एक निंदनीय संघीय लेखा परीक्षा ने अमेरिका की विमानन बुनियादी संरचना के केंद्र में गंभीर साइबरसुरक्षा कमजोरियों का खुलासा किया है, जिससे पता चलता है कि Federal Aviation Administration ने अपनी दर्जनों सबसे सुरक्षा-संवेदनशील प्रणालियों को खतरनाक रूप से कम-सुरक्षित छोड़ा है, और इससे राष्ट्र के आसमानों पर एक विनाशकारी साइबरहमले की संभावना बढ़ जाती है।

Department of Transportation के Office of the Inspector General (OIG) ने ये निष्कर्ष इस महीने की शुरुआत में प्रकाशित किए, जो अक्टूबर 2024 और जनवरी 2026 के बीच की समीक्षा के बाद आए। लेखा परीक्षा ने National Airspace System (NAS) के भीतर FAA की 45 उच्च-प्रभाव वाली सूचना प्रौद्योगिकी प्रणालियों का आकलन किया, जो अमेरिकी नागरिक विमानन की रीढ़ है और जिनमें एयर ट्रैफिक कंट्रोल टावर्स, नेविगेशन, संचार और हवाई अड्डा आधारभूत संरचना शामिल हैं। ये वे प्रणालियाँ हैं जिन्हें National Institute of Standards and Technology (NIST) ने समझा है कि यदि समझौता हो जाए तो गंभीर या तबाह कर देने वाला जोखिम पैदा कर सकती हैं।

जो निगरानी निकाय ने पाया वह चिंताजनक था।

{{AD}}

OIG रिपोर्ट में कहा गया कि FAA की 45 प्रणालियों में से 15 अभी भी आउटडेटेड NIST मानकों के अनुरूप हैं, और FAA ने 16,245 आवश्यक सुरक्षा नियंत्रणों में से 1,836 को पूरी तरह लागू नहीं किया है, जो कुल का 11.3 प्रतिशत है। ये आवश्यक नियंत्रण पेनिट्रेशन टेस्टिंग, सप्लाई चेन सुरक्षा, और एक्सेस मैनेजमेंट जैसी चीज़ों को शामिल करते हैं — वे वही तंत्र हैं जिनका उद्देश्य दुश्मन तत्वों को बाहर रखना है।

OIG ने पाया कि ऑटोमेशन, संचार, नेविगेशन और मौसम क्षमताओं का समर्थन करने वाली सभी प्रणालियों में ऐसी कमजोरियाँ थीं जिन्हें विभाग-व्यापी प्रणाली में रिपोर्ट, ट्रैक और कम नहीं किया गया था, जबकि 17 में से 14 निगरानी प्रणालियों में भी यही समस्या थी। 

स्थिति और बिगड़ाते हुए, FAA पूरी तरह से सरकार की आधिकारिक साइबरसुरक्षा ट्रैकिंग अवसंरचना को बाईपास कर रहा है। विभाग की प्राथमिक साइबरसुरक्षा आकलन और प्रबंधन प्रणाली का उपयोग करने के बजाय, FAA एक आंतरिक ट्रैकिंग टूल का उपयोग कर कमजोरियों को दस्तावेज़ित और प्रबंधित कर रहा है, और संघीय प्रणाली में डेटा मैन्युअल रूप से हस्तांतरित कर रहा है, जिससे रिपोर्टिंग में देरी हो रही है। OIG इस बात के बारे में स्पष्ट था: 

“FAA बाकी DOT के प्रति पारदर्शिता प्रदान नहीं कर रहा है। पारदर्शिता की कमी से यह जोखिम बढ़ जाता है कि FAA और विभाग सामान्य खतरों और कमजोरियों की पहचान न कर सकें या व्यापक IT कमजोरी ट्रैकिंग और रिपोर्टिंग प्रदान न कर पाएं।” 

लेखा परीक्षा ने यह भी पाया कि FAA का अपना दस्तावेज़ीकरण भरोसेमंद नहीं है। ऑडिटरों का कहना था कि कुछ नियंत्रणों को लागू के रूप में चिन्हित कर दिया गया था भले ही वे आवश्यकताओं को पूरा न करते हों, जिससे अधिकारियों के पास यह जानकारी भरोसेमंद रूप से नहीं थी कि सुरक्षा उपाय वास्तव में कैसे काम कर रहे हैं। 

दांव जितना ऊँचा हो सकता था, शायद उससे भी ऊँचा है। जनवरी 2023 में, Notice to Air Missions (NOTAM) सिस्टम में एक भ्रष्ट डेटाबेस फ़ाइल ने 11 सितंबर 2001 के बाद पहला राष्ट्रीय-स्तरीय ग्राउंड स्टॉप ट्रिगर किया, जिससे लगभग 10,000 उड़ानों में देरी हुई। यद्यपि वह आउटेज एक ठेकेदार की त्रुटि के कारण हुआ था न कि किसी साइबरहमले की वजह से, लेखा परीक्षा स्पष्ट करती है कि दस्तावेजीकृत कमियों का जानबूझकर शोषण समान या उससे बड़े परिणाम पैदा कर सकता है। 

{{REC}}

यह पहला मौका नहीं है जब OIG ने यह चेतावनी दी हो। 2021 की एक OIG लेखा परीक्षा ने पहली बार पाया था कि NAS को हाई-इंपैक्ट सिस्टम पुनःनिर्धारित करने के बाद FAA NIST सुरक्षा मानकों को पूरा करने में विफल था। 2024 में हुई एक अलग Government Accountability Office जांच में FAA के 138 एयर ट्रैफिक कंट्रोल सिस्टमों में से 105 को “अव्यवहार्य” पाया गया। पैटर्न स्पष्ट है, और प्रतिक्रिया लगातार अपर्याप्त रही है।

The FAA said that the governance gaps stem from funding limitations, technical constraints and operational complexities, noting that many of its existing systems would require significant technical modifications or entirely new procurements, leading to cost overruns and timeline delays. For critics, that explanation rings hollow given the scale of the risk involved.

Without fixes, the OIG warned that "FAA cannot ensure required safeguards are in place to protect the systems from being compromised, which may cause a severe impact on the NAS and the flying public." 

The FAA, for its part, accepted responsibility. "Based on our review of the draft report, we concur with the four recommendations as written and plan to implement them fully by December 31, 2026," the FAA said in response to the audit. 

Congress has been active on the issue. Through the FAA Reauthorization Act of 2024, signed into law in May 2024, Congress granted the FAA exclusive rulemaking authority over aviation cybersecurity and directed the agency to establish cyber threat management processes for the NAS. The FAA has since issued a cybersecurity market survey in March 2026 to identify vendors that could help modernize the NAS's security, as part of its broader commitment to deliver a new air traffic control system by the end of 2028. 

{{AD}}

एजेंसी की कुछ अधिक दूरदर्शी प्रतिज्ञाओं में, FAA अपने NAS, ATC और IT सिस्टम्स की अवसंरचना को पोस्ट-क्वांटम क्रिप्टोग्राफी में स्थानांतरित करने की योजना भी बना रहा है, यह एक ऐसी अवधारणा है जिसका केंद्र भविष्य के क्वांटम कंप्यूटर्स से होने वाले हमलों को नए एन्क्रिप्शन तरीकों को अपनाकर कम करना है। एजेंसी ने अपनी मार्केट मांग में इस कदम को स्पष्ट शब्दों में प्रस्तुत किया:

“क्वांटम-प्रतिरोधी, क्रिप्टो-एजाइल सुरक्षा के बिना, NAS आने वाले दशकों में आवश्यक विश्वसनीयता, प्रदर्शन या अंतरराष्ट्रीय नेतृत्व हासिल नहीं कर सकता।”

क्या ये महत्वाकांक्षाएँ उस समय से पहले साकार की जा सकती हैं जब कोई हमलावर OIG द्वारा पहले से दस्तावेजीकृत कमियों का शोषण कर ले, यह मुख्य प्रश्न बना हुआ है और अमेरिकन आकाश में रोज़ उड़ने वाले लाखों यात्रियों के लिए यह एक असहज रूप से अनुत्तरित प्रश्न है।