[সাইবারসিকিউরিটি]কে রাস্তা এবং গাড়ির নিরাপত্তা এবং নিরাপত্তা হিসেবে আরও বেশি মনে করুন। গত 30 বছরে গাড়িটি সত্যিই পরিবর্তিত হয়নি, তবে প্রচুর সুরক্ষা তৈরি করা হয়েছে এবং এটি আপনার জীবন বাঁচানোর মুহুর্ত পর্যন্ত এটি সেক্সি নয়। আপনার কাছে লুকানো বিট রয়েছে - এয়ারব্যাগ - এবং সেখানে বিটগুলি আপনাকে সিটবেল্টের মতো নিরাপদ থাকার কথা মনে করিয়ে দেওয়ার জন্য... এর মধ্যে কিছু ভাল আচরণ এবং ভাল মনোভাব সম্পর্কে, কিছু কিছু শারীরিক সুরক্ষা সম্পর্কে আপনাকে মনে করিয়ে দেওয়ার জন্য একটি ঝুঁকি রয়েছে, এবং এর কিছু অংশ আপনাকে বাঁচাতে বেক করা হয়েছে।
– সিয়ান জন, সিম্যানটেকের সিনিয়র সাইবার সিকিউরিটি স্ট্র্যাটেজিস্ট
আমরা এটা স্বীকার করব। সাইবার নিরাপত্তা সেক্সি নয়। যাইহোক, আজকের ডিজিটাল যুগে, সাইবার নিরাপত্তা বড় কর্পোরেশন এবং ছোট স্টার্টআপগুলির জন্য ক্রমশই গুরুত্বপূর্ণ হয়ে উঠেছে। আজ, বাজি আগের চেয়ে বেশি, কারণ "প্রতিটি কোম্পানি একটি প্রযুক্তি কোম্পানিতে পরিণত হয়েছে।" প্রযুক্তি একটি কোম্পানির ক্রিয়াকলাপের পরিপূরক হয়ে উঠেছে, এবং অনেক ক্ষেত্রে, তাদের নেটওয়ার্কে থাকা সম্পদগুলি হয় তাদের মূল অপারেশন। মোবাইলের ব্যবহার ও ইন্টারনেটের বৃদ্ধি, সেইসাথে সাইবার অপরাধীদের ক্রমবর্ধমান ইকোসিস্টেমের কারণে হ্যাকগুলি সাধারণ ব্যাপার হয়ে উঠছে।
এই নিবন্ধটি সাইবার অপরাধীদের ধরন, সাইবার অপরাধের কৌশল এবং অবদানকারী কারণগুলির রূপরেখা দেয়৷ টুকরোটিতে এমন বাস্তব সমাধানও রয়েছে যা কোম্পানিগুলি নিজেদের রক্ষা করতে ব্যবহার করতে পারে। সমাধানগুলির মধ্যে প্রযুক্তিগত সুরক্ষা এবং মানব উপাদান উভয়ই অন্তর্ভুক্ত। উদাহরণস্বরূপ, নেতৃত্বকে সাইবার নিরাপত্তাকে একটি কৌশলগত ব্যবসায়িক সমস্যা হিসেবে স্বীকৃতি দিতে হবে এবং শুধুমাত্র একটি "আইটি সমস্যা" নয়। এছাড়াও, কিছু সবচেয়ে কার্যকর সমাধান মোটামুটি মৌলিক, যেমন কর্মচারী শিক্ষা বা ব্যবহারকারীদের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ।
সহজ ভাষায় বললে, সাইবার ক্রাইম হল এমন একটি অপরাধ যার সাথে কোনো ধরনের কম্পিউটার বা সাইবার দিক রয়েছে। এটি বিভিন্ন ফর্ম্যাটে এবং বিভিন্ন অনুপ্রেরণাদায়ক কারণ সহ ব্যক্তি বা গোষ্ঠী থেকে আকার নিতে পারে। সাইবার হুমকি হল মৌলিকভাবে অসমমিতিক ঝুঁকি যাতে ছোট গোষ্ঠীর ব্যক্তিরা অসামঞ্জস্যপূর্ণভাবে বড় পরিমাণে ক্ষতির কারণ হতে পারে।
আর্থিকভাবে অনুপ্রাণিত সংগঠিত অপরাধ গোষ্ঠী: এই গোষ্ঠীগুলির বেশিরভাগই পূর্ব ইউরোপে অবস্থিত
জাতি-রাষ্ট্র অভিনেতা: সংবেদনশীল তথ্য চুরি করতে এবং শত্রুদের ক্ষমতাকে ব্যাহত করার জন্য প্রত্যক্ষ বা পরোক্ষভাবে তাদের সরকারের জন্য কাজ করা লোকেরা। তারা সাধারণত সবচেয়ে পরিশীলিত সাইবার আক্রমণকারী, 30% চীনে উদ্ভূত হয়।
একটিভিস্ট গ্রুপ, বা "হ্যাকটিভিস্ট": সচরাচর টাকা চুরি করতে বের হয় না। তারা তাদের ধর্ম, রাজনীতি বা কারণের প্রচার করতে বেরিয়েছে; খ্যাতি প্রভাবিত করতে বা ক্লায়েন্টদের প্রভাবিত করতে।
অভ্যন্তরীণ: এগুলি হল "মোহভঙ্গ, ব্ল্যাকমেল বা এমনকি অতিরিক্ত সহায়ক" কর্মচারী যারা একটি কোম্পানির মধ্যে থেকে কাজ করে। যাইহোক, তারা ইচ্ছাকৃতভাবে সাইবার অপরাধমূলক কার্যকলাপে জড়িত হতে পারে না; কেউ কেউ কেবল একটি পরিচিতি তালিকা বা নকশা নথি গ্রহণ করতে পারে যে এটি যে ক্ষতির কারণ হতে পারে তা উপলব্ধি না করেই৷
একজন সাইবার অপরাধীর গড় বয়স 35, এবং 80% অপরাধী হ্যাকার সংগঠিত অপরাধের সাথে যুক্ত। সংক্ষেপে, লোকেরা এটিকে পেশা হিসাবে বেছে নেয়।
সাইবার অপরাধীরা তাদের অপরাধ করার জন্য স্থির এবং গতিশীল উভয় পদ্ধতিই ব্যবহার করে। আসুন জেনে নেই।
একটি DDoS আক্রমণ একটি নেটওয়ার্কের পরিষেবা ব্যাহত করার চেষ্টা করে। আক্রমণকারীরা নেটওয়ার্কের মাধ্যমে প্রচুর পরিমাণে ডেটা বা ট্রাফিক পাঠায় যতক্ষণ না এটি ওভারলোড হয়ে যায় এবং কাজ করা বন্ধ করে দেয়। ভিকটিমকে প্লাবিত করে আগত ট্রাফিক বিভিন্ন উৎস থেকে উদ্ভূত হয়, সম্ভাব্য কয়েক হাজার। এটি একটি একক আইপি ঠিকানা ব্লক করে আক্রমণ বন্ধ করা অসম্ভব করে তোলে এবং বৈধ ট্রাফিককে আক্রমণের ট্র্যাফিক থেকে আলাদা করা কঠিন করে তোলে৷
প্রায়শই একটি বিশ্বস্ত তৃতীয় পক্ষের কাছ থেকে ডেটার জন্য অনুরোধ হিসাবে জাহির করে, ফিশিং আক্রমণগুলি ইমেলের মাধ্যমে পাঠানো হয় এবং ব্যবহারকারীদের একটি লিঙ্কে ক্লিক করতে এবং তাদের ব্যক্তিগত ডেটা প্রবেশ করতে বলে। এতে প্রায়শই মনস্তাত্ত্বিক কারসাজি, জরুরীতা বা ভয় দেখানো, গোপনীয় তথ্য হস্তান্তর করার জন্য সন্দেহভাজন ব্যক্তিদের বোকা বানানো জড়িত থাকে।
বিষয়ক দম্পতি আছে. প্রথমত, ফিশিং ইমেলগুলি পরিশীলিত হয়ে উঠেছে এবং প্রায়শই তথ্যের জন্য বৈধ অনুরোধের মতো দেখায়৷ দ্বিতীয়ত, ফিশিং প্রযুক্তি এখন সাইবার অপরাধীদের কাছে লাইসেন্স দেওয়া হচ্ছে, যার মধ্যে অন-ডিমান্ড ফিশিং পরিষেবা এবং অফ-দ্য-শেল্ফ ফিশিং কিট রয়েছে৷ সম্ভবত সবচেয়ে উদ্বেগের বিষয় হল যে ডার্ক ওয়েব পরিষেবাগুলি সাইবার অপরাধীদের তাদের প্রচারাভিযান এবং দক্ষতা পরিমার্জন করতে সক্ষম করেছে। প্রকৃতপক্ষে, ফিশিং ইমেলগুলি নিয়মিত ভোক্তা বিপণন ইমেলের তুলনায় ছয় গুণ বেশি ক্লিক করা হয়৷
ম্যালওয়্যার, "দূষিত সফ্টওয়্যার" এর জন্য সংক্ষিপ্ত একটি কম্পিউটার অ্যাক্সেস বা ক্ষতি করার জন্য ডিজাইন করা হয়েছে৷ ম্যালওয়্যার হল ট্রোজান, ভাইরাস এবং ওয়ার্ম সহ সাইবার হুমকির জন্য একটি ছাতা শব্দ। এটি প্রায়শই ইমেল সংযুক্তি, সফ্টওয়্যার ডাউনলোড বা অপারেটিং সিস্টেমের দুর্বলতার মাধ্যমে একটি সিস্টেমে চালু করা হয়৷
যদিও দূষিত অভ্যন্তরীণ ব্যক্তিরা যারা উইকিলিকসে তথ্য ফাঁস করেন তারা সমস্ত প্রেস এবং গৌরব অর্জন করেন, একটি আরও সাধারণ দৃশ্য হল যে একজন গড় কিন্তু সুবিধাবাদী কর্মচারী বা শেষ ব্যবহারকারী গোপনে গোপনীয় তথ্য নিয়ে যায় লাইনের নিচের কোথাও নগদ আউট করার আশায় (সময়ের 60%) . কখনও কখনও, কর্মীরা একটু বেশি কৌতূহলী হন এবং কিছু স্নুপিং করেন (17%)। ব্যক্তিগত তথ্য এবং মেডিকেল রেকর্ড (71%) আর্থিক অপরাধের জন্য লক্ষ্যবস্তু, যেমন পরিচয় চুরি বা ট্যাক্স-রিটার্ন জালিয়াতি, কিন্তু কখনও কখনও এটি কেবল গসিপের জন্য হয়৷
এই আক্রমণগুলির মধ্যে একটি সম্পদে শারীরিকভাবে ইমপ্লান্ট করা অন্তর্ভুক্ত যা একটি পেমেন্ট কার্ড থেকে চৌম্বকীয় স্ট্রাইপ ডেটা পড়ে (যেমন, এটিএম, গ্যাস পাম্প, পিওএস টার্মিনাল)। তুলনামূলকভাবে উচ্চ ফলনের সম্ভাবনা সহ এই ধরনের আক্রমণ চালানো তুলনামূলকভাবে দ্রুত এবং সহজ—এবং এটি একটি জনপ্রিয় অ্যাকশন টাইপ (8%)।
তিন বছর আগে, ওয়াল স্ট্রিট জার্নাল অনুমান করেছিল যে মার্কিন যুক্তরাষ্ট্রে সাইবার অপরাধের খরচ ছিল $100 বিলিয়ন। অন্যান্য প্রতিবেদনে অনুমান করা হয়েছে যে সংখ্যাটি এর চেয়ে দশগুণ বেশি। 2017 সালে, একটি ডেটা লঙ্ঘনের গড় খরচ $7.35 মিলিয়ন, 2014 সালে $5.85 এর তুলনায়। খরচের মধ্যে সনাক্তকরণ, নিয়ন্ত্রণ এবং পুনরুদ্ধার থেকে শুরু করে ব্যবসায় ব্যাঘাত, রাজস্ব ক্ষতি এবং সরঞ্জামের ক্ষতি সবই অন্তর্ভুক্ত। আর্থিক উদ্বেগের বাইরে, একটি সাইবার লঙ্ঘন একটি কোম্পানির খ্যাতি বা গ্রাহকের শুভেচ্ছার মতো অস্পষ্ট জিনিসগুলিকেও নষ্ট করতে পারে৷
মজার বিষয় হল, ব্যবসায়িক উদ্ভাবনের সর্বোচ্চ স্তরের কোম্পানিগুলিতে প্রায়ই ব্যয়বহুল আক্রমণ হয়। একটি "ব্যবসায়িক উদ্ভাবন" একটি নতুন ভৌগলিক বাজারে প্রবেশের জন্য একটি অধিগ্রহণ বা বিচ্যুতি থেকে যেকোনো কিছু হতে পারে। একটি কোম্পানির অধিগ্রহণ বা ডিভস্টিচার সাইবার ক্রাইমের খরচ 20% বৃদ্ধি করেছে যেখানে একটি উল্লেখযোগ্য নতুন অ্যাপ্লিকেশন চালু করার ফলে খরচ 18% বৃদ্ধি পেয়েছে৷
আর্থিক পরিষেবা সংস্থাগুলির জন্য, নিরাপত্তা লঙ্ঘনের পরে খরচগুলি ব্যবসায় ব্যাঘাত, তথ্যের ক্ষতি, রাজস্ব ক্ষতি এবং অন্যান্য খরচের জন্য দায়ী করা যেতে পারে।
দুর্ভাগ্যজনক সত্য হল যে, যদিও কোনো শিল্প অনাক্রম্য নয়, সাইবার নিরাপত্তার সমস্যাগুলি বিশেষভাবে আর্থিক পরিষেবাগুলির জন্য উচ্চারিত হয়। 2017 ভেরিজন ডেটা লঙ্ঘন তদন্ত প্রতিবেদন অনুসারে, 24% লঙ্ঘন আর্থিক সংস্থাগুলিকে (শীর্ষ শিল্প) প্রভাবিত করেছে, তারপরে স্বাস্থ্যসেবা এবং পাবলিক সেক্টর। তুলনার জন্য, 2012 সালে, প্রতিরক্ষা এবং ইউটিলিটি এবং শক্তি শিল্পের পরে শিল্পটি তৃতীয় স্থানে ছিল। ফ্রিকোয়েন্সির বাইরে, ফাইন্যান্স ফার্মগুলির খরচ সব শিল্পের মধ্যে সবচেয়ে বেশি, 2013 সালে গড়ে $16.5 মিলিয়ন হারায়৷
আর্থিক পরিষেবাগুলিতে, সবচেয়ে সাধারণ ধরনের সাইবার লঙ্ঘনের সাথে জড়িত DDoS আক্রমণ। এবং, সমস্ত DDoS আক্রমণের জন্য, আর্থিক শিল্প সবচেয়ে বেশি ক্ষতিগ্রস্ত হয়েছিল৷
৷
2012 সালে, ছয়টি বড় আমেরিকান ব্যাঙ্ক (ব্যাঙ্ক অফ আমেরিকা, জেপিমরগান চেজ, সিটিগ্রুপ, ইউএস ব্যাঙ্ক, ওয়েলস ফার্গো এবং পিএনসি) মধ্যপ্রাচ্যের সম্পর্ক দাবি করে এমন একটি গোষ্ঠীর কম্পিউটার আক্রমণের একটি তরঙ্গের লক্ষ্যবস্তু ছিল। এই হামলার কারণে ইন্টারনেট ব্ল্যাকআউট এবং অনলাইন ব্যাঙ্কিংয়ে বিলম্ব হয়, যার ফলে হতাশ গ্রাহকরা তাদের অ্যাকাউন্ট অ্যাক্সেস করতে বা অনলাইনে বিল পরিশোধ করতে পারেনি।
এগুলি ছিল DDoS আক্রমণ, যেখানে হ্যাকাররা ব্যাঙ্কের ওয়েবসাইটগুলিকে বন্ধ করে দেয়। হামলায় বটনেট, সংক্রামিত কম্পিউটারের নেটওয়ার্কও ব্যবহার করা হয়েছে যা অপরাধীদের বিডিং করে। কখনও কখনও, বটনেটগুলিকে "জম্বি কম্পিউটার" হিসাবে উল্লেখ করা হয় যা একটি "মাস্টার বটনেট" এর আদেশ মেনে চলে। দুর্ভাগ্যবশত, এগুলি কালোবাজারের মাধ্যমে ভাড়া দেওয়া যেতে পারে বা অপরাধী বা সরকার কর্তৃক ধার দেওয়া যেতে পারে৷
2014 সালের গ্রীষ্মে, একটি আমেরিকান ব্যাঙ্কের সবচেয়ে বড় নিরাপত্তা লঙ্ঘনে, প্রায় 83 মিলিয়ন অ্যাকাউন্টের নাম, ঠিকানা, ফোন নম্বর এবং ইমেল ঠিকানা হ্যাকারদের দ্বারা আপস করা হয়েছিল। হাস্যকরভাবে, JPMorgan প্রতি বছর কম্পিউটার নিরাপত্তার জন্য প্রায় $250 মিলিয়ন খরচ করে। 2014 লঙ্ঘন একটি পরিশীলিত প্রকল্পের ফলাফল ছিল না. আক্রমণটি একটি শূন্য দিনের আক্রমণ ব্যবহার করেনি, একটি অভিনব সফ্টওয়্যার বাগ যা কালোবাজারে লক্ষ লক্ষ বিক্রি করে৷ এটি ম্যালওয়্যার ব্যবহার করেনি যা উত্তর কোরিয়ার হ্যাকাররা তাদের সনির সাইবার আক্রমণে নিযুক্ত করেছিল। বরং, সমস্যার উৎস ছিল মৌলিক:ব্যাঙ্ক দ্বি-ফ্যাক্টর প্রমাণীকরণ নিয়োগ করেনি, যা ব্যবহারকারীরা ডেটা বা অ্যাপ্লিকেশন অ্যাক্সেস করতে সাইন ইন করার সময় নিরাপত্তার একটি অতিরিক্ত স্তর। JPMorgan এর নিরাপত্তা দল দ্বৈত পাসওয়ার্ড স্কিম সহ তার নেটওয়ার্ক সার্ভারগুলির একটিকে আপগ্রেড করতে অবহেলা করেছে—এটিই গ্রহণ করেছে৷
ফেব্রুয়ারী 2016-এ, সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাঙ্ক ফিনান্সিয়াল টেলিকমিউনিকেশন (SWIFT), 11,000 টিরও বেশি ব্যাঙ্কের একটি আন্তর্জাতিক কনসোর্টিয়াম যা ক্রস-বর্ডার ট্রান্সফারের সুবিধা দেয়, হ্যাক করা হয়েছিল৷ বাংলাদেশ ব্যাংক, সুইফট নেটওয়ার্কের একজন ব্যবহারকারী, $81 মিলিয়নের পরিমাণে হ্যাক হয়েছে। ফেডারেল রিজার্ভ ব্যাঙ্ক অফ নিউইয়র্ক 30টি অন্যান্য লেনদেনে ব্লক করার আগে শুধুমাত্র একটি ছোট অনুপাত পুনরুদ্ধার করা হয়েছিল যা অতিরিক্ত $850 মিলিয়ন স্থানান্তর করতে পারে।
এই আক্রমণগুলি দেখায় যে পেমেন্ট নেটওয়ার্কগুলি তাদের দুর্বলতম লিঙ্কের মতোই বিশ্বাসযোগ্য। ইন্ডাস্ট্রির অনেকেই এই হামলায় বিস্মিত হননি। জাস্টিন ক্লার্ক-সল্টের মতে, একটি সাইবার সিকিউরিটি কোম্পানি, গথাম ডিজিটাল সায়েন্সের সহ-প্রতিষ্ঠাতা, আক্রমণগুলি সিস্টেমের একটি দুর্বলতাকে কাজে লাগিয়েছে:প্রতিটি প্রতিষ্ঠান একইভাবে SWIFT-এ অ্যাক্সেস রক্ষা করে না। সর্বোপরি, “আক্রমণকারীরা প্রায়শই এমন লোকদের আক্রমণ করে যাদের আক্রমণ করা সহজ…এখন পর্যন্ত আমরা যা জানি প্রকাশ্যে রিপোর্ট করা হয়েছে, তারা অনেক ছোট আর্থিক প্রতিষ্ঠানকে লক্ষ্য করেছে। এটি সম্ভবত কারণ তাদের কম পরিশীলিত নিয়ন্ত্রণ রয়েছে।"
যদিও খবরে প্রায়ই সবচেয়ে বড় কর্পোরেশনের (টার্গেট, ইয়াহু, হোম ডিপো, সনি) উপর আক্রমণ করা হয়, ছোট কোম্পানিগুলি নয় ইমিউন 2016 স্টেট অফ SMB সাইবার সিকিউরিটি রিপোর্ট অনুসারে, গত 12 মাসে, হ্যাকাররা মার্কিন যুক্তরাষ্ট্রের সমস্ত ছোট ব্যবসার অর্ধেক লঙ্ঘন করেছে৷
একদিকে, কেউ কেউ যুক্তি দেন, ছোট কোম্পানিগুলি সাইবার আক্রমণ থেকে পুনরুদ্ধার করতে সক্ষম হবে না**। **সিম্যানটেক-এর সিনিয়র সাইবার সিকিউরিটি কৌশলবিদ সিয়ান জন-এর মতে, নিরাপত্তা সংক্রান্ত সমস্যায় আক্রান্ত কোম্পানিগুলি স্বাভাবিক অবস্থায় ফিরে আসার আগে, পরবর্তী বছরে কোম্পানিগুলির জন্য "বিশাল সুনাম এবং আর্থিক আঘাত" অনুভব করে। তিনি প্রশ্ন করেছিলেন, "আপনি যদি একটি ছোট কোম্পানি হন, আপনি কি সেই ডোবা থেকে বাঁচতে পারবেন?"
অন্যদিকে, অন্যরা যুক্তি দেখান, ছোট কোম্পানিগুলি একটি সুবিধার মধ্যে রয়েছে:“একটি বড় কোম্পানি একটি ছোট কোম্পানির চেয়ে বেশি ঝুঁকিপূর্ণ:তাদের কাছে বড় ডেটা পুল রয়েছে এবং শত শত লোকের অ্যাক্সেস থাকতে হবে...যদি আপনি এর ছোট প্রান্তে থাকেন স্কেল, ব্যবসায়িক প্রক্রিয়া সম্পর্কে স্মার্ট হওয়া এবং সেই ব্যবসায়িক প্রক্রিয়াগুলি কোথায় ব্যবহার করা যেতে পারে তা বোঝা একটি বৃহৎ সংস্থার চেয়ে সহজ," প্রাইসওয়াটারহাউসকুপারসের অংশীদার রিচার্ড হর্ন ঘোষণা করেছেন৷
সাইবার অপরাধীরা এখন তাদের আক্রমণের দক্ষতা বাড়ানোর জন্য কর্পোরেট সেরা অনুশীলনগুলি গ্রহণ করছে। কিছু সবচেয়ে উদ্যোক্তা অপরাধী কম পরিশীলিত অপরাধীদের কাছে হ্যাকিং টুল বিক্রি বা লাইসেন্স দিচ্ছে। উদাহরণস্বরূপ, পেশাদার অপরাধীরা খোলা বাজারে অপরাধীদের কাছে জিরো-ডে প্রযুক্তি বিক্রি করছে, যেখানে তারা দ্রুত পণ্যে পরিণত হয়। গ্যাংগুলি একটি পরিষেবা হিসাবে র্যানসমওয়্যারও অফার করে, যা কম্পিউটার ফাইলগুলিকে হিমায়িত করে যতক্ষণ না ভিকটিম আর্থিক চাহিদা পূরণ করে এবং তারপর লাইসেন্স প্রদানের জন্য কেটে নেয়।
সাইবার অপরাধীদের লিভারেজ করার জন্য এখন সম্পদের একটি সম্পূর্ণ ইকোসিস্টেম রয়েছে। “উন্নত অপরাধী আক্রমণকারী গোষ্ঠীগুলো এখন জাতি-রাষ্ট্র আক্রমণকারীদের দক্ষতার প্রতিধ্বনি করে। তাদের বিস্তৃত সম্পদ এবং একটি উচ্চ-দক্ষ কারিগরি কর্মী রয়েছে যারা এমন দক্ষতার সাথে কাজ করে যে তারা স্বাভাবিক ব্যবসায়িক সময় বজায় রাখে এবং এমনকি সপ্তাহান্তে এবং ছুটির ছুটিও নেয়... এমনকি আমরা নিম্ন-স্তরের অপরাধী আক্রমণকারীরা তাদের প্রভাব বাড়াতে কল সেন্টার অপারেশন তৈরি করতে দেখছি। স্ক্যাম," কেভিন হ্যালি বলেছেন, সিম্যানটেকের পরিচালক৷
৷যদি কোনো তৃতীয় পক্ষ হ্যাক হয়ে যায়, তাহলে আপনার কোম্পানি ব্যবসার তথ্য হারানোর বা কর্মচারীর তথ্যের সাথে আপস করার ঝুঁকিতে রয়েছে। উদাহরণস্বরূপ, 2013 টার্গেট ডেটা লঙ্ঘন যা 40 মিলিয়ন গ্রাহক অ্যাকাউন্টের সাথে আপোস করেছে তা তৃতীয় পক্ষের হিটিং এবং এয়ার কন্ডিশনার বিক্রেতার কাছ থেকে নেটওয়ার্ক শংসাপত্র চুরি হওয়ার ফলাফল। 2013 সালের একটি সমীক্ষায় ইঙ্গিত দেওয়া হয়েছে যে সেই বছরের ডেটা লঙ্ঘনের তদন্তের 63% একটি তৃতীয় পক্ষের উপাদানের সাথে যুক্ত ছিল৷
অনলাইন টার্গেটের ক্রমবর্ধমান সংখ্যার কারণে, হ্যাকিং আগের চেয়ে সহজ হয়ে উঠেছে। ভোক্তা ব্যাংকিংয়ে, মোবাইল ডিভাইস এবং অ্যাপের ব্যবহার বিস্ফোরিত হয়েছে। 2014 সালের বেইন অ্যান্ড কোম্পানির একটি সমীক্ষা অনুসারে, মোবাইল হল 22টি দেশের মধ্যে 13টিতে সর্বাধিক ব্যবহৃত ব্যাঙ্কিং চ্যানেল এবং বিশ্বব্যাপী সমস্ত মিথস্ক্রিয়াগুলির 30% অন্তর্ভুক্ত৷ এছাড়াও, গ্রাহকরা মোবাইল পেমেন্ট সিস্টেম গ্রহণ করেছেন। ফিনটেক স্টার্টআপগুলির সাথে প্রতিদ্বন্দ্বিতাকারী ব্যাঙ্কগুলির জন্য, গ্রাহকের সুবিধা গুরুত্বপূর্ণ থাকবে। তাদের আরও অসুবিধাজনক ব্যবহারকারীর অভিজ্ঞতা থেকে ক্ষতির সাথে সম্ভাব্য জালিয়াতির ক্ষতিগুলি ওজন করতে হতে পারে। কিছু প্রতিষ্ঠান এই অতিরিক্ত নিরাপত্তা ঝুঁকি মোকাবিলায় উন্নত প্রমাণীকরণ ব্যবহার করছে, গ্রাহকদের ভয়েস এবং ফেসিয়াল রিকগনিশনের মাধ্যমে তাদের অ্যাকাউন্ট অ্যাক্সেস করতে দেয়।
ইন্টারনেট অফ থিংস (IoT) এই ধারণার প্রতি নিবেদিত যে যন্ত্রপাতি, যানবাহন এবং বিল্ডিং সহ বিস্তৃত ডিভাইসগুলিকে আন্তঃসংযুক্ত করা যেতে পারে। উদাহরণস্বরূপ, যদি আপনার অ্যালার্ম সকাল 7:00 এ বেজে ওঠে, তাহলে এটি স্বয়ংক্রিয়ভাবে আপনার কফি প্রস্তুতকারককে আপনার জন্য কফি তৈরি শুরু করার জন্য অবহিত করতে পারে। IoT মেশিন-টু-মেশিন যোগাযোগের চারপাশে ঘোরে; এটি মোবাইল, ভার্চুয়াল এবং তাৎক্ষণিক সংযোগ প্রদান করে। বর্তমানে এক বিলিয়নেরও বেশি IoT ডিভাইস ব্যবহার করা হচ্ছে, যার সংখ্যা 2020 সালের মধ্যে 50 বিলিয়নের বেশি হবে বলে আশা করা হচ্ছে। সমস্যা হল অনেক সস্তা স্মার্ট ডিভাইসের প্রায়ই যথাযথ নিরাপত্তা পরিকাঠামোর অভাব থাকে। যখন প্রতিটি প্রযুক্তির উচ্চ ঝুঁকি থাকে, তখন একত্রিত হলে ঝুঁকি দ্রুত বৃদ্ধি পায়।
সাইবার নিরাপত্তা এবং এর হুমকির শিরোনাম থাকা সত্ত্বেও, কোম্পানিগুলির সচেতনতা এবং এটি মোকাবেলার জন্য তাদের প্রস্তুতির মধ্যে একটি ফাঁক রয়েছে। গত বছরে, হ্যাকাররা সমস্ত মার্কিন ছোট ব্যবসার অর্ধেক লঙ্ঘন করেছে। পোনেমন ইনস্টিটিউটের 2013 সালের সমীক্ষায়, 75% উত্তরদাতা ইঙ্গিত দিয়েছেন যে তাদের কাছে একটি আনুষ্ঠানিক সাইবার নিরাপত্তা ঘটনা প্রতিক্রিয়া পরিকল্পনা নেই। 66% উত্তরদাতারা তাদের সংস্থার আক্রমণ থেকে পুনরুদ্ধার করার ক্ষমতা সম্পর্কে আত্মবিশ্বাসী ছিলেন না। আরও, সাইবারসিকিউরিটি ফার্ম মান্টার 2017 সালের একটি সমীক্ষা নির্দেশ করে যে তিনটি ছোট ব্যবসার মধ্যে একটির কাছে নিজেদের রক্ষা করার জন্য সরঞ্জাম নেই৷
কৌশলগতভাবে বলতে গেলে, আর্থিক পরিষেবা সংস্থাগুলিকে আক্রমণ সনাক্তকরণ এবং প্রতিক্রিয়া জানানোর ক্ষেত্রে অনেক উন্নতি করতে হবে। 2013 সালে, FS কোম্পানিগুলির বিরুদ্ধে শুরু করা আক্রমণগুলির 88% এক দিনেরও কম সময়ে সফল হয়৷ যাইহোক, এর মধ্যে মাত্র 21% একদিনের মধ্যে আবিষ্কৃত হয়, এবং আবিষ্কার-পরবর্তী সময়ে, তাদের মধ্যে মাত্র 40% একদিনের সময়সীমার মধ্যে পুনরুদ্ধার করা হয়।
সাইবার নিরাপত্তার জন্য "এক-আকার-ফিট-সব" সমাধান নেই। যাইহোক, সাধারণভাবে, সমাধানগুলিতে অত্যাধুনিক প্রযুক্তি এবং বোর্ডরুমে কর্মীদের প্রশিক্ষণ এবং অগ্রাধিকারের মতো আরও "মানব" উপাদান উভয়ই অন্তর্ভুক্ত করা উচিত।
রিয়েল-টাইম ইন্টেলিজেন্স সাইবার আক্রমণ প্রতিরোধ এবং ধারণ করার জন্য একটি শক্তিশালী হাতিয়ার। একটি হ্যাক শনাক্ত করতে যত বেশি সময় লাগে, তার পরিণতি তত বেশি ব্যয়বহুল। পোনেমন ইনস্টিটিউটের 2013 সালের একটি সমীক্ষায় প্রকাশ করা হয়েছে যে আইটি এক্সিকিউটিভরা বিশ্বাস করেন যে নিরাপত্তা লঙ্ঘনের অগ্রিম বিজ্ঞপ্তির 10 মিনিটেরও কম সময় হুমকি অক্ষম করার জন্য যথেষ্ট সময়। মাত্র 60 সেকেন্ডের একটি সমঝোতার বিজ্ঞপ্তি দিয়ে, ফলস্বরূপ খরচ 40% কমানো যেতে পারে।
BAE সিস্টেমের সাইবার সার্ভিসের ডিরেক্টর জেমস হ্যাচের মতে, "প্রথম দিকে [একটি সাইবার আক্রমণ] সনাক্ত করা গুরুত্বপূর্ণ...এটি আপনার [কম্পিউটার] 10% এবং 50% হারানোর মধ্যে পার্থক্য হতে পারে।" দুর্ভাগ্যবশত, বাস্তবে, একটি দূষিত আক্রমণ আবিষ্কার করতে কোম্পানিগুলির গড়ে সাত মাসের বেশি সময় লাগে৷
কোম্পানিগুলো নিজেদের রক্ষা করার জন্য বেশ কিছু ছোট, কৌশলী পদক্ষেপ নিতে পারে। এর মধ্যে রয়েছে:
একটি বহু-স্তরীয় প্রতিরক্ষা কৌশল প্রণয়ন। নিশ্চিত করুন যে এটি আপনার সমগ্র এন্টারপ্রাইজ, সমস্ত এন্ডপয়েন্ট, মোবাইল ডিভাইস, অ্যাপ্লিকেশন এবং ডেটা কভার করে। যেখানে সম্ভব, নেটওয়ার্ক এবং ডেটা অ্যাক্সেসের জন্য এনক্রিপশন এবং দুই- বা তিন-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করুন।
একটি তৃতীয় পক্ষের বিক্রেতার মূল্যায়ন সম্পাদন করা বা তৃতীয় পক্ষের সাথে পরিষেবা-স্তরের চুক্তি তৈরি করা: কে এবং অন্যরা কী অ্যাক্সেস করতে পারে সে সম্পর্কে একটি "ন্যূনতম বিশেষাধিকার" নীতি প্রয়োগ করুন৷ তৃতীয় পক্ষের সাথে শংসাপত্রের ব্যবহার পর্যালোচনা করার অভ্যাস করুন। এমনকি আপনি এটিকে একটি পরিষেবা স্তর চুক্তি (SLA) দিয়ে আরও এক ধাপ এগিয়ে নিতে পারেন, যা চুক্তিগতভাবে বাধ্য করে যে তৃতীয় পক্ষগুলি আপনার কোম্পানির নিরাপত্তা নীতিগুলি মেনে চলে। আপনার SLA আপনার কোম্পানিকে তৃতীয় পক্ষের সম্মতি অডিট করার অধিকার দিতে হবে।
নিরবচ্ছিন্নভাবে ব্যাক-আপ ডেটা। এটি র্যানসমওয়্যার থেকে রক্ষা করতে সাহায্য করতে পারে, যা কম্পিউটার ফাইলগুলিকে হিমায়িত করে যতক্ষণ না ভিকটিম আর্থিক চাহিদা পূরণ করে। আপনার কম্পিউটার বা সার্ভার লক হয়ে গেলে ডেটা ব্যাক আপ করা গুরুত্বপূর্ণ প্রমাণিত হতে পারে কারণ আপনার ডেটা অ্যাক্সেসের জন্য আপনাকে অর্থপ্রদান করতে হবে না৷
ঘনঘন প্যাচিং। একটি সফ্টওয়্যার প্যাচ বিদ্যমান সফ্টওয়্যারে একটি কোড আপডেট। এগুলি প্রায়ই সফ্টওয়্যারের সম্পূর্ণ রিলিজের মধ্যে অস্থায়ী সমাধান। একটি প্যাচ একটি সফ্টওয়্যার বাগ ঠিক করতে পারে, নতুন নিরাপত্তা দুর্বলতার সমাধান করতে পারে, সফ্টওয়্যার স্থিতিশীলতার সমস্যাগুলি সমাধান করতে পারে বা নতুন ড্রাইভার ইনস্টল করতে পারে৷
সফ্টওয়্যার অ্যাপ্লিকেশনগুলিকে সাদা তালিকাভুক্ত করা৷৷ অ্যাপ্লিকেশন হোয়াইটলিস্টিং কম্পিউটারগুলিকে অ-অনুমোদিত সফ্টওয়্যার ইনস্টল করতে বাধা দেবে৷ এটি প্রশাসকদের অনেক বেশি নিয়ন্ত্রণের অনুমতি দেয়৷
একটি উদীয়মান প্রবণতা হল অ্যান্টি-হ্যাকার বীমা, বা সাইবার-বীমা। এর সুযোগ প্রদানকারীর মধ্যে পরিবর্তিত হয়, তবে সাধারণত নিরাপত্তা লঙ্ঘন এবং ক্ষতির বিরুদ্ধে সুরক্ষা দেয়। বীমাকারীরা সাধারণত প্রতি ক্লায়েন্ট প্রতি $5 মিলিয়ন এবং $100 মিলিয়নের মধ্যে তাদের ক্ষমতা সীমাবদ্ধ করে। অক্টোবর 2016 পর্যন্ত, মার্কিন ব্যবসার মাত্র 29% সাইবার-বীমা কিনেছিল। যাইহোক, সামগ্রিক সাইবার-বীমা বাজার 2025 সালের মধ্যে $20 বিলিয়ন হবে বলে অনুমান করা হয়েছে, যা আজকের $3.25 বিলিয়ন থেকে বেড়েছে। আগামী কয়েক বছরে প্রিমিয়াম তিনগুণ বাড়বে বলে অনুমান করে বীমাকারীরা উৎসাহী।
একটি প্রতিষ্ঠানের কতটা সাইবার বীমা প্রয়োজন তা নির্ধারণ করার জন্য, এটির সাইবার ঝুঁকি পরিমাপ করা উচিত। এটি অবশ্যই বুঝতে হবে যে কীভাবে তাদের সম্পদ সাইবার আক্রমণের দ্বারা প্রভাবিত হয় এবং কীভাবে তাদের অগ্রাধিকার দিতে হয়।
ইন্ডাস্ট্রিতে আরেকটি নতুন ধারণা হল বাগ বাউন্টি প্রোগ্রাম নামে পরিচিত, যেখানে একটি প্রতিষ্ঠান নিরাপত্তা ত্রুটির বিষয়ে অবহিত করার জন্য বহিরাগতদের ("বন্ধুত্বপূর্ণ হ্যাকার") অর্থ প্রদান করে। Google এবং Dropbox থেকে শুরু করে AT&T এবং LinkedIn পর্যন্ত কোম্পানিগুলি ইতিমধ্যেই এই অভ্যাসটি গ্রহণ করেছে৷
একটি "IT সমস্যা" একটি কৌশলগত ব্যবসায়িক সমস্যা হয়ে ওঠে৷৷ অনেক সিইও এবং সিএফওর জন্য, হ্যাকিং হতাশাজনক হতে পারে কারণ তারা শত্রুকে বোঝে না। রিচার্ড অ্যান্ডারসনের মতে, ইনস্টিটিউট অফ রিস্ক ম্যানেজমেন্টের চেয়ারম্যান, "এখনও অনেক লোক বসে আছে বৃহত্তর কোম্পানীতে যারা এখনও এটিকে ব্যবসায়িক সমস্যা না করে বরং গীকদের দেখাশোনা করে।" যাইহোক, পরিসংখ্যান যেমন দেখিয়েছে, এটি সত্য থেকে আরও বেশি হতে পারে না।
একটি ডেলয়েট শ্বেতপত্র একটি ডেডিকেটেড সাইবার হুমকি ব্যবস্থাপনা দল তৈরি এবং একটি "সাইবার ঝুঁকি-সচেতন সংস্কৃতি" তৈরি করার পরামর্শ দেয়। সংস্থাগুলিকে একজন প্রধান তথ্য নিরাপত্তা অফিসার (CISO) মনোনীত করারও সুপারিশ করা হয়। উদাহরণস্বরূপ, 2014 এবং 2013 সালে যথাক্রমে যখন লঙ্ঘন করা হয়েছিল তখন JPMorgan বা টার্গেট উভয়েরই CISO ছিল না৷
বেসিকগুলিতে ফিরে যান:কর্মচারী প্রশিক্ষণ৷৷ ডেটা লঙ্ঘন প্রায়শই মানুষের মানসিক দুর্বলতার ফলাফল। তাই আপনার কর্মীদের নিরাপত্তা লঙ্ঘনের সতর্কতা লক্ষণ, নিরাপদ অনুশীলন (ইমেল সংযুক্তি খোলার বিষয়ে সতর্ক থাকা, তারা কোথায় সার্ফিং করছে) এবং কীভাবে সন্দেহজনক টেকওভারের প্রতিক্রিয়া জানাতে হবে সে সম্পর্কে শিক্ষিত করা গুরুত্বপূর্ণ।
সাইবার নিরাপত্তার বিপদের প্রতি ক্রমবর্ধমান মনোযোগের প্রতি একটি সাধারণ খণ্ডন হল, “তাহলে কী? আক্রমণের ভয়ে কি আমাদের উদ্ভাবন বন্ধ করতে হবে?” উত্তর হল, ঠিক নয়। যাইহোক, কোম্পানিগুলির জন্য সাইবার নিরাপত্তাকে নীতিশাস্ত্রের বিষয় হিসাবে দেখতে সহায়ক হতে পারে। অর্থাৎ, সাইবার নিরাপত্তা কেবল প্রযুক্তির বিষয় নয়, নৈতিকতারও একটি বিষয় হওয়া উচিত। সর্বোপরি, এমন প্রযুক্তি তৈরি এবং বিক্রি করা কি নৈতিক যা গ্রাহকদের ঝুঁকিপূর্ণ করে? সিলিকন ভ্যালির "বৃদ্ধি বা মৃত্যু" এবং কখনও কখনও অদূরদর্শী সংস্কৃতির সাথে, এটি সম্ভবত একটি অজনপ্রিয় মনোভাব।
তবে অন্যান্য খাতে নজির রয়েছে। উদাহরণস্বরূপ, আমেরিকান মেডিকেল অ্যাসোসিয়েশন এবং আমেরিকান বার অ্যাসোসিয়েশন পেশাদারদের তাদের নিজ নিজ নৈতিক কোড অনুসরণ করতে হবে। চিকিত্সকদের অবশ্যই হিপোক্রেটিক শপথের প্রতিশ্রুতি দিতে হবে, যা ইতিহাসের সবচেয়ে পুরানো বাঁধাই নথিগুলির মধ্যে একটি, যা বাধ্যতামূলক করে যে ডাক্তাররা তাদের রোগীদের রক্ষা করার শপথ করেন। একইভাবে, আইনজীবীরা তাদের ক্লায়েন্টদের রক্ষা ও সম্মান করার প্রতিশ্রুতি দিয়ে পেশাগত আচরণের একটি মডেল নিয়ম অনুসরণ করেন।
আমরা সকলেই মনে রাখতে চাই যে প্রযুক্তি আসতে পারে এবং যেতে পারে, সঠিক এবং ভুল কখনই পরিবর্তন হয় না।