختلف
تأکید اصلیآزمون فعال و پیدا کردن آسیب‌پذیریهمکاری دولتی-خصوصیگزارش‌دهی و پیش‌نویس اطلاعات
استقلالتأکید بر عدم وابستگی به فناوری غربیوابستگی به شرکت‌های آمریکاییتنوع در منابع
زمان‌بندی ممیزیسالانه + هر شش ماه ارزیابی سریعمتغیربراساس NIS2 تعیین‌شده

این تفاوت‌ها نشان می‌دهند که هند یک مسیر خاص برگزیده‌ای را دنبال می‌کند که به استقلال دیجیتال کشور و حفاظت از سیادت فناوری تأکید دارد. برای کشورهایی مانند برزیل، اندونزی و آفریقای جنوبی، این مدل الگویی جالب برای توسعه ظرفیت‌های امنیتی بومی ایجاد می‌کند.

نتیجه‌گیری: مدلی برای جهان در حال توسعه

رویکرد هند در ممیزی امنیتی هوش مصنوعی از چند جهت قابل‌توجه است. این رویکرد نشان می‌دهد که کشورهای در حال توسعه لازم نیست صرفاً «مصرف‌کننده» سیاست‌های امنیتی طراحی‌شده توسط آمریکا یا اروپا باشند — بلکه می‌توانند مدل‌های بومی‌شده متناسب با تهدیدات، منابع و اولویت‌های خود طراحی کنند.

موفقیت‌های اولیه — مانند کشف آسیب‌پذیری UPI — اثربخشی عملی این رویکرد را نشان داده است. اما پایداری این برنامه به حل سه چالش اصلی بستگی دارد: استقلال واقعی ممیزان، تداوم به‌روزرسانی روش‌ها، و شفافیت عمومی کافی برای ایجاد اعتماد بدون افشای اطلاعات حساس. اگر هند بتواند این توازن را برقرار کند، می‌تواند الگویی باشد که کشورهایی مانند برزیل، اندونزی، و آفریقای جنوبی از آن بیاموزند.

پرسش‌های پرتکرار

هند چرا سیستم‌های حیاتی را با هوش مصنوعی آزمون می‌کند؟

هند برای حفاظت از استقلال دیجیتال و کاهش وابستگی به فناوری‌های آمریکایی و چینی این کار را انجام می‌دهد. Digital India 3.0 این ممیزی‌ها را برای زیرساخت‌های حیاتی مثل برق، بانکداری و مخابرات لازم‌الاجرا کرده است.

روش ممیزی امنیتی هند چیست؟

روش سه‌لایه‌ای است: ابتدا اسکن پسیو ترافیک شبکه برای شناسایی الگوهای ناهنجار، سپس Red Teaming فعال در محیط‌های شبیه‌سازی‌شده (Digital Twin)، و نهایتاً تحلیل زنجیره تأمین برای شناسایی قطعات با درهای پشتی.

تفاوت رویکرد هند و آمریکا در ممیزی امنیتی چیست؟

آمریکا از طریق CISA یک چارچوب داوطلبانه دارد، اما هند آن را اجباری کرده است. هند از هوش مصنوعی بومی ساخت‌داخل استفاده می‌کند، اما آمریکا بیشتر بر همکاری دولتی-خصوصی تأکید دارد.

هوش مصنوعی چه آسیب‌پذیری‌های مهمی را در هند شناسایی کرد؟

عوامل هوش مصنوعی آسیب‌پذیری‌های منطق تجاری در سیستم UPI، مشکلات در APIهای بانکی، و تجهیزات با رفتار غیرعادی در شبکه BSNL را کشف کردند. برخی از این آسیب‌پذیری‌ها سال‌ها از دید متخصصان انسانی پنهان مانده بودند.

Digital India 3.0 کدام سازمان‌ها و سیستم‌ها را شامل می‌شود؟

برنامه سیستم‌های انرژی (Grid India، تأسیسات هسته‌ای NPCIL)، سیستم‌های مالی (RBI و بانک‌های دولتی)، و مخابرات (BSNL، شبکه ISRO) را شامل می‌شود. UPI که روزانه ۵۰۰ میلیون تراکنش پردازش می‌کند، در اولویت قرار دارد.