- Delve platform के बारे में खुलासा हुआ है कि वह वास्तविक security controls के बिना ‘ऐसा सिस्टम जो compliance पूरा हुआ दिखाता है’ के रूप में चल रहा है
- आंतरिक जांच और लीक हुई spreadsheet के विश्लेषण से पता चला कि audit reports, tests, और conclusions Delve द्वारा अपने-आप जनरेट किए गए, और भारत-आधारित certification bodies ने उन पर औपचारिक रूप से हस्ताक्षर किए
- ग्राहक कंपनियों ने नकली evidence, फर्जी meeting minutes, और अपने-आप भरे गए policy documents अपनाकर ऐसा दिखाया कि उन्होंने SOC 2, ISO 27001, HIPAA, और GDPR certification प्राप्त कर लिया है
- Delve AI-आधारित automation का दावा करता है, लेकिन वास्तव में यह manual input और screenshot upload पर केंद्रित form system है, और ज़्यादातर ‘integration’ features काम ही नहीं करते
- इसके कारण सैकड़ों कंपनियां झूठी security स्थिति को बाहरी दुनिया के सामने सार्वजनिक कर रही हैं, और HIPAA, GDPR उल्लंघन तथा कानूनी जिम्मेदारी के जोखिम में हैं
Delve की संरचनात्मक समस्याएं और प्रमुख खुलासे
- Delve को SOC 2, ISO 27001, HIPAA, GDPR आदि के लिए compliance automation platform के रूप में प्रचारित किया गया, लेकिन वास्तव में उसने audit independence के सिद्धांत का उल्लंघन करते हुए खुद ही audit conclusions लिखे
- audit report drafts में पहले से ही Delve द्वारा लिखे गए conclusions और test procedures शामिल थे, और ग्राहकों को सिर्फ नाम, हस्ताक्षर, और diagrams भरने होते थे
- सभी reports में एक जैसी sentence structure और टाइपो मिले, और 575 में से 99% से अधिक में वही text शामिल था
- लीक हुई Google spreadsheet में सैकड़ों ग्राहकों की audit report links शामिल थीं, और व्यक्तिगत signatures, system diagrams जैसी संवेदनशील जानकारी उजागर हुई
- Delve के CEO ने इसे “AI द्वारा जनरेट किए गए नकली email” बताया, लेकिन असली documents सार्वजनिक archive में मिले
audit independence का उल्लंघन और फर्जी audit ढांचा
- Delve ने auditor की भूमिका सीधे निभाई, जिससे AICPA नियमों का उल्लंघन हुआ
- audit conclusions पहले से लिखे होने के कारण स्वतंत्र सत्यापन संभव ही नहीं था
- भारत-आधारित certification bodies Accorp, Gradient, BQC, Glocert ने अमेरिकी corporate shell entities के माध्यम से reports पर हस्ताक्षर किए
- कुछ reports में गलत auditor license numbers शामिल थे, जिससे एक ही template की कॉपी होने के संकेत मिले
- audit in-charge के रूप में दिखाईं गई Jayshree Dutta अमेरिकी CPA नहीं हैं, और उन्हें भारतीय कंपनियों CyberTryZub तथा BQC से जुड़ा पाया गया
product और process की फर्जी प्रकृति
- Delve का ‘AI automation’ वास्तव में लगभग बिना AI वाला manual form-based system है
- अधिकांश ‘integrations’ में authentication process के बिना सिर्फ screenshots upload करने की मांग की जाती है
- policies, risk assessments, security simulations आदि default values से भरे templates हैं, जिन्हें सिर्फ क्लिक करके पूरा किया जा सकता है
- Pathways module के बारे में Delve ने दावा किया कि उसे उसने खुद विकसित किया, लेकिन पाया गया कि यह open source SimStudio का अनधिकृत उपयोग था
- ग्राहकों को नकली meeting minutes, security test results, और policy documents अपनाने पड़ते हैं; इनकार करने पर उन्हें अधिकांश काम manually करना पड़ता है
फर्जी reports और trust page में हेरफेर
- Delve का Trust Page उन security controls को भी ‘complete’ दिखाता है जो वास्तव में लागू ही नहीं किए गए
- 322 SOC 2 ग्राहकों में से 321 ने एक जैसे 51 control items इस्तेमाल किए
- MDM, intrusion detection, backups, data deletion जैसी मौजूद ही न होने वाली security measures अपने-आप दिखा दी जाती हैं
- SOC 2 Type II reports में लिखा होता है कि “security, availability, confidentiality, privacy” सहित सभी मानदंड पूरे हुए, लेकिन वास्तविक testing में सिर्फ एक security item की जांच की गई
- सभी reports एक ही वाक्य “No exceptions noted” के साथ समाप्त होती हैं
regulatory और कानूनी जोखिम
- Delve की फर्जी प्रक्रिया के कारण ग्राहक कंपनियां GDPR और HIPAA उल्लंघन की स्थिति में पहुंच सकती हैं
- HIPAA उल्लंघन पर आपराधिक सजा हो सकती है, और GDPR उल्लंघन पर वैश्विक revenue का अधिकतम 4% तक जुर्माना लग सकता है
- इसमें medical और defense-related data संभालने वाली कंपनियां भी शामिल हैं, जिससे राष्ट्रीय सुरक्षा स्तर का जोखिम पैदा होता है
- Delve के ग्राहकों ने अनजाने में फर्जी certification reports बाहरी पक्षों को जमा कीं, और वे contract तथा reputation से जुड़ी जिम्मेदारियों का सामना कर सकते हैं
निष्कर्ष और सिफारिशें
- Delve ‘नकली compliance automation’ को औद्योगिक स्तर पर चलाने का उदाहरण है, जो ग्राहकों को कानूनी जोखिम में डालता है
- मौजूदा ग्राहकों को Delve के साथ हुई हर बातचीत का लिखित रिकॉर्ड रखना चाहिए, और audit generation, auditor independence, तथा data leak की सीमा पर स्पष्ट सवाल पूछने चाहिए
- Delve जिस “AI-based trust process” का दावा करता है, वह सिर्फ औपचारिक document generation system है, जिसमें वास्तविक security verification capability नहीं है
- यह घटना compliance automation बाजार में भरोसे के टूटने को दिखाती है, और independent audit तथा वास्तविक security controls के महत्व को फिर सामने लाती है
अभी कोई टिप्पणी नहीं है.