آپ کے چھوٹے کاروبار کو ابھی سائبرسیکیوریٹی اقدامات کرنا چاہئے

قومی چھوٹے بزنس ہفتہ کا آغاز ہورہا ہے ، اور چھوٹے چھوٹے کاروباروں (ایس ایم بی) کے لئے سائبر سکیورٹی کے لئے انتہائی خوشگوار اور اب تک کے ایک اہم مسئلے کو حل کرنے میں تہواروں کو زیادہ دیر نہیں لگے۔ سمال بزنس ایڈمنسٹریشن (ایس بی اے) امریکی حکومت کی ایجنسی ہے جو ٹھوس مدد ، تربیت ، اور سفارشات فراہم کرنے کے لئے وقف ہے جو چھوٹے کاروبار اپنے روز مرہ کے کاموں میں فورا. عملی طور پر لاسکتے ہیں۔ اس مقصد کے لئے ، اسکائی سیکیورٹی کے رجحانات کو پیش کرنے کے بجائے ، آج کے ایس بی اے سائبرسیکیوریٹی پینل نے ایس ایم بیز کو ٹھوس اشارے ، وسائل ، اور وہ حفاظتی نقصانات کو کم کرنے اور ایک جامع حفاظتی حکمت عملی کو عملی جامہ پہنانے کے لئے اقدامات کرسکتے ہیں۔

ایس بی اے کے ڈپٹی ایڈمنسٹریٹر ڈوگ کریمر نے سیکیورٹی ماہرین کے پینل کو معتدل کیا کیونکہ انہوں نے چھوٹے کاروباروں کو درپیش سب سے بڑے حفاظتی خطرات ، اور ان کے بنیادی ڈھانچے اور ڈیٹا ، کلاؤڈ بیسڈ یا جسمانی حفاظت کے ل take سب سے اہم اقدامات پر تبادلہ خیال کیا۔ پینل میں اے ڈی پی میں گلوبل ٹرسٹ ایشورنس کے نائب صدر بل او کونل شامل تھے۔ اسٹیفن کوب ، ای ایس ای ٹی شمالی امریکہ کے سینئر سیکیورٹی محقق؛ میٹ لٹلٹن ، مائیکرو سافٹ میں سائبرسیکیوریٹی ایزور انفراسٹرکچر سروسز کے ایسٹ ریجنل ڈائریکٹر۔ اور پیٹریسیا (پیٹ) ٹوتھ ، نیشنل انسٹی ٹیوٹ آف اسٹینڈرڈز اینڈ ٹکنالوجی (این آئی ایس ٹی) کے کمپیوٹر سیکیورٹی ڈویژن میں سوپروائزری کمپیوٹر سائنسدان۔

پینلسٹ نے سائبر سکیورٹی کے امور کے بارے میں بات کی جو فشنگ ، رینسم ویئر سے لے کر ، اور کس طرح اس چھوٹے چھوٹے کاروباروں کو ملٹی فیکٹر تصدیق (ایم ایف اے) ، ملازمین کی حفاظت کی تربیت اور پالیسیوں سے رجوع کرنا چاہئے ، ایک منظم سروس پرووائڈر (ایم ایس پی) معاہدہ میں کیا دیکھنا ہے ، اس پر قابو پایا جائے۔ اور جب آئی ٹی سیکیورٹی کنسلٹنٹ کو فون کرنا ہے۔

کرامر کے مطابق ، یہ صرف ملازم اور کسٹمر کریڈٹ کارڈ اور بینکاری سے متعلق معلومات کے بارے میں نہیں ہے ، بلکہ املاک کے دانشورانہ کاروبار کے ای میل سے لے کر کلاؤڈ اسٹوریج تک ، اور حملے کی سطحیں جو ہر چھوٹے کاروبار کو کمزور ربط اور آسان ہدف بنا سکتی ہیں سپلائی چین ایس بی اے کے مطابق ، کرمر نے کہا ، تمام چھوٹے چھوٹے کاروبار میں سے نصف سائبر کرائم کے ذریعہ کسی حد تک شکار ہوچکے ہیں ، اور حملے کی اوسط لاگت لگ بھگ ،000 21،000 ہے۔

ایس بی اے کے کرمر نے پینل کی حیثیت سے ریمارکس دیئے ، "جو بھی چھوٹا کاروبار شروع کر رہا ہے وہ سائبر سیکیورٹی چیلنج سے نمٹنے کے لئے اضافی وقت اور رقم کے بغیر ، اپنی محنت سے کام کر رہا ہے۔" شروع ہوا۔ "سائبر دخل اندازی اور چوری کا خطرہ بہت حقیقی ہے۔ چھوٹے کاروبار مختلف طریقوں سے اثاثوں اور انوینٹری کی پیمائش کرتے ہیں ، لیکن وہ معلومات کے خزانے پر بیٹھ جاتے ہیں۔"

1. کلاؤڈ سیکیورٹی: کیا اور کیا نہیں

سرمایہ کاری مؤثر اور سہولت سے متعلق وجوہات کی بناء پر ، تمام ایس ایم بیوں کو بادل میں منتقلی کرنے پر غور کرنے کی ضرورت ہے ، لیکن منتقلی کو احتیاط سے انجام دینے کی ضرورت ہے۔ پینلسٹ نے کچھ انتہائی اہم امور اور رکاوٹوں پر تبادلہ خیال کیا۔

• کریں: بڑھتی ہوئی کلاؤڈ بیک اپ

  ای ایس ای ٹی کے کوب نے کہا ، "بادل کے بہت سے فوائد اور خطرات ہیں ، لیکن ایک چیز جو ایس ایم بی کو کرنا چاہئے وہ بیک اپ ہے۔" "تمام فائلوں کا موجودہ بیک اپ رینسم ویئر کے خلاف بہترین تحفظ اور آپ کی سائبرسیکیوریٹی کرنسی اور دفاع کا ایک اہم حصہ ہے۔ آپ کو ابھی بھی ایک ہارڈ ڈرائیو میں واپس جانا چاہئے اور کسی کاپی کو کسی اور جگہ محفوظ رکھنا چاہئے ، لیکن بادل آپ کو بیک اپ کرنے دیتا ہے۔ "

• کریں: پریمیم کلاؤڈ سیکیورٹی کے لئے ادائیگی کریں

  اے ڈی پی کے او کونل نے کہا ، "چھوٹے کاروباری مالکان قیمت سے باخبر ہیں ، لیکن دوسرے عوامل کو وزن کی صحیح مقدار حاصل کرنے کی ضرورت ہے۔" "اعلی چیز کی اعلی خدمت کے ل Some کچھ چیزوں پر زیادہ پیسہ خرچ کرنا چاہئے اور سیکیورٹی ان چیزوں میں سے ایک ہے۔ قیمت کے لحاظ سے کوئی فیصلہ نہ کریں۔"

• مت کریں: صرف MSP معاہدے پر دستخط کریں

  "وہ معاہدہ چیک کریں ،" ای ایس ای ٹی کے کوب نے کہا۔ "آپ اسٹوریج یا بیک اپ کو آؤٹ سورس کرسکتے ہیں ، لیکن آپ ذمہ داری کو آؤٹ سورس نہیں کرسکتے۔ اگر ایس ایم بی کے مالک کا کہنا ہے کہ آئی ٹی فراہم کنندہ کے پاس تمام صارف اور ملازم کا ڈیٹا ہے - آپ کا ڈیٹا - تو آپ ابھی بھی ذمہ دار ہیں۔"

  
  اے ڈی پی کے او کانل نے مزید کہا ، "جب بات صرف معاہدہ ہی نہیں بلکہ اعداد و شمار کی ہوتی ہے تو اپنی تحقیق کریں تاکہ معلوم ہو کہ سیکیورٹی کے معاملات بھی موجود ہیں یا نہیں۔" "ایس ایم بی کے ل the ، معاہدہ اس دفاعی لائن کا ایک اچھا حصہ ہے۔ ایس ایل اے کو دیکھیں اور اعداد و شمار کی اعلی درجے کی پالیسیاں دیکھیں۔ ایم ایس پیز ڈیٹا کو کب تک برقرار رکھتا ہے؟ وہ اس کے ساتھ کیا کرتے ہیں؟"

• مت کریں: غیر استعمال شدہ ایم ایس پی انفراسٹرکچر کی خصوصیات چھوڑیں

  مائیکرو سافٹ نے کہا ، "اگر آپ بادل کے ماحول میں قدم رکھتے ہیں تو آپ اس میں سے کچھ ذمہ داری کو تبدیل کر سکتے ہیں۔ اب ہم کسی پلیٹ فارم کے میدان میں نہیں ہیں جہاں آپ کو کسی مسئلے کا جواب دینے یا کسی سرور کو پیچ کرنے کے لئے عملہ نہ رکھنے سے پریشان ہونا پڑے گا۔" لٹلٹن۔ "اسی جگہ پر خدمت فراہم کرنے والا آپ کی طرف سے قدم اٹھا سکتا ہے اور اسے سنبھال سکتا ہے۔ آپ کو سمجھنے کی ضرورت ہے کہ آپ معاہدہ کے نقطہ نظر سے کیا حاصل کر رہے ہیں اور کلاؤڈ فراہم کنندہ کیا خدمات پیش کر رہا ہے۔"

2. ملٹی فیکٹر کی توثیق: بس کرو

مائیکرو سافٹ کے لٹلٹن نے کہا ، "ذاتی اور کاروباری دونوں نقطہ نظر سے ، ایم ایف اے کچھ ایسا ہے جو آپ فوری طور پر کرسکتے ہیں۔ کاروباروں کے پاس ابھی تک ایسا کرنے کا کوئی عذر نہیں ہے۔" "یہ پورے مائیکرو سافٹ پروڈکٹ اسٹیک کے ساتھ آسان ہے۔ گوگل ، یاہو کے بارے میں بھی یہی بات ہے ، آپ ای میل فراہم کنندہ کا نام دیتے ہیں۔ اپنی سکیورٹی کی ترتیبات کو دیکھیں اور ہر ملازم کو اپنے موبائل فون نمبر کو دوسرے عنصر کے طور پر داخل کرنے کی ضرورت ہے۔ پھر بھی ، اگر میں ہوں تو حملہ آور اور میں آپ کا پاس ورڈ چوری کرتا ہوں ، میں اس وقت تک استعمال نہیں کر سکتا جب تک میں آپ کا سیل فون چوری نہ کروں اور PIN کو نہیں جانتا ہوں۔ "

an. جب آئی ٹی سیکیورٹی کنسلٹنٹ کو فون کریں

اے ڈی پی کے او کانل نے کہا ، "ایسی چھوٹی چیزیں ہوں گی جو آپ ایک چھوٹے کاروبار کے مالک کی حیثیت سے تنہا نہیں کرسکتے ہیں۔" "بہت اہم معاہدوں کے ل you ، آپ کو قانونی مشورے سے باہر ملتا ہے۔ سالانہ اور سہ ماہی مالی معاملات کے ل you ، آپ کے پاس ایک اکاؤنٹنٹ ہوتا ہے۔ سیکیورٹی کی مہارت بھی حاصل ہوتی ہے۔ جب آپ کو یہ یقینی بنانے کے لئے کسی سائٹ کی جانچ پڑتال کرنے کی ضرورت ہوتی ہے کہ یہ ویب محفوظ ہے ، یا کسی خطرے کی تشخیص کرواتا ہے ، اگر آپ کو خود کرنے کی مہارت نہیں ہے تو یہ رقم نے اچھی طرح خرچ کیا۔ آپ خود عمارت میں بجلی یا پلمبنگ نہیں کر رہے ہیں۔ یہ جاننے کے بارے میں کہ آپ کو مدد کی ضرورت کب ہے۔ "

Security. سلامتی ہر ایک کے کام کا ایک حصہ ہے

این آئی ایس ٹی کے توت نے کہا ، "آپ صرف دس افراد کی کمپنی میں صرف ایک شخص پر بھروسہ نہیں کرسکتے ہیں everyone ہر ایک کو سائبر سیکیورٹی کے بارے میں اچھی طرح سے سمجھنے کی ضرورت ہے اور اس تنظیم کے لئے کیا خطرات ہیں۔" "اگر وہ ایسا نہیں کرتے ہیں تو ، اگر اس میں کوئی خطرہ ہے اور کاروبار ٹھیک نہیں ہوسکتا ہے تو ان کی ملازمت خطرے میں پڑ سکتی ہے۔"

اے ڈی پی کے او کانل نے مزید کہا ، "سلامتی کو ہر فرد کے کام کا ایک حصہ بنائیں۔" "وہ شخص جو مالی چلاتا ہے۔ اسے ہر روز کیا کرنے کی ضرورت ہے؟ جسمانی طور پر ، کون ہے جو رات کے وقت دروازہ لاک کرتا ہے؟ ہر ایک کو اجزاء کو جاننے کی ضرورت ہوتی ہے اور کس طرح اس کا کردار کاروبار کی سکیورٹی میں فٹ بیٹھتا ہے۔"

5. کمزور سپلائی چین لنک نہ بنیں

جیسا کہ ایس بی اے کے کرمر نے وضاحت کی ، ایس ایم بی اور کاروباری اداروں کے مابین اب کوئی تفریق نہیں ہے۔ چھوٹے کاروبار یا تو بڑھنا چاہتے ہیں اور پیمانے چاہتے ہیں ، یا وہ سافٹ ویئر اور خدمات کے ل enter انٹرپرائز سپلائی چین میں داخل ہو رہے ہیں۔ مسئلہ یہ ہے کہ ، ایس ایم بی کی سکیورٹی پالیسیاں کسی سپلائی چین کمپنی کے برابر نہیں ہوسکتی ہیں جس کے ساتھ وہ شراکت کے خواہاں ہیں۔

ای ایس ای ٹی کے کوب نے کہا ، "جب کسی ایس ایم بی کا کسی بڑی کمپنی کے ساتھ پہلا بڑا معاہدہ ہو رہا ہے اور وہ آپ کی سیکیورٹی کی پالیسیاں اور آگاہی پروگرام دیکھنے کو کہتے ہیں تو ، آپ کو چیک لسٹ سے دور ہر چیز کی جانچ پڑتال کرنے کے لئے گھبرانا نہیں چاہئے۔" "سپلائی چین کا خطرہ اوپر اور نیچے ہونا ایک بہت بڑا تشویش ہے۔ اگر کوئی ایس ایم بی کسی سپلائر کے ساتھ ڈیجیٹل طور پر بات چیت کررہا ہے تو ، ان کو چیک کریں۔ آپ کو حفاظتی پالیسیاں اور تربیت رکھنے کی ضرورت ہے تاکہ یہ رکاوٹ نہ بنے۔"

مائیکرو سافٹ کے لٹلٹن نے کہا ، "سائبر میدان میں کسی بھی کاروبار کو نشانہ بنانے کے لئے اتنا چھوٹا نہیں ہے ، خاص طور پر سپلائی چین مینجمنٹ سے۔" "بہت ساری خلاف ورزییں شروع سے نہیں ہوتی ہیں۔ وہ سپلائی چین میں کہیں سے شروع ہوتی ہیں اور حملہ آور حتمی ہدف تک پہنچ جاتے ہیں۔"

این آئی ایس ٹیٹ نے اگلے دو سالوں میں کہا ، آپ دیکھیں گے کہ سرکاری ادارے سپلائی چین سسٹم تک رسائی کے قواعد شائع کرنا شروع کردیں گے۔ اس دوران ، انہوں نے کہا کہ ایس ایم بیوں کو اپنی جگہ پر کوئی منصوبہ بندی کرنے کی ضرورت ہے۔

نیسٹ کے توت نے کہا ، "منصوبہ بندی کرنا یہ جاننے کے لئے انمول ہے کہ واقعی کیا اہم ہے؛ وہ ایک چیز جس کی آپ کو حفاظت کرنی ہوگی ، اور اگر آپ کا کاروبار قابل رسا نہیں ہوتا تو وہ کیسے چل پائے گا۔" "ایس ایم بیوں کو اپنی جگہ پر منصوبے ، پالیسیاں ، اور طریقہ کار رکھنے کی ضرورت ہے۔ کوئی بڑا حکومتی نقطہ نظر نہیں your یہ اتنا ہی آسان ہوسکتا ہے کہ آپ کے ملازم ہینڈ بک میں یہ کہا جاسکے کہ وہ انٹرنیٹ پر کیا کرسکتے ہیں اور کیا نہیں کرسکتے ہیں ، فشینگ اٹیک کو کیسے دیکھا جائے۔ ، اور لنکس اور اٹیچمنٹ کو کب اور نہ کھولیں۔

6. ای میل کو کسی پوسٹ کارڈ کی طرح سلوک کریں ، لفافہ نہیں

ای ایس ای ٹی کے کوب نے کہا ، "ای میل کے ساتھ ایک چھوٹے کاروبار کے طور پر سب سے پہلے کام کرنے کے بارے میں یہ سوچنا ہے کہ اس میں کیا ہے۔ اگر میں کسی کی کمپنی کی معلومات کو ہیک کرنے جا رہا ہوں تو ، ان کے ای میل میں اکثر تمام اچھی چیزیں موجود ہوتی ہیں۔" "لوگ اکثر یہ نہیں سوچتے کہ وہ وہاں کیا چھوڑ رہے ہیں۔ سونی ہیک پر نظر ڈالیں people لوگ ای میل پر ایسی باتیں کہہ رہے تھے کہ انہیں نہیں ہونا چاہئے تھا۔ ای میل پوسٹ کارڈ ہے ، مہر بند لفافہ نہیں ہے۔ اس بات کو ذہن میں رکھیں۔ "

مائیکرو سافٹ کے لٹلٹن نے کہا ، "یہ اعداد و شمار پر قابو پانے کی صلاحیت کے بارے میں بھی زیادہ ہوتا جارہا ہے۔ "انباؤنڈ فلٹرنگ والی ایک انکرپٹڈ ای میل سروس کو استعمال کرنے کے لئے یہ رقم کے قابل ہوسکتی ہے جو آپ کے حملے کی سطح کو کم کردیتی ہے۔ اگر آپ نے اپنا کریڈٹ کارڈ نمبر کسی ای میل میں چھوڑ دیا ہے تو ، سروس یہ پوچھے گی کہ کیا آپ واقعی یہ بھیجنا چاہتے ہیں ، اور پھر خود بخود خفیہ کاری نہیں کریں گے۔ صرف نمبر لیکن پوری ای میل۔ جیسے جیسے صنعت ترقی کرتی جارہی ہے ، یہ خدمات زیادہ معقول اور عام ہوتی جارہی ہیں۔ "

7. ہمیشہ واقعات کی اطلاع دیں

ایس بی اے کے کرامر نے وضاحت کی کہ ، جب کسی چھوٹے کاروبار کی خلاف ورزی ہوتی ہے یا فشنگ اسکینڈل یا رینسم ویئر کی درخواست سے متاثر ہوتا ہے تو ، انہیں یہ جاننے کی ضرورت ہوتی ہے کہ کس کو فون کرنا ہے۔ ای ایس ای ٹی کے کوب نے کہا کہ اگر قانون نافذ کرنے والے ذرائع کے پاس تفتیش کے وسائل نہ ہونے کے خوف سے چھوٹے کاروبار پولیس میں اس کی اطلاع نہیں دیتے ہیں تو یہ سائیکل برقرار رہے گا۔

ای ایس ای ٹی کے کوب نے کہا ، "ہمارے پاس ایک بدقسمتی کا دور ہے جہاں قانون نافذ کرنے والے اداروں کو اطلاع دی گئی جرائم کی بنیاد پر مالی اعانت ملتی ہے ، لیکن لوگ جرائم کی اطلاع نہیں دے رہے ہیں کیونکہ وہ نہیں سوچتے کہ پولیس کے پاس وسائل موجود ہیں۔" اگر کوئی اطلاع نہیں دیتا ہے تو ، پولیس کو کبھی بھی ان سائبر کرائم معاملات کو حل کرنے کے لئے وسائل سے لیس کرنے کا ثبوت نہیں ملے گا۔ "

"زیادہ تر میونسپلٹیوں میں سائبر کرائم یونٹ ہیں اور وہ جواب دیں گے۔"

8. جگہ جگہ واقعی جوابی منصوبہ بنائیں

مائیکرو سافٹ کے لٹلٹن نے کہا ، "آپ کسی حادثے کے درمیان اپنی سیٹ بیلٹ لگانے کی کوشش نہیں کرتے ہیں۔ "آپ کو اس طرح کی منصوبہ بندی کی ضرورت ہے جس کی خلاف ورزی ہونے سے پہلے آپ اس کا کیا جواب دیں گے۔"

ای ایس ای ٹی کے کوب نے کہا ، "آپ بھی اس میں مکمل طور پر تنہا نہیں ہیں۔" "آپ جو سیکیورٹی سروسز خریدتے ہیں وہ بادل میں یا سپلائی چین تک رسائی میں اضافے سے تحفظ کے ساتھ آتی ہے۔ وہ ایک بنیادی سطح پر پتہ لگانے اور روک تھام کی خدمات فراہم کر سکتے ہیں۔ جب اپنا منصوبہ تیار کرتے ہو تو یہ یقینی بنائیں کہ آپ سیکیورٹی خدمات نہیں چھوڑ رہے ہیں۔ آپ کے ایم ایس پی یا سیکیورٹی سروس کے ذریعہ پیش کردہ میز پر۔ "

9. ڈھیلا ختم نہ چھوڑیں

ای ایس ای ٹی کے کوب نے کہا ، "ایک مشکل مسئلہ جو ہم دیکھتے ہیں - اگر اور جب کوئی ملازم رخصت ہوتا ہے یا برطرف کردیا جاتا ہے تو ، ان کے نظام تک رسائی فوری طور پر ختم نہیں کی جاتی ہے۔" "چھوٹے کاروبار ان لوگوں کے ساتھ کام کرتے ہیں جن پر وہ اعتماد کرتے ہیں ، اور بہت سارے لوگ آتے اور جاتے ہیں۔ بعض اوقات وہ انتہائی خوشگوار حالات میں نہیں گزرتے ہیں۔ اگر کسی سابقہ ​​ملازم کے پاس ابھی تک رسائی ہے یا پھر بھی ان کی ملٹی فیکٹر توثیق چالو ہے ، تو اندرونی سلامتی کا ایک بڑا مسئلہ جس کا ازالہ کرنا مشکل سے آسان ہے۔ "

10۔حکومتی وسائل اور تربیت

سائبرسیکیوریٹی سے نمٹنے کے لئے حکومت بڑے اقدامات کررہی ہے۔ وائٹ ہاؤس نے اس سال کے شروع میں سائبرسیکیوریٹی فریم ورک جاری کیا ، اور صدر اوباما کی 2017 کے بجٹ کی تجویز نے سائبر سیکیورٹی حملوں سے نمٹنے کے لئے مالی اعانت ((19 بلین) میں 35 فیصد اضافے کی کوشش کی ہے۔ ایس بی اے کے کرمر اور این آئی ایس ٹی ٹوت نے آزاد سرکاری وسائل جیسے ایس بی بی کے سائبر سیکیورٹی وسائل کا مکمل صفحہ بشمول سائبر سکیورٹی کے نکات اور اوزار ، کورسز ، ٹریننگز ، اور ویبنارس سمیت آزاد سرکاری وسائل کی طرف اشارہ کیا۔

کچھ انتہائی مفید وسائل یہ ہیں:

• ایس بی اے کے ٹاپ 10 سائبرسیکیوریٹی ٹپس
• ایس بی اے آن لائن کورس: چھوٹے کاروباروں کے لئے سائبر سیکیورٹی
• سائبر لچک کا جائزہ (CRR) تشخیص کا آلہ
• سمال بز سائبر پلانر
• ایس بی اے ، این آئی ایس ٹی ، اور ایف بی آئی کی مشترکہ سمال بزنس ورکشاپس
• ایس بی اے کا یوٹیوب چینل
• NIST کا کمپیوٹر سیکیورٹی ریسورس سینٹر
• ایم ایس پی سیکیورٹی پروٹوکول سیکھنے کے لئے COMPTIA کے سرٹیفیکیشن اور تعلیمی پروگرام