আপনি হয়তো এই কথাটি শুনেছেন যে, "কখনও সংকটকে নষ্ট হতে দেবেন না।" দুর্ভাগ্যবশত, কোভিড-১৯-এর সময় হ্যাকাররা সেই ধারণাটিকে হৃদয়ে নিয়ে গেছে। মহামারী দ্বারা সৃষ্ট বিভ্রান্তির মধ্যে হ্যাকাররা বারবার কর্পোরেট সিস্টেমে দুর্বল দরজা ব্যবহার করার কারণে সাইবার আক্রমণের সংখ্যা বেড়েছে। লক্ষ্যগুলির মধ্যে স্বাস্থ্যসেবা, আর্থিক পরিষেবা এবং বিশ্ব স্বাস্থ্য সংস্থার মতো পাবলিক সেক্টরের প্রতিষ্ঠানগুলি অন্তর্ভুক্ত ছিল। ফেব্রুয়ারী এবং এপ্রিল 2020 এর মধ্যে বিশ্বব্যাপী আর্থিক খাতের বিরুদ্ধে আক্রমণ 238% বৃদ্ধি পেয়েছে।
মাস্টারকার্ডের ডেপুটি চিফ সিকিউরিটি অফিসার এবং প্রেসিডেন্ট বারাক ওবামার অধীনে হোয়াইট হাউসের প্রাক্তন ডেপুটি সিআইও আলিসা আবদুল্লাহর মতে, কোভিড-১৯ এবং এর ফলে ভার্চুয়াল কাজে স্থানান্তর “প্রতিপক্ষের সুযোগগুলিকে বদলে দিয়েছে এবং অন্য কিছুতে তাদের মনোযোগ সরিয়ে নিয়েছে। আমরা যে সরঞ্জামগুলি ব্যবহার করছি।"
হ্যাকাররা সহযোগিতার প্ল্যাটফর্মগুলিতেও আক্রমণ করেছে। এপ্রিল 2020-এ, হ্যাকাররা 500,000 এর বেশি জুম অ্যাকাউন্টের ব্যবহারকারীর নাম এবং পাসওয়ার্ড পেয়েছিলেন এবং সেগুলিকে প্রতি অ্যাকাউন্টে এক পয়সা হিসাবে ডার্ক-ওয়েব ক্রাইম ফোরামে বিক্রি করেছিল; কিছু তথ্য সহজভাবে দেওয়া হয়েছে. কোভিড-১৯ ভ্যাকসিনের সাথে জড়িত সাইবার আক্রমণও আবির্ভূত হয়েছে; 2020 সালের ডিসেম্বরে, ইউরোপীয় মেডিসিন এজেন্সি জানিয়েছে যে সাইবার আক্রমণের সময় Pfizer/BioNTech COVID-19 ভ্যাকসিনের কিছু ডেটা চুরি হয়েছে। প্রায় একই সময়ে, আইবিএম কোভিড-১৯ ভ্যাকসিন বিতরণের কেন্দ্রবিন্দু কোম্পানিগুলিকে লক্ষ্য করে হ্যাকারদের জন্য সতর্কতা বাজিয়েছিল।
সাইবার আক্রমণ এবং তাদের সাথে সম্পর্কিত খরচগুলি কেবল ত্বরান্বিত হতে চলেছে। নিম্নলিখিতগুলি বিবেচনা করুন:সাইবারসিকিউরিটি ভেঞ্চারস ভবিষ্যদ্বাণী করেছে যে 2021 সালে প্রতি 11 সেকেন্ডে সাইবার আক্রমণ ঘটবে, 2019 হারের প্রায় দ্বিগুণ (প্রতি 19 সেকেন্ডে) এবং 2016 হারের চার গুণ (প্রতি 40 সেকেন্ডে)। এটি অনুমান করা হয়েছে যে সাইবার ক্রাইম এখন বিশ্বকে বার্ষিক $6 ট্রিলিয়ন খরচ করে, 2015 এর মোট $3 ট্রিলিয়ন। 2025 সাল নাগাদ, সাইবার অপরাধের জন্য প্রতি বছর বিশ্বকে $10.5 ট্রিলিয়ন খরচ হবে বলে ধারণা করা হচ্ছে।
সাইবার অপরাধের মূল্য ট্যাগের মধ্যে রয়েছে মেধা সম্পত্তি এবং ব্যক্তিগত ও আর্থিক তথ্য চুরি, সেইসাথে প্রকৃত অর্থ - এছাড়াও ব্যবসায় আক্রমণ-পরবর্তী ব্যাঘাত, উৎপাদনশীলতা হারানো এবং সুনামের ক্ষতি, অন্যান্য বিষয়গুলির মধ্যে, স্টিভ মরগান ব্যাখ্যা করেছেন, প্রতিষ্ঠাতা সাইবারসিকিউরিটি ভেঞ্চারস এর। এই প্রত্যক্ষ পরিণতিগুলি ছাড়াও, সাইবার ক্রাইমের লুকানো খরচগুলির মধ্যে রয়েছে বর্ধিত বীমা প্রিমিয়াম, নিম্ন ক্রেডিট রেটিং, এবং গ্রাহকদের মামলা শুরু করার কারণে আইনি ফি৷
একটি 2020 আইবিএম সিকিউরিটি রিপোর্ট যা 17টি শিল্পের 17টি দেশে 524টি লঙ্ঘনকারী সংস্থার জরিপ করেছে ইঙ্গিত দেয় যে ডেটা লঙ্ঘনের গড় খরচ ছিল $3.86 মিলিয়ন এবং ধারণ করতে গড়ে 280 দিন লেগেছিল। ঘটনার পরের বছর ধরে এর পরিণতি চলতে পারে৷
2019 সালে যুক্তরাজ্যে, 90% ডেটা লঙ্ঘন মানুষের ত্রুটির কারণে হয়েছিল। মহামারী চলাকালীন, কর্মীরা প্রশস্ত ব্যক্তিগত এবং আর্থিক চাপে ব্যস্ত থাকে, যা তাদেরকে স্পিয়ার ফিশিং-এর জন্য আরও ঝুঁকিপূর্ণ করে তোলে—এক ধরনের ফিশিং যা একটি প্রতিষ্ঠানের নির্দিষ্ট ব্যক্তি বা গোষ্ঠীকে লক্ষ্য করে-এবং ব্যক্তিদের মনস্তাত্ত্বিকভাবে ম্যানিপুলেট করার জন্য ডিজাইন করা "সোশ্যাল ইঞ্জিনিয়ারিং" আক্রমণ সংবেদনশীল তথ্য।
আরও বিশেষভাবে, সামাজিক প্রকৌশল আক্রমণের লক্ষ্য কর্মচারীদের এমন কিছু করার জন্য প্রতারিত করা যা বৈধ বলে মনে হয় কিন্তু নয়। যদিও কোম্পানিগুলি সাধারণত প্রতারণামূলক অনুরোধ শনাক্ত করার জন্য কর্মীদের প্রশিক্ষণ দেয়, মহামারীর অস্বাভাবিক পরিস্থিতিতে কর্মীদের পক্ষে বৈধ অনুরোধ থেকে কেলেঙ্কারীগুলিকে আলাদা করা কঠিন হয়ে উঠেছে।
টপটালের একজন ফিনান্স বিশেষজ্ঞ টমাস রুল্যান্ড বলেন, “সবাই জানে যে আপনি পার্কিং লটে একটি ইউএসবি নিতে পারবেন না [এবং এটি আপনার কম্পিউটারে রাখুন], কিন্তু মনিবদের কাছ থেকে জাল ইমেলগুলিতে অত্যাধুনিক কর্মীদের প্রশিক্ষণ দেওয়া এখনও একটি আসল সমস্যা” নেটওয়ার্ক এবং ডিসেন্ট্রিক-এর ফাইন্যান্স অ্যান্ড অপারেশনের প্রধান, একটি কোম্পানি যা নিরাপদ ডেটা শেয়ারিং এবং সহযোগিতায় বিশেষজ্ঞ। "যখন আপনি একই অফিসে থাকেন না, তখন দুর্ঘটনাজনিত ডেটা ভাগ করে নেওয়া আরও প্রায়ই ঘটতে পারে। যখন লোকেরা একই শারীরিক অফিসে কাজ করে, তখন আপনি কেবল জিজ্ঞাসা করতে পারেন, 'আরে আপনি কি সত্যিই এটি পাঠিয়েছেন?' কিন্তু বাড়ি থেকে কাজ করার সময় এটি বিশ্লেষণ করা কঠিন।"
"ভিশিং" - ভয়েস ফিশিং - এর সমস্যাটিও মহামারী দ্বারা আরও বেড়েছে, আক্রমণকারীরা কর্মীদের কাছ থেকে VPN শংসাপত্র বা অন্যান্য সংবেদনশীল তথ্য পেতে কল ব্যবহার করে৷ ভিশিং স্ক্যামগুলি প্রায়শই সম্ভাব্য ভুক্তভোগীদের ব্যক্তিগত তথ্যের একটি সঠিক অংশ, যেমন একজন ব্যক্তির সামাজিক নিরাপত্তা নম্বর বা ব্যাঙ্ক অ্যাকাউন্ট নম্বর প্রদান করে বৈধ বলে মনে করার চেষ্টা করে। আক্রমণকারীদের জন্য আশ্চর্যজনক পরিমাণে অন্যান্য ব্যক্তিগত তথ্য সর্বজনীনভাবে উপলব্ধ, যাদের এই ধরনের বিবরণ অ্যাক্সেস করার জন্য শুধুমাত্র সোশ্যাল মিডিয়া প্ল্যাটফর্ম বা অন্যান্য সংশ্লিষ্ট ওয়েবসাইটগুলিকে ঘোলা করতে হবে৷
কোভিড-১৯ নতুন প্রযুক্তির তাড়াহুড়োয় অবলম্বন করতে উৎসাহিত করেছে কারণ প্রতিষ্ঠানগুলো অফিসে কাজের ব্যাঘাতের মধ্যে নতুন ডিজিটাল প্রক্রিয়া চালু করেছে। মহামারীর আগের পর্যায়ে, অনেক কোম্পানির অপারেশন বজায় রাখার জন্য নিয়ন্ত্রণের মান হ্রাস সহ নতুন ঝুঁকি গ্রহণ করা ছাড়া কোন বিকল্প ছিল না।
এই ধরনের দ্রুত এবং নাটকীয় পরিবর্তনের একটি প্রধান ফলাফল ছিল ব্যাপক ক্লাউড গ্রহণ। তার 2021 স্টেট অফ দ্য ক্লাউড রিপোর্টে, ফ্লেক্সেরা দেখেছে যে দূরবর্তী কাজের চাহিদা জরিপ করা গোষ্ঠীর অর্ধেকেরও বেশিকে তাদের ক্লাউডের ব্যবহার পরিকল্পনার বাইরে বাড়িয়ে দিতে বাধ্য করেছে। অন্যান্য উত্তরদাতারা ইঙ্গিত দিয়েছেন যে তাদের সংস্থাগুলি প্রথাগত ডেটা সেন্টার অ্যাক্সেসে অসুবিধা এবং তাদের সরবরাহ চেইনে বিলম্বের কারণে মাইগ্রেশনকে ত্বরান্বিত করতে পারে। যেখানে 20% শতাংশ এন্টারপ্রাইজ প্রকাশ করেছে যে তাদের বার্ষিক ক্লাউড খরচ $12 মিলিয়ন ছাড়িয়েছে, যা আগের বছরের থেকে 7% বেশি, 74% রিপোর্ট করেছে যে তাদের খরচ $1.2 মিলিয়ন ছাড়িয়ে গেছে, যা আগের বছরের 50% থেকে বেশি।
দুর্ভাগ্যবশত, চরম সময় এবং অপারেশনাল চাপের মধ্যে গৃহীত পদক্ষেপ অনিবার্যভাবে সাইবার নিরাপত্তায় ফাঁক তৈরি করেছে। এবং সাইবারসিকিউরিটি ইনসাইডার্সের 2020 ক্লাউড সিকিউরিটি রিপোর্টে উত্তরদাতাদের 75% ইঙ্গিত দিয়েছে যে তারা পাবলিক ক্লাউড সুরক্ষা সম্পর্কে "খুব উদ্বিগ্ন" বা "অত্যন্ত উদ্বিগ্ন" ছিল। ক্লাউড নিরাপত্তা উদ্বেগ আরও বৃদ্ধি পায় যখন সংস্থাগুলি দুই বা ততোধিক পাবলিক ক্লাউড প্রদানকারী ব্যবহার করে, যেমন 68% উত্তরদাতারা করেন।
নিরাপত্তা বিশেষজ্ঞ এবং নিয়োগকর্তারা প্রাথমিকভাবে তিনটি ক্লাউড নিরাপত্তা চ্যালেঞ্জ সম্পর্কে উদ্বিগ্ন। প্রথমত, ক্লাউড এবং কন্টেইনার মিসকনফিগারেশন, যখন একজন প্রশাসক অসাবধানতাবশত একটি ক্লাউড সিস্টেমের জন্য সেটিংস স্থাপন করে যা সংস্থার নিরাপত্তা নীতির সাথে সাংঘর্ষিক। আরেকটি হল সীমিত নেটওয়ার্ক দৃশ্যমানতা, যেখানে একটি সংস্থা কোন হার্ডওয়্যার এবং সফ্টওয়্যার নেটওয়ার্কের সাথে সংযুক্ত রয়েছে এবং কোন নেটওয়ার্ক ইভেন্টগুলি ঘটছে তা নিয়ে অনিশ্চিত। এবং তৃতীয় প্রধান উদ্বেগের বিষয় হল অরক্ষিত ক্লাউড রানটাইম পরিবেশ, যা আক্রমণকারীদের একটি সংস্থার উপর শিকার করার সুযোগ প্রদান করে৷
COVID-19 এবং ভার্চুয়াল কাজে স্থানান্তর আপনার-নিজের-ডিভাইস নিয়ে আসার প্রোগ্রামগুলিকে ব্যাপকভাবে গ্রহণ করার জন্য উদ্বুদ্ধ করেছে। বিশেষ করে মহামারীর প্রাথমিক পর্যায়ে, অনেক শ্রমিকের কাছে দূর থেকে কাজ করার জন্য ব্যক্তিগত ডিভাইস, পাবলিক ওয়াই-ফাই বা হোম নেটওয়ার্ক ব্যবহার করা ছাড়া কোনো বিকল্প ছিল না। এই ধরনের পরিস্থিতি হ্যাকারদের জন্য সাংগঠনিক সম্পদ অ্যাক্সেস করার জন্য একটি খোলার ব্যবস্থা করে; যখন ব্যক্তিগত ডিভাইসগুলি আপস করা হয়, তারা কর্পোরেট নেটওয়ার্কে লঞ্চপ্যাড হিসাবে কাজ করতে পারে৷
স্টার্ক অ্যান্ড স্টার্কের একজন অ্যাটর্নি ত্রিনা গ্লাস সোসাইটি ফর হিউম্যান রিসোর্স ম্যানেজমেন্টকে বলেছেন, "সাইবার নিরাপত্তার সবচেয়ে বড় ঝুঁকি হল ব্যক্তিগত ডিভাইস।" “স্মার্টফোন বা ল্যাপটপ যাই হোক না কেন, সংবেদনশীল তথ্য জড়িত কাজের সেটিংয়ে ব্যক্তিগত প্রযুক্তি ব্যবহার করে গুরুতর সমস্যা দেখা দেয়। কর্মচারীরা তাদের ডেস্কটপে নথি সংরক্ষণ করতে পারে বা তাদের ব্যক্তিগত ইমেলে নথির খসড়া পাঠাতে পারে। তাদের কাছে আপ-টু-ডেট অ্যান্টিভাইরাস সফ্টওয়্যার নাও থাকতে পারে, অথবা তারা পুরানো ব্যক্তিগত পাসওয়ার্ড সুরক্ষা ব্যবহার করতে পারে।"
2020 সালের ডিসেম্বরে, খবর ছড়িয়ে পড়ে যে সোলারউইন্ডস, একটি প্রধান আইটি ম্যানেজমেন্ট ফার্ম, একটি সাইবার আক্রমণের শিকার হয়েছে যা কয়েক মাস ধরে সনাক্ত করা যায়নি। সেই বছরের শুরুর দিকে, বিদেশী হ্যাকাররা SolarWinds এর সিস্টেমে প্রবেশ করেছিল এবং ক্ষতিকারক কোড ঢুকিয়েছিল। পরবর্তীকালে, যখন সোলারউইন্ডস তার 33,000 গ্রাহকদের কাছে সফ্টওয়্যার আপডেট পাঠায়, আক্রমণকারীদের কোড এটির সাথে যায় এবং গ্রাহকদের আইটি সিস্টেমের পিছনের দরজা তৈরি করে। হ্যাকাররা অতিরিক্ত স্পাই ম্যালওয়্যার ইনস্টল করতে এই পিছনের দরজাগুলি ব্যবহার করেছিল। শেষ পর্যন্ত, SolarWinds-এর প্রায় 18,000 গ্রাহক এই আপডেটগুলি ইনস্টল করেছেন, যার মধ্যে মার্কিন এজেন্সি যেমন হোমল্যান্ড সিকিউরিটি এবং ট্রেজারি বিভাগ এবং ইন্টেল, মাইক্রোসফ্ট এবং সিস্কোর মতো ব্যক্তিগত কোম্পানি রয়েছে৷
হ্যাকাররা প্রায়ই সফ্টওয়্যার বা হার্ডওয়্যার সরবরাহ চেইনের অনিরাপদ উপাদানগুলিকে লক্ষ্য করে এবং আক্রমণ করে। Accenture দেখেছে যে সাইবার নিরাপত্তা আক্রমণের 40% বর্ধিত সরবরাহ চেইন থেকে উদ্ভূত হয়। আক্রমণকারীরা সাধারণত দুর্বলতম লিঙ্কগুলি সন্ধান করে যেমন কয়েকটি সাইবার নিরাপত্তা নিয়ন্ত্রণ বা ওপেন-সোর্স উপাদান সহ ছোট বিক্রেতারা। প্রায়শই, তাদের লক্ষ্য চিহ্নিত করার পরে, হ্যাকাররা বৈধ এবং প্রত্যয়িত সফ্টওয়্যার বা তৃতীয়-পক্ষ প্রদানকারীদের দ্বারা ব্যবহৃত আপস সিস্টেমের পিছনের দরজা যোগ করে। এইভাবে, সাপ্লাই চেইন আক্রমণ এই সত্যকে প্রকাশ করে যে একটি প্রতিষ্ঠানের সাইবার নিরাপত্তা নিয়ন্ত্রণগুলি চেইনের দুর্বলতম লিঙ্কের মতোই শক্তিশালী৷
এখন যেহেতু বিশ্ব মহামারীতে এক বছরেরও বেশি সময় পেরিয়ে গেছে, সংস্থাগুলিকে অবশ্যই স্টপগ্যাপ ব্যবস্থা প্রতিষ্ঠার বাইরে যেতে হবে এবং পরিবর্তে "পরবর্তী স্বাভাবিক" প্রত্যাশা করতে হবে। চিফ ইনফরমেশন সিকিউরিটি অফিসার, সিএফও এবং সাইবার সিকিউরিটি টিমকে অবশ্যই বুঝতে হবে কিভাবে তাদের কর্মীবাহিনী, গ্রাহক, সাপ্লাই চেইন এবং সেক্টর পিয়াররা পর্যাপ্ত সাইবার নিরাপত্তা প্রদানের জন্য একসাথে কাজ করবে। এখানে শুরু করার পাঁচটি উপায় রয়েছে:
ঐতিহ্যবাহী আইটি নেটওয়ার্ক নিরাপত্তা দুর্গ-এবং-পরিখার ধারণার উপর ভিত্তি করে:নেটওয়ার্কের ভিতরে প্রত্যেকেই ডিফল্টরূপে বিশ্বস্ত, এবং নেটওয়ার্কের বাইরের লোকদের জন্য অ্যাক্সেস পাওয়া কঠিন। কোভিড-১৯ মহামারী চলাকালীন সময়ে সংঘটিত সাইবার আক্রমণ এই কৌশলটির সীমাবদ্ধতা প্রকাশ করেছে। কোম্পানিগুলির একটি শূন্য-বিশ্বাসের কৌশল অবলম্বন করা উচিত যা কঠোর অ্যাক্সেস নিয়ন্ত্রণ বজায় রাখে এবং ডিফল্টরূপে কোনো ব্যক্তি, ডিভাইস বা অ্যাপ্লিকেশনকে বিশ্বাস করে না-এমনকি যারা ইতিমধ্যেই নেটওয়ার্ক পরিধির মধ্যে রয়েছে। একটি জিরো-ট্রাস্ট মডেলের জন্য প্রতিটি ব্যক্তি এবং ডিভাইসের জন্য পরিচয় যাচাইকরণ এবং অনুমোদন প্রয়োজন যেটি একটি ব্যক্তিগত নেটওয়ার্কে সংস্থানগুলি অ্যাক্সেস করার চেষ্টা করে৷ 2019 সালে, গার্টনার ভবিষ্যদ্বাণী করেছিলেন যে 2023 সালের মধ্যে, 60% এন্টারপ্রাইজ VPN থেকে শূন্য-বিশ্বাসের উদ্যোগে চলে যাবে।
আরও, উদ্যোগগুলিকে কর্মীদের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ বাধ্যতামূলক করা উচিত। দ্বি-ফ্যাক্টর প্রমাণীকরণের জন্য একজন ব্যবহারকারীকে একটি অনলাইন অ্যাকাউন্ট বা আইটি সিস্টেম অ্যাক্সেস করতে দুটি ভিন্ন ধরনের তথ্য প্রদান করতে হবে; সাধারণত, এর মধ্যে একটি ব্যবহারকারীর নাম/পাসওয়ার্ড জোড়া (একক-ফ্যাক্টর প্রমাণীকরণ) এবং পরিচয়ের আরেকটি প্রমাণ অন্তর্ভুক্ত থাকে, যেমন একজন কর্মচারীর ফোন বা ইমেল ঠিকানায় পাঠানো কোড।
ওয়ার্ল্ড ইকোনমিক ফোরাম সুপারিশ করে যে ব্যবসাগুলিও ব্যবহারকারীদের পরিচয় যাচাই করার জন্য আঙ্গুলের ছাপ, মুখ, টাইপিং আচরণ বা অন্যান্য কারণগুলি ব্যবহার করে বায়োমেট্রিক মাল্টিফ্যাক্টর প্রমাণীকরণের দিকে রূপান্তর শুরু করে। কোম্পানির বিপরীতে যারা তাদের গ্রাহকদের পাসওয়ার্ড তাদের সার্ভারে সংরক্ষণ করে, ব্যবহারকারীর বায়োমেট্রিক্স ব্যবহারকারীর ডিভাইসে সংরক্ষণ করা হয়, এবং এইভাবে, সাইবার অপরাধীদের অ্যাক্সেস করার জন্য কোনো একক ডেটা সংগ্রহের পয়েন্ট নেই এবং অনলাইন জালিয়াতি এবং পরিচয় চুরির ঝুঁকি অনেকাংশে কমে যায়। . বিশ্বব্যাপী বায়োমেট্রিক সিস্টেমের বাজারের আকার 2020 সালে $36.6 বিলিয়ন থেকে 2025 সালের মধ্যে $68.6 বিলিয়ন হবে বলে অনুমান করা হয়েছে৷
সাইবার নিরাপত্তা জোরদার করার জন্য, সংস্থাগুলিকে অবশ্যই তাদের নিরাপত্তা সরঞ্জাম এবং বিক্রেতাদের সাথে ব্যক্তিগত তথ্য ভাগ করে নেওয়া এবং বজায় রাখার জন্য প্রয়োজনীয়তা পরীক্ষা করতে হবে। সংস্থাগুলি সমস্ত বিক্রেতা এবং সম্ভাব্য ছায়া তৃতীয় পক্ষের পরিষেবাগুলি পর্যালোচনা করে শুরু করা উচিত; বিক্রেতাদের ঝুঁকির স্তরগুলি বরাদ্দ করুন, ক্রিয়াকলাপের জন্য সবচেয়ে গুরুত্বপূর্ণ সেগুলিকে চিত্রিত করুন এবং গুরুত্বপূর্ণ তথ্যে সর্বাধিক অ্যাক্সেস রয়েছে; এবং তারপর অনুরূপভাবে মূল্যায়ন সুযোগ ক্রমাঙ্কন করুন।
এন্টারপ্রাইজগুলিকে তারপরে তৃতীয় পক্ষের জন্য নিয়ন্ত্রণ এবং অ্যাক্সেসের সীমাবদ্ধতা আপডেট করা উচিত এবং আরও শক্তিশালী ডেটা-ক্ষতি নিয়ন্ত্রণগুলি বিকাশ করা উচিত। সংস্থাগুলিকে অবশ্যই নিশ্চিত করতে হবে যে বিক্রেতারা বর্তমানে উচ্চতর সাইবার ঝুঁকির জন্য প্রস্তুত নয় তারা নিরাপদে তথ্য পরিচালনা করতে এবং সংস্থার কর্পোরেট নেটওয়ার্কগুলির সাথে যোগাযোগ করার জন্য সাইবার প্রস্তুতির পরিকল্পনা তৈরি করতে প্রতিশ্রুতিবদ্ধ। আরও, যেখানে সম্ভব, এন্টারপ্রাইজগুলিকে এন্টারপ্রাইজ নিরাপত্তা পর্যবেক্ষণে গুরুত্বপূর্ণ তৃতীয়-পক্ষ লগগুলিকে একীভূত করা উচিত এবং সমন্বিত পর্যবেক্ষণ এবং প্রতিক্রিয়ার জন্য সতর্কতা ব্যবস্থা তৈরি করা উচিত। এই সমস্ত পদক্ষেপ গ্রহণ সাপ্লাই চেইন জুড়ে সাইবার স্থিতিস্থাপকতা তৈরি করতে সাহায্য করবে।
যেহেতু প্রতিষ্ঠানগুলো প্রথাগত অন-প্রিমিসেস সাইবারসিকিউরিটি সমাধান থেকে দূরে সরে যাচ্ছে এবং ক্লাউড-কেন্দ্রিক আর্কিটেকচারের দিকে যাচ্ছে, তাদের অবশ্যই ক্লাউডকে রক্ষা করতে শিখতে হবে।
ক্লাউড এবং কন্টেইনার মিসকনফিগারেশন একটি সমস্যা হতে পারে কারণ, একটি অন-প্রিমিসেস নেটওয়ার্কের বিপরীতে যেখানে শুধুমাত্র আইটি পেশাদাররা নেটওয়ার্ক পরিকাঠামো সেট আপ এবং স্থাপন করতে পারে, একটি ক্লাউড পরিবেশে, অনেক বেশি লোক তা করতে পারে। আক্রমণকারীরা প্রায়ই একটি নেটওয়ার্ক অ্যাক্সেস করার জন্য ভুল কনফিগারেশনের সুবিধা নেয় কারণ সেগুলি সনাক্ত করা সহজ। সংস্থাগুলি নেটওয়ার্কের সাথে সংযুক্ত সম্পদগুলির জন্য একটি বেসলাইন স্থাপন করতে ক্লাউড ওয়ার্কলোড সুরক্ষা প্ল্যাটফর্মগুলির জন্য গার্টনারের মার্কেট গাইড অনুসরণ করে ভুল কনফিগারেশনগুলি পরিচালনা করতে সহায়তা করতে পারে৷ (সম্পূর্ণ প্রতিবেদনটি এখানে ক্রয়ের জন্য উপলব্ধ।) সেখান থেকে, সংস্থাগুলিকে বিচ্যুতির জন্য সেই সম্পদগুলি পর্যবেক্ষণ করা উচিত এবং আক্রমণের বিরুদ্ধে তাদের সিস্টেমগুলিকে রক্ষা করার জন্য সম্ভাব্য স্বয়ংক্রিয় প্রতিরক্ষা ব্যবস্থা নিযুক্ত করা উচিত৷
নেটওয়ার্ক দৃশ্যমানতার জন্য, সম্পদ আবিষ্কারের সরঞ্জামগুলি ডিভাইস আবিষ্কার এবং নেটওয়ার্কে যা আছে তা নয় তবে কোন সম্পদগুলি অরক্ষিত সে সম্পর্কে সচেতনতা প্রদান করে। এই সরঞ্জামগুলি সম্পদ, তাদের ব্যবহার, নেটওয়ার্ক এবং নেটওয়ার্কে কোন সফ্টওয়্যার মডিউল ইনস্টল করা আছে সহ অন্যান্য ডিভাইসগুলির মধ্যে সম্পর্কের মধ্যে স্বচ্ছতা প্রদান করে৷
অবশেষে, সংস্থাগুলি কন্টেইনারাইজড ওয়ার্কলোডের জন্য অরক্ষিত ক্লাউড রানটাইম পরিবেশের বিরুদ্ধে রক্ষা করতে পারে। যখন একটি ডিভাইস একটি অ্যাপ্লিকেশন চালানোর চেষ্টা করে, রানটাইম পরিবেশগুলি অ্যাপ্লিকেশন এবং অপারেটিং সিস্টেমের মধ্যে মধ্যস্থতাকারী হিসাবে কাজ করে৷
যদিও মানব নিরাপত্তা বিশ্লেষকরা ইতিমধ্যেই বিশাল ডেটাসেট থেকে সবচেয়ে জরুরি সতর্কতা বের করতে এবং মানুষকে পদক্ষেপ নিতে ট্রিগার করার জন্য অটোমেশন সরঞ্জামগুলি নিয়োগ করে, কৃত্রিম বুদ্ধিমত্তা (AI) এবং মেশিন লার্নিং (ML) সরঞ্জামগুলি ক্রমবর্ধমান পরিশীলিত হয়ে উঠছে৷
"আমরা অ্যালগরিদমগুলির বাইরে চলে যাচ্ছি যেগুলি কেবলমাত্র আপনার মেট্রিক্সগুলি দেখে এবং একজন মানুষকে একটি নির্দিষ্ট আউটলার সম্পর্কে কিছু করতে বলে," স্প্লঙ্কের ইঞ্জিনিয়ারিং এর ভাইস প্রেসিডেন্ট এবং মেশিন লার্নিংয়ের প্রধান, রাম শ্রীহর্ষ, কোম্পানির 2021 ডেটা সুরক্ষা প্রতিবেদনে বলেছেন৷ “স্কেলের বিষয় হিসাবে, আমাদের অ্যালগরিদম এবং অটোমেশন দরকার যা পদক্ষেপ নেয়। নিরাপত্তা ডোমেনে, আমরা শুধু অতীতের খারাপ অভিনেতা এবং আচরণের মডেলদেরকে নতুন, অনুরূপ আচরণ শনাক্ত করতে প্রশিক্ষণ দেব না। আমরা অ্যালগরিদম দেখতে পাব যা ঠিক কী ঘটছে তা দেখে—ট্র্যাফিকের দিকে তাকান, ডেটার দিকে তাকান—খারাপ প্যাটার্ন শনাক্ত করতে এবং এড়িয়ে যাওয়া পদক্ষেপ নিতে৷”
প্রতিষ্ঠানের স্ব-শিক্ষা, এআই-ভিত্তিক সাইবার নিরাপত্তা ব্যবস্থাপনা সিস্টেমের ব্যবহার বিবেচনা করা উচিত। যাইহোক, এআই/এমএল সাইবারসিকিউরিটি সলিউশন যেমন বিকাশ করে, আক্রমণকারীরাও তাই করে। প্রতিকূল শিক্ষা ব্যবহার করে, খারাপ অভিনেতারা একটি এআই/এমএল মডেল সম্পর্কে যথেষ্ট পরিমাণে সংগ্রহ করে যাতে সিস্টেমটিকে বিষাক্ত করার উপায়গুলি ডিজাইন করা যায় এবং এটিকে প্রতিরক্ষার জন্য অকার্যকর করে। প্রতিকূল শিক্ষা, বলুন, একটি স্বায়ত্তশাসিত যানকে স্টপ সাইনকে ভুল বোঝানোর মতো। এবং গার্টনারের গবেষণা অনুসারে, 2022 সালের মধ্যে AI-চালিত সিস্টেমগুলিকে আক্রমণ করার জন্য সমস্ত AI সাইবার আক্রমণের 30% প্রশিক্ষণ-ডেটা বিষক্রিয়া, AI মডেল চুরি বা প্রতিপক্ষের নমুনাগুলিকে কাজে লাগাবে৷ তবুও AI/ML সিস্টেমগুলির জন্য এই হুমকি সত্ত্বেও, একটি সাম্প্রতিক Microsoft জরিপ প্রকাশ করেছে যে 28টি ব্যবসার মধ্যে 25টি নির্দেশ করে যে তাদের এআই/এমএল সিস্টেমগুলি সুরক্ষিত করার জন্য তাদের কাছে সঠিক সরঞ্জাম নেই। তাদের একজন হবেন না।
আপাতদৃষ্টিতে সহজ হলেও, সাইবার নিরাপত্তা ব্যবস্থার আশেপাশে কর্মচারীদের প্রশিক্ষণ বাড়ানো সংগঠনগুলির জন্য গুরুত্বপূর্ণ। সংস্থাগুলিকে একটি প্রত্যন্ত পরিবেশে নতুন সাইবার ঝুঁকি সম্পর্কে সচেতনতা বাড়ানোর জন্য ভূমিকা-ভিত্তিক প্রশিক্ষণ প্রোগ্রাম এবং অনুশীলনগুলি ডিজাইন করা উচিত, যার মধ্যে রয়েছে নতুন হুমকি, অনুমোদিত ডিভাইস ব্যবহারের নিয়ম এবং সাইবার ঘটনাগুলি রিপোর্ট করার প্রক্রিয়া৷
কর্মীদের সক্রিয়ভাবে নিযুক্ত করার জন্য ম্যানেজমেন্ট টিমগুলিকে সাইবার অ্যাটাক পরিস্থিতিগুলির জন্য সিমুলেশন এবং ওয়াক-থ্রু প্রদান করা উচিত। ম্যানেজমেন্টকে প্রয়োজনীয় ক্রিয়াকলাপ এবং কখন সিদ্ধান্তগুলি বাড়ানো উচিত সম্পর্কে স্পষ্ট নির্দেশিকা প্রদান করা উচিত।
সবশেষে, কর্মচারীদের মনে করিয়ে দেওয়া উচিত যে পাবলিক ওয়াই-ফাই নেটওয়ার্ক বা প্রিন্টার ব্যবহার করবেন না এবং হোম কম্পিউটারে নথি সংরক্ষণ করবেন না।
সোশ্যাল ইঞ্জিনিয়ারিং এবং সাপ্লাই চেইন আক্রমণের আকারে ক্রমবর্ধমান সাইবার আক্রমণের প্রতিক্রিয়া জানাতে, এবং ছায়া আইটি এবং দুর্বল স্টপগ্যাপ ব্যবস্থা বাড়ানোর জন্য, উদ্যোগগুলিকে "পরবর্তী স্বাভাবিক" এর সাথে সামঞ্জস্য করার দিকে মনোনিবেশ করা উচিত। অর্থাৎ, ম্যানেজমেন্টকে অবশ্যই সাইবার সিকিউরিটি টিমের সাথে অংশীদারিত্ব করতে হবে যাতে অ্যাক্সেসের আশেপাশে সতর্কতা বাড়ানো যায়, সাপ্লাই চেইন এবং তৃতীয় পক্ষের ঝুঁকি নিয়ে পুনর্বিবেচনা করা যায়, ক্লাউড সিকিউরিটি স্কিল সেট ডেভেলপ করা যায়, এআই এবং এমএল টুলস লিভারেজ করা যায় এবং ইন্টারেক্টিভ কর্মচারী প্রশিক্ষণ বাড়ানো যায়। গ্রাহকদের জন্য নিরাপদ পরিবেশ তৈরি করা ব্যবসাগুলিকে একটি প্রতিযোগিতামূলক সুবিধা দেয় এবং তাদের বর্তমান এবং ভবিষ্যত গ্রাহকদের সাথে বিশ্বাস ও আনুগত্য তৈরি করে৷