दिल्ली में एटीसी सिस्टम खराबी : एक बड़े संकट का चेहरा और आगे की राह

कुछ मीडिया स्रोतों ने संभावना जताई है कि GPS स्पूफिंग जैसी साइबर-चौकसी वाली घटनाओं ने पीछे काम किया हो सकता हैं, हालांकि आधिकारिक तौर पर इस बात से इंकार किया गया है। भविष्य में इस प्रकार की समस्याओं से बचने के लिए राइजिंग भास्कर लाया है कुछ सुझाव…। प्रस्तुत है एक रिपोर्ट-

दिलीप कुमार पुरोहित. नई दिल्ली  

शुक्रवार 7 नवंबर 2025 की सुबह देश के सबसे व्यस्त हवाई अड्डे इंदिरा गांधी इंटरनेशनल एयरपोर्ट (IGIA), नई दिल्ली में अचानक तकनीकी विफलता ने तबाही की तरह असर किया। सुबह लगभग 05:45 बजे, एयर ट्रैफिक कंट्रोल (ATC) के प्रमुख संचार-नेटवर्क सिस्टम — Automatic Message Switching System (AMSS) — में खराबी आ गई।

इस एक प्रणाली की विफलता ने सिर्फ IGIA में ही नहीं बल्कि पूरे उत्तरी भारत के हवाई नेटवर्क पर प्रभाव छोड़ा। हजारों यात्री, विमान, पायलट, एयरलाइंस तथा एयरपोर्ट स्टाफ पूरी तरह से प्रभावित हुए। इस घटना ने हमारे हवाई परिचालन-सिस्टम की कमजोरी उजागर कर दी है और सामने खड़े कर दिया है कि भविष्य में ऐसी परिस्थिति की पुनरावृत्ति कैसे रोकी जा सकती है। इस घटना का विश्लेषण किया जा रहा है, साथ ही भविष्य के लिए ठोस सुझाव दिए गए हैं।

घटना का स्वरूप और प्रभाव

– AMSS वह ऑटोमेटेड सिस्टम है जो ATC के लिए फ्लाइट प्लान, मौसम-रूट-ऊँचाई-ईंधन-ट्रैफिक आदि जानकारियों को विभिन्न एजेंसियों, एयरलाइंस और कंट्रोल सेंटर के बीच स्वचालित रूप से प्रसारित करता है।
– जब यह सिस्टम ठप हो गया, तो कंट्रोल रूम में काम मैनुअल मोड पर जाना पड़ा: पायलटों और ATC अधिकारियों को लिखित (कागजी) रूप से हर विवरण देना/लेना पड़ा, प्रक्रिया सामान्य “कुछ सेकंड” में होती थी, लेकिन इस दौरान 45–60 मिनट तक का समय लग गया। 
– IGIA पर दैनिक 1 500 से अधिक उड़ानें संचालित होती हैं। इस नेटवर्क में 800 से अधिक घरेलू एवं अंतरराष्ट्रीय उड़ानें देर हुईं और करीब 20 उड़ानें रद्द हो गईं। यात्रियों के लिए टर्मिनल गेट्स पर रात तक कतारेंं लगी रहीं, सूचना के इंतजार में भूख-प्यास और तनाव बढ़ गया।
– साथ ही, अन्य हवाई अड्डों पर भी प्रभाव फैला क्योंकि IGIA देश के प्रमुख हब-एयरपोर्ट है। इससे पार्किंग-बे, टैक्सी-वे, रनवे रीसेर्स आदि पर भी असर हुआ। गलती की विफलता सिर्फ एक मशीन की नहीं बल्कि पूरे संचालन क्षमता की परीक्षा बन गई थी।

समस्या का मूल कारण और संकेत

– AAI ने पुष्टि की कि समस्या IP-आधारित AMSS सिस्टम में 6 नवंबर से तैनात थी, और शुक्रवार सुबह गंभीरता से उभरी।
– विभिन्न स्रोतों ने कहा है कि यह सिर्फ हार्डवेयर ट्रिप-ओवर नहीं था बल्कि स्वचालित मैसेजिंग नेटवर्क बंद होने से प्रक्रिया मैनुअल मोड में चली गई, जिससे सिस्टम क्षमता (throughput) ड्रॉप हुआ।
– नागरिक उड्डयन विशेषज्ञों के अनुसार, यह घटना इस बात का संकेत है कि हमारा हवाई परिचालन मॉडल बहुत हद तक एकल-सिस्टम पर निर्भर है। जब वह सिस्टम गड़बड़ हुआ, तो पूरा चेन फेल हुआ। अथवा कहें कि एक बिंदु का फेलियर पूरे नेटवर्क में बोझ बढ़ा गया।
– कुछ मीडिया स्रोतों ने संभावना जताई है कि GPS स्पूफिंग जैसी साइबर-चौकसी वाली घटनाओं ने पीछे काम किया हो सकते हैं, हालांकि आधिकारिक तौर पर इस बात से इंकार किया गया है।

क्यों यह आयोजन-विकृति खतरनाक थी

– सुरक्षित हवाई संचालन के लिए समय-प्रबंधित, प्रेसिजन्ट डेटा, वास्तविक समय में अपडेट और समन्वित क्रियावली अनिवार्य होती है। जब स्वचालन नहीं काम कर रहा हो, तो मानव-मैनुअल मोड में काम करना गति, त्रुटि-संभावना और परिचालन बोझ बढ़ा देता है।
– IGIA जैसी हाई-ट्रैफिक जगह में प्रति घंटे कई–सैकड़ रनवे और टैक्सी-वे मूवमेंट्स होते हैं। यदि संदेश स्विचिंग धीमी हो जाए, तो रनवे पर विमान पार्किंग, टैक्सी-वे जाम, लैंडिंग/टेकऑफ स्लिप-स्ट्रीम्स आदि सब प्रभावित होते हैं।
– यात्री अनुभव के लिए भी यह गंभीर है: सूचना-विलंब, गेट परिवर्तन, विमानों का देर से आना-जाना, आदि जैसी समस्याएं उत्पन्न होती हैं। यह न सिर्फ व्यावसायिक लागत बढ़ाता है बल्कि सुरक्षा-मानदंडों पर भी दबाव डालता है।
– इसलिए यह न सिर्फ “तकनीकी टूट” थी बल्कि पूरे परिचालन पर्यावरण में व्यवधान थी—जिसे दोष सिर्फ हार्डवेयर/सॉफ्टवेयर से नहीं, बल्कि समग्र संचालन-मॉडल से जोड़ा जाना चाहिए।

भविष्य में ऐसी स्थिति से बचने के लिए ठोस समाधान

यहां कुछ स्थायी मेकेनिज्म और सुझाव दिए जा रहे हैं जिन्हें अपनाकर भविष्य में इस तरह की समस्या को काफी हद तक रोका जा सकता है:

(a) सिस्टम Redundancy (प्रतिलिपि/द्वितीयक व्यवस्था)

• AMSS जैसे स्वचालित मैसेजिंग सिस्टम को एकल बिंदु-फेलियर से सुरक्षित रखने के लिए लोकेशन-डाइवर्सिफाइड बैक-अप सिस्टम लगाना आवश्यक है। उदाहरण के लिए, डेटा सेंटर A दिल्ली-क्षेत्र में हो, साथ ही डेटा सेंटर B अलग स्थान (भौगोलिक रूप से दूर) पर हो। यदि A फेल हो जाए तो B तुरंत सक्रिय हो सके।

• स्वचालित स्विच-ओवर (fail-over) मैकेनिज्म होना चाहिए, जिससे कंट्रोल-रूम को मैन्युअल हस्तक्षेप न्यूनतम करना पड़े।

• रेगुलर “ड्रिल/शटडाउन टेस्ट” हो: बैकअप सिस्टम को नियमित समय पर एक्टिवेट कर देखना कि वास्तविक समय में कैसे काम करेगा।

• हाई-प्रायोरिटी नेटवर्क लिंक (भारी ट्रैफिक वाले) के लिए डुप्लिकेट नेटवर्क मार्ग (redundant network paths) सुनिश्चित करना: एक लिंक फेल हो जाए तो ट्रैफिक दूसरे मार्ग से स्विच हो सके।

(b) मॉड्यूलराइजेशन एवं डीकंपोजीशन

• स्वचालित मैसेजिंग नेटवर्क को मोनॉलिथिक सिस्टम न बनाकर मॉड्यूलर अवयवों में विभाजित करना चाहिए। उदाहरण के लिए: फ्लाइट-प्लानिंग मैसेजिंग मॉड्यूल, मौसम-डेटा मॉड्यूल, ट्रैफिक-सेपरेशन डेटा मॉड्यूल आदि। यदि एक मॉड्यूल फेल हो जाए, तो अन्य काम कर सकें और प्रभावित मॉड्यूल को बंद करके रिपेयर किया जा सके।

• मैन्युअल मोड के लिए पूर्व-परिभाषित प्रोसेस तैयार रखे जाएं जो स्वचालन असमर्थ हो जाने पर तुरंत एक्टिवेट हो सकें। जैसे कि कंट्रोलर्स के लिए ‘मानक फॉर्म’ तैयार हों जिसमें पायलट/एयरलाइंस को दें-लेने के लिए लिखित फ्लाइट-प्लान और वेदर-रिपोर्ट तुरंत उपलब्ध हो। इससे प्रक्रिया धीमी जरूर होगी, लेकिन परिचालन बिल्कुल ठप नहीं होगा।

(c) ऑटोमैटेड + मैनुअल ‘हाइब्रिड’ मोड

• स्वचालित सिस्टम का उपयोग प्राथमिक रूप से किया जाए, लेकिन उसके सहयोगी मानवीय मोड को निरंतर चालू रखा जाए, ताकि जब स्वचालन फेल हो तब तुरंत स्विच हो सके।

• कंट्रोल-रूम और एयरलाइंस के बीच मानक मैनुअल इनपुट टेम्पलेट्स और प्रक्रिया-प्रोटोकोल हो जिसे समय-समय पर अभ्यास किया जाए।

• स्वचालित सिस्टम में “ग्रेडेड डिग्रेडेशन” की सुविधा होनी चाहिए: जब सिस्टम पर बोझ बढ़े या डेटा ट्रैफिक अचानक बढ़े, तो सिस्टम स्वतः धीमा-स्वचालित मोड में जा सके, और मैन्युअल मोड को एलर्ट दे सके।

(d) साइबर सुरक्षा एवं अनइंटेंडेड खतरे

• हालाँकि आधिकारिक पुष्टि नहीं है, लेकिन मीडिया ने GPS स्पूफिंग और अन्य साइबर खतरों की संभावना जताई है। इसलिए ATC नेटवर्क और AMSS जैसे प्रणालियों का डिज़ाइन साइबर-रेसिलिएंट होना चाहिए।

• सुनिश्चित करना होगा कि AMSS और संबंधित नेटवर्क पर सुरक्षित एन्क्रिप्शन, मल्टी-फैक्टर ऑथेंटिकेशन, ट्रैफिक मॉनिटरिंग और संदिग्ध एक्टिविटी-डिटेक्शन मौजूद हों।

• निरंतर पेन-टेस्टिंग और साइबर-रिया अभ्यास अर्थात् “रेड-टीमिंग” किया जाना चाहिए: यह देखा जाना चाहिए कि यदि कोई अज्ञात आक्रमण करे तो सिस्टम कितनी जल्दी रीकवर कर सकता है।

• ATC नेटवर्क को बाहरी इंटरनेट से पूरी तरह से अलग (air-gapped) करना संभव हो सके, या कम-से-कम अत्यधिक संवेदनशील प्रणालियों को बाहरी पहुँच से शारीरिक-तौर पर सुरक्षित बनाया जाना चाहिए।

(e) परिचालन प्रक्रिया-अपडेट एवं ट्रेनिंग

• कंट्रोलर्स, एयरलाइंस डिस्पैचर और एयरपोर्ट ऑपरेशन्स-स्टाफ को नियमित रूप से ऐसी स्थिति (स्वचालन फेल्योर) के लिए ट्रेनिंग देना चाहिए। मॉक-ड्रिल, सिमुलेशन जैसे “स्वचालन फेल” स्कीनारियो अभ्यास किए जाने चाहिए।

• एयरलाइंस तथा एयरपोर्ट को यात्रियों के लिए “इमरजेंसी कम्युनिकेशन प्लान” तैयार रखना चाहिए: जैसे कि सूचना-अपडेट, गेट बदले गए हों, कितनी देर विलंब है, आदि इस तरह का रियल-टाइम अपडेट यात्रियों तक तुरंत पहुँच सके। इससे यात्रियों का तनाव कम होगा और कतार-उलझन नियंत्रित होगी।

• एयरपोर्ट टर्मिनल्स में उच्च-ट्रैफिक पीरियड्स के लिए “क्राइसिस मैनेजमेंट टीम” होना चाहिए — जब सिस्टम डाउन हो जाता है तो तुरंत इसे सक्रिय किया जाए।

(f) परिचालन क्षमता-रिसायक्लिंग एवं पुनरुद्धार योजना

• यह सुनिश्चित करना होगा कि हवाई अड्डे पर जब स्वचालन मंद पड़ जाए, तब परिचालन बाधित न हो— अर्थात् पर्याप्त रनवे-टैक्सी-वे, पार्किंग-बे, कपलिंग-क्रू शिफ्ट विकल्प उपलब्ध हों। पिछली घटना में बताया गया है कि पार्किंग-बे न मिलने से विमान रनवे के पास रुके रहे।

• रनवे, टैक्सी-वे, पार्किंग बे आदि का ट्रैफिक फ्लो ऐसा डिजाइन किया जाए कि परिचालन बाधित होने पर लेट स्टार्ट स्कीम तुरंत लागू हो सकें। उदाहरण के लिए, यदि स्वचालन धीमा है तो “पहले आए-पहले उड़ान” नियम लागू, कुछ कम प्राथमिकता वाली उड़ानों को स्थगित करना या दूसरे एयरपोर्ट्स में डायवर्ट करना।

• डेटा बैकलॉग में यदि देर हो रही हो तो इसका “क्लियर-डाउन” प्लान पहले से तैयार हो। जैसे कि सिस्टम रिस्टोर होते ही बैकलॉग डेटा स्वचालित रूप से पंक्तिबद्ध (queued) तरीके से प्रसारित हो सके।

विशेष रूप से इंदिरा गांधी इंटरनेशनल एयरपोर्ट के लिए सुझाव

IGIA जैसे बड़े-हब एयरपोर्ट पर, जहाँ प्रति दिन हजारों उड़ानें होती हैं, उपरोक्त सामान्य समाधान के अतिरिक्त कुछ विशेष उपाय भी अपनाए जाने चाहिए:

• ड्यूल AMSS इंस्टेंसेस IGIA में होनी चाहिए: एक स्थानीय (on-site) और दूसरी दूर से (off-site) असिंक्रोनस रूप से सिंक्रोनाइज़्ड। इससे यदि एक साइट में समस्या आए तो तत्काल दूसरा सक्रिय हो सके।

• स्वचालित बैकलॉग मोनिटरिंग एवं अलर्टिंग: जैसे ही मैसेजिंग ट्रैफिक अनसुने स्तर से बढ़े या जवाब-देरी बढ़े, सिस्टम तुरंत “स्विच-ओवर” का संकेत दे सके।

• पैसेंजर इंफॉर्मेशन सिस्टम (PIS) को स्वचालन बाधा-स्थिति को ध्यान में रखकर तैयार करना होगा: गेट बदलाव, विलंब सूचना, वैकल्पिक उड़ान विकल्प आदि यात्रियों को तुरंत मोबाइल/एप/इंफो-डिस्प्ले पर दिखाये जाने चाहिए।

• एयरलाइंस और एयरपोर्ट के बीच क्राइसिस-कॉमन कम्युनिकेशन प्रोटोकॉल होना चाहिए। कारण — जब ATC मैसेजिंग डाउन हो जाए, एयरलाइंस को काउंटर मेनुअल वर्क-फ्लो में आने के लिए पूर्व तैयार होना चाहिए।

• प्रतिक्रिया-विश्लेषण (Post-Incident Review): इस घटना के तुरंत बाद IGIA तथा ऑपरेशंस टीम को एक विस्तृत समीक्षा करनी चाहिए, संतोष-जनक “कार्रवाई सुधार रिपोर्ट” तैयार करनी चाहिए और इसे सार्वजनिक रूप से उपलब्ध कराया जाना चाहिए ताकि भविष्य में भरोसा बना रहे।

साइबर-आक्रमण की आशंका और उससे निपटने का दृष्टिकोण

भले ही एयर्सपोर्ट्स अथॉरिटी ऑफ इंडिया (AAI) ने साइबर-आक्रमण की आशंका से इनकार किया हो, लेकिन मीडिया तथा विश्लेषकों ने GPS स्पूफिंग, मैसेजिंग नेटवर्क में हानी पहुँचने जैसी घटनाओं की संभावना जताई है। इस तरह की आशंका को हल्के में नहीं लिया जा सकता क्योंकि आज के समय में हवाई संचालन लगभग पूरी तरह से सूचना-प्रौद्योगिकी पर आश्रित है। सो, ये साइबर-सुरक्षा से जुड़े विशेष सुझाव अपनाने जरूरी है :

• ATC नेटवर्क, AMSS तथा अन्य अप्रेशनल सिस्टम को नियमित रूप से साइबर-मापदंडों (cyber-hygiene) के अनुरूप अपडेट करना होगा। इसमें ओएस/फर्मवेयर अपडेट, सिक्योरिटी-पैच, नेटवर्क-सेगमेंटेशन शामिल है।

• जटिल नेटवर्क ट्रैफिक मॉनिटरिंग सिस्टम होना चाहिए जो असाधारण पैटर्न (जैसे अचानक मैसेजिंग ट्रैफिक में बढ़ोतरी, अज्ञात स्रोत से बड़ा डेटा ट्रांसमिशन) को ‘अलर्ट’ कर सके।

• ATC/एयरलाइंस के बीच सिक्योर कम्युनिकेशन चैनल (एन्क्रिप्टेड एवं प्रमाणित) होनी चाहिए। मैन्युअल मोड में जाने पर भी यह सुनिश्चित करना होगा कि कम्युनिकेशन सुरक्षित हो।

• संवेदनशील प्रणालियों को इंटरनेट-ग्रिड से अलग रखा जाना चाहिए या कम-से-कम मल्टी-लेयर नेटवर्क-डिफेंस स्ट्रक्चर होनी चाहिए (फायरवॉल, IDS/IPS, विंडोिंग, लॉगिंग आदि)।

• नियमित साइबर-ड्रिल्स (penetration testing, red-team exercises) एवं इंसिडेंट-रिस्पॉन्स प्लान तैयार होना चाहिए जहाँ साइबर हमला-स्थितियों में प्रक्रिया तुरंत शुरू हो सके।

• सुरक्षा-जागरूकता (security awareness) ट्रेनिंग सभी परिचालन-स्टाफ, कंट्रोलर्स, एयरलाइंस डिस्पैचर्स के बीच होनी चाहिए ताकि “साइबर-लिंकेड गलती” (जैसे फिशिंग, अनधिकृत एक्सेस) न हो सके।

यह घटना एक चेतावनी

भारत के हवाई परिवहन-तंत्र के लिए यह घटना एक चेतावनी है—कि स्वचालन जितना महत्वपूर्ण है, उतना ही उसकी विश्वसनीय बैक-अप एवं परिचालन-लचीलापन भी ज़रूरी है। IGIA की इस AMSS विफलता ने दिखा दिया कि एक स्वचालित प्रणाली की असमय रुकावट से परिचालन पूरी तरह से प्रभावित हो सकता है।

भविष्य में केवल “सीधे समाधान” नहीं बल्कि उपेक्षित परिचालन खतरों, सिस्टम निर्भरताओं, साइबर-खतरा एवं मानवीय-मशीन संयोजन (human-machine interface) को ख़ास ध्यान देना होगा। इस तरह का मेकॅनिज्म अपनाना न केवल परिचालन स्थिरता सुनिश्चित करेगा, बल्कि यात्रियों, एयरलाइंस और एयरपोर्ट-ऑपरेशन्स को भरोसा भी देगा कि “मैं सुरक्षित रूप से वहां पहुँचूंगा, चाहे स्वचालन सिस्टम कुछ भी हो जाए।”

आखिरकार, जब तकनीक (technology) ऊपर होगी, तो उसके नीचे जो मानव-प्रक्रिया (human process) है, उसे भी मजबूत बनाना होगा। IGIA जैसी प्रतिष्ठित हवाई कड़ी में यह सब-तैयारी आज नहीं हुई होती — तो कल कहाँ खामियों से जूझ रहे होंगे। इसीलिए देरी नहीं, बल्कि आज ही ठोस कार्यवाही जरूरी है।

Author: Dilip Purohit

Group Editor