صنعت کی بصیرت: آپ کا پسندیدہ گیمنگ کی بورڈ پورے کاروبار کو کس طرح گرا سکتا ہے

اس ماہ کے شروع میں ، دنیا میں WannaCry تاوان کے حملے سے 300،000 سے زیادہ ونڈوز پی سی متاثر ہوئے تھے۔ رینسم ویئر کے تناؤ نے مطالبہ کیا ہے کہ متاثرہ کاروبار اور افراد ہر مشین کو غیر مقفل کرنے کے لئے $ 300 کی ادائیگی کریں. نیز ان کے آلات پر موجود ڈیٹا کو بھی۔ اگرچہ واناکری کو جلدی ناکام بنا دیا گیا ، لیکن اس سے بھی زیادہ بڑے ، خوفناک اور نامعلوم خطرات لاحق ہیں جو آپ کے کاروبار کو بڑے پیمانے پر نقصان پہنچا سکتے ہیں۔

آپ نے اپنے کاروبار اور اپنے آپ کو کیسے بچا سکتے ہیں اس کے بارے میں شاید درجنوں مضامین پڑھے ہوں گے ، اور اپنی کمپنی کو محفوظ رکھنے کے ل you've آپ نے ممکنہ طور پر اینڈپوائنٹ پروٹیکشن سافٹ ویئر کی مدد کی ہے۔ لیکن کیا آپ جانتے ہیں کہ آپ کے نیٹ ورک میں پلگ جانے والے انتہائی متضاد آلات بھی ہیکرز کو آپ کے کاروبار کو بڑے پیمانے پر نقصان پہنچا سکتے ہیں۔

میں نے سیپیو سسٹمز کے شریک سی ای او یوسی ایپل بوم سے بات کی ، اس بارے میں کہ آپ کو مالیاتی خدمات کی صنعت میں بڑے پیمانے پر حملوں کے بارے میں کیا جاننے کی ضرورت ہے ، چھوٹی مالیاتی خدمات کی کمپنیوں کو تیار رہنے کے ل to کیا کام کرنے کی ضرورت ہے ، اور چوہوں اور کی بورڈ جیسے پردیی کیوں ہوسکتے ہیں اپنے کاروبار کے لئے ایک بڑا خطرہ بنیں۔

پی سی میگ: کسی معاشی ادارے میں ہیکنگ کرنے والے کسی فرد یا کسی گروہ کے معاملے میں بدترین صورت حال ، ڈراؤنے خوابوں کا منظر کیا ہے؟

یوسی ایپل بوم (YA): جب بھی اعداد و شمار پر سمجھوتہ کیا جاتا ہے تو ، یہ ایک ڈراؤنے خواب ہے ، خاص طور پر جب مالیاتی اداروں کی بات کی جائے۔ کسی اسٹیک ہولڈر کی ملکیتی مالی معلومات پر قابو پانا اعداد و شمار کی سالمیت اور کھیل میں مالیاتی جلد رکھنے والے اسٹیک ہولڈرز کی ممکنہ معاش کو خطرہ بناتا ہے ، اس خیال میں اس بات کی جڑیں ہیں کہ ان کا ڈیٹا ہمیشہ محفوظ رہے گا۔ اہم بات یہ ہے کہ ، مالیات کے نقطہ نظر سے ، اس معلومات کا ایک رساو تنظیم کے ماضی ، حال اور مستقبل کو مضبوط کرنے والے انتظامی تعلقات کو خطرہ بناتا ہے۔

ڈیٹا لیکیج خاص طور پر خوفناک ہے کیوں کہ اس کی خلاف ورزی اور اس سے وابستہ خطرے کے دائرہ کار کے بارے میں فوری طور پر کوئی واضح اشارے موجود نہیں ہوتے ہیں۔ یہ اتنا ہی چھوٹا ہوسکتا ہے جتنا کہ سنگل اکاؤنٹ کے ریکارڈوں کی وسیع پیمانے پر ڈیٹا بیس کی وسیع پیمانے پر چوری ، جیسے پانامان کی ایک لا فرم میں اعداد و شمار کی خلاف ورزی ، جس میں گیارہ ملین سے زیادہ ملکیتی دستاویزات کو لیک کیا گیا تھا۔

مالیاتی اداروں کے چیف انفارمیشن سیکیورٹی آفیسرز (سی آئی ایس او) ڈیٹا لیکیج کے خطرات سے بخوبی واقف ہیں اور ان کو سائبر کے خطرات کی لامتناہی فہرست میں ہمیشہ ترجیح دیں گے۔ عالمی مالیاتی ادارے کثیر الجہتی ڈیٹا نقصان کی روک تھام (ڈی ایل پی) نظاموں کی تعمیر میں سالانہ لاکھوں ڈالر خرچ کر رہے ہیں۔ بہت سے سی آئی ایس اوز توڑ پزیر نظام بنانے میں کامیاب ہیں جو عام سائبر حملوں سے بھی محفوظ رکھتے ہیں۔ مساوات کے دوسری طرف ، برے اداکار حملوں کی پیچیدگی میں اس بار کو بڑھا رہے ہیں ، اور بینکوں جیسے شہری اہداف کے خلاف سرکاری سائبر ہتھیاروں کو لیکر فائدہ اٹھا رہے ہیں۔

مجرمان اسٹریٹجک سائبر ہتھیاروں کا استعمال کر رہے ہیں۔ اس میں جوڑ توڑ ، روزانہ ہارڈ ویئر جیسے کی بورڈز اور دیگر انسانی انٹرفیس ڈیوائسز (HID) شامل ہیں ۔جس میں تجارتی اہداف ہیں۔ مسئلہ یہ ہے کہ یہ سائبر اٹیک ٹولس سسٹم میں موجود ہوسکتے ہیں جو موجودہ سائبر ڈیفنس ٹولز کے ذریعہ مکمل طور پر نہیں پائے گئے۔ یہ شاید اعداد و شمار کی جاسوسی کی سب سے خوفناک اور خطرناک شکل ہے: ناقابل شناخت آلات جو ریڈار کے نیچے سے معلومات نکال رہے ہیں۔

ایک بار پھل جانے کے بعد "پھلیاں اتارنے" کا کوئی طریقہ نہیں ہے۔ ایک بار جب ڈیٹا لیک ہوجاتا ہے ، تو اسے تعصب سے محفوظ نہیں کیا جاسکتا۔ لہذا ، ڈیٹا منیجرز اور سی آئی ایس اوز کو ہائپر چوکس رہنا چاہئے اور اپنے اختیار میں ہر چیز کو یقینی بنانا ہے تاکہ یہ یقینی بنایا جاسکے کہ تمام ویکٹروں کو ہر وقت سخت مہر لگایا جاتا ہے ، جس میں سسٹم میں ہر ممکنہ رسائی نقطہ شامل ہوتا ہے۔

پی سی میگ: اس معاملے میں جو پہلے ہی ہوا ہے ، ملک میں بدترین مالی خدمات کی خلاف ورزی کیا ہے اور یہ کیسے ہوا؟

YA: "بدترین" انحصار کرتا ہے جس پر آپ کہتے ہیں۔ مالیاتی ادارے کے نقطہ نظر سے ، 2014 جے پی مورگن چیس کی خلاف ورزی جیسی بڑی خلاف ورزیوں کا ذہن میں آجاتا ہے ، جب سائبر حملے نے اس کے اسٹیک ہولڈرز کے بڑے نیٹ ورک میں 76 ملین گھرانوں اور 7 ملین چھوٹے کاروبار کو متاثر کیا۔

تاہم ، کسی فرد گاہک کے نقطہ نظر سے ، بدترین خلاف ورزی وہ ہے جس نے مستقل طور پر اپنی زندگی اور مالی تحفظ کا احساس بدل دیا۔ یہ یاد رکھنا ایک سب سے اہم چیز ہے: سائبر حملہ آوروں کے خلاف ناکافی تحفظ ناقابل تلافی لوگوں کی زندگیوں کو تباہ کر سکتا ہے جو آپ کے اعداد و شمار کو محفوظ رکھنے کے ساتھ ساتھ پورے ادارے کی اعتماد اور ساکھ پر انحصار کرتے ہیں۔

یہ بتانا بھی قابل ذکر ہے کہ ہم نے جو معاشی طور پر بہت ساری خرابی دیکھی ہے وہ کل کے بحران ہیں۔ یقینی طور پر ، بہت سے سمجھوتہ کرنے والے سائبر حملوں نے کسی نیٹ ورک سے معلومات تک رسائی حاصل کرنے اور نکالنے کے ل mal مالویئر کی کچھ شکلیں استعمال کیں ہیں۔ لیکن عام طور پر عام طور پر عام کی جانے والی خلاف ورزیوں کا ایک مشترکہ عنصر یہ ہے کہ کسی نے انہیں دریافت کیا ہے۔ ابھی دریافت شدہ لیک جو فعال طور پر ڈیٹا نکال رہے ہیں وہ ڈیٹا کی حفاظت کے لئے سب سے بڑا خطرہ ہے۔

ہمارے ایک گاہک ، ایک بین الاقوامی بینک ، نے اپنے نیٹ ورک سے منسلک ایک چھوٹا سا ہارڈ ویئر ڈیوائس ملا جس کو ڈیسک کے نیچے پوشیدہ رکھا گیا ہے۔ یہ آلہ نیٹ ورک سے منسلک تھا۔ تاہم ، سائبر سیکیورٹی ٹیم اسے نہیں دیکھ سکی۔ موجودہ ٹولز میں سے کسی نے بھی اسے محسوس نہیں کیا اور نہ ہی اس کے وجود کا پتہ لگایا ، لیکن یہ وہاں موجود تھا ، سیلولر کنکشن کے ذریعے دور دراز مقام پر ڈیٹا بھیجنا۔ نامعلوم وقت اور اعداد و شمار کی ایک نامعلوم مدت کے لئے سمجھوتہ کیا گیا تھا اور کسی کو بھی اس کے بارے میں معلوم نہیں تھا۔ اس حیرت انگیز دریافت کے ایک سال بعد آج بھی سکیورٹی افسران کو اس بارے میں تقریبا کچھ پتہ نہیں ہے کہ آلہ کس نے لگایا اور کتنا ڈیٹا لیا گیا۔

اگلا عظیم حملہ کرنے والا ویکٹر گھوسٹ ہارڈ ویئر ڈیوائسز سے آئے گا۔ یہی وجہ ہے کہ ہم ان حملوں کا پتہ لگانے اور ان کے تخفیف کے لئے تندہی سے کام کر رہے ہیں۔

پی سی میگ: چھوٹی مالیاتی خدمات انجام دینے والی کمپنیوں کے لئے ، دھمکیوں ، انٹری پوائنٹس اور عام غلطیوں کے معاملے میں ان کا کیا نظریہ ہونا چاہئے؟

YA: چھوٹے مالیاتی ادارے ، بہت سے معاملات میں ، بڑے اداروں سے کہیں زیادہ خطرے میں ہیں۔ زیادہ تر معاملات میں ، ان کے پاس سیکیورٹی کی ایک بڑی ٹیم نہیں ہے اور ان کے سائبر سیکیورٹی سسٹم کم نفیس ہیں۔ ہم نے کچھ معاملات میں ، چھوٹے سائز کی مالی خدمات انجام دینے والی کمپنیوں کا مشاہدہ کیا ہے جو اپنے ڈیجیٹل اثاثوں کو محفوظ بنانے کے لئے پانچ سالہ فائر وال اور تین سالہ اینٹی وائرس سافٹ ویئر استعمال کررہی ہیں۔ یہ کمپنی ریاستہائے متحدہ میں سب سے بڑے ذاتی اکاؤنٹس میں سے کچھ کی سرمایہ کاری کا انتظام کر رہی تھی۔

یہ مفروضہ کہ ایک چھوٹے سائز کے مالیاتی ادارے چھوٹے رسک کے برابر ہیں ، بالکل پیچھے کی طرف۔ کئی ارب ڈالر کا انتظام کرنے والا ہیج فنڈ عام طور پر ایک بہت چھوٹی کمپنی ہے۔ بڑے نجی ذاتی مالیاتی اکاؤنٹس کا انتظام کرنے والا ایک فیملی آفس بھی اتنا ہی چھوٹا ہے ، جیسا کہ پاناما میں قانون ساز کمپنی کے لئے بھی سچ ہے جس میں عالمی سطح کے اعلی رہنماؤں کے مالی راز تھے۔ مذکورہ بالا میں سے سب کی خلاف ورزی ہوچکی ہے ، اور زیادہ تر لوگوں کو بہت لمبے عرصے سے اس خلاف ورزی کا علم نہیں تھا۔ کچھ اب بھی اس سے واقف نہیں ہیں۔

ان چھوٹی کمپنیوں کے منیجر بہت سارے معاملات میں نہیں جانتے کہ وہ جو خطرہ مول لے رہے ہیں ، ان کی کمپنیوں کو ممکنہ نقصان ، اور ، سب سے اہم بات ، ان کے صارفین کو ممکنہ نقصان۔ بہت ساری کمپنیوں کا خیال ہے کہ ان کا سب سے اوپر والا سافٹ ویئر دفاعی حل حقیقی وقت کی نگرانی اور پیش گوئی کرنے والے تجزیات کے ذریعہ سسٹم کی واٹر ٹائٹ مہر فراہم کرسکتا ہے۔ یہ سافٹ ویئر کی طرف سچ ہوسکتا ہے ، لیکن عام سی آئی ایس او جس چیز کو تسلیم کرنے میں ناکام ہوسکتا ہے وہ یہ ہے کہ ایک برے اداکار نے ہارڈ ویئر کے انفراسٹرکچر میں براہ راست ایک نالی بنائی ہے جہاں اعداد و شمار برسوں سے بہا رہے ہیں۔ کوئی بھی ڈیٹا منیجر یا سائبر سیکیورٹی پیشہ ور آپ کو کمزوریوں سے بچانے کے لئے سب سے اہم جگہ بتائے گا آپ کے موجودہ انفرااسٹرکچر کو سمجھنا۔ اس کا مطلب ہے کہ آپ کے نیٹ ورک سے منسلک چیزوں پر مضبوط گرفت حاصل کریں۔

سب سے اہم بات یاد رکھنے کی بات یہ ہے کہ ڈیٹا تک جانے والا کوئی بھی راستہ ایک ممکنہ ذمہ داری ہے۔ اس سے کوئی فرق نہیں پڑتا ہے کہ مالیاتی خدمات کی کمپنی کس قدر سائز کا ہے ، ضروری احتیاطی تدابیر اختیار کرنا اور سسٹم میں آلات کی انوینٹری لینے سے آپ کو ڈیٹا کو محفوظ رکھنے میں آپ کی نمائش کو محدود کرنے میں مدد مل سکتی ہے۔

پی سی میگ: آپ عام طور پر اس طرح کے حملوں کے لئے کی بورڈ ، چوہوں اور دیگر پردییوں کو داخلے کے مقامات کے ساتھ منسلک نہیں کرتے ہیں۔ ہمیں اس قسم کے آلات کے بارے میں کیوں فکر مند رہنا چاہئے؟

YA: اس کے بارے میں سوچو: کیا آپ اپنے کارپوریٹ کمپیوٹر پر انٹرنیٹ سے ڈاؤن لوڈ کردہ سافٹ ویئر انسٹال کرسکتے ہیں؟ شاید نہیں۔ لیکن کیا آپ اپنے دفتر میں باہر سے کی بورڈ لا کر اسے جوڑ سکتے ہیں؟ شاید ہاں.

لوگ یہ خیال کرنا درست ہیں کہ نامعلوم سافٹ ویئر ایک خطرہ ہے۔ یہی وجہ ہے کہ آئی ٹی اہلکاروں کے علاوہ کسی اور کے ذریعہ کارپوریٹ کمپیوٹر میں سافٹ ویئر کی تنصیب کی نگرانی اور روک تھام کے لئے سیکیورٹی کے بہت سارے اوزار موجود ہیں۔ لیکن ، کسی وجہ سے ، ہارڈ ویئر کے آلات ایک ہی معیار کے مطابق نہیں ہیں۔

سافٹ ویئر کے ذریعہ شروع کردہ سائبر حملے ، زیادہ تر معاملات میں ، موجودہ سائبر ڈیفنس ٹولز کے ذریعہ محدود ہوتے ہیں ، اس کا مطلب یہ ہے کہ اینٹ پوائنٹ سیکیورٹی سوٹ سے لے کر پیرامیٹر سیکیورٹی اور فرانزک ٹولز تک کے تمام ٹولس انٹری پوائنٹ کا پتہ لگانے اور اسے روکنے کے ل. ترتیب دیئے جاتے ہیں۔ تاہم ، ایک ہی کی بورڈ دنیا میں زیادہ تر مالویئر کے مقابلے میں زیادہ نقصان پہنچا سکتا ہے ، اور طویل عرصے تک اعداد و شمار کو پیش کرتا ہے۔

ذرا تصور کریں کہ آپ کی تنظیم کے آئی ٹی پروفیشنل نے پوری کمپنی کو ایک ای میل ارسال کیا ہے جس میں کہا گیا ہے کہ کل تنظیم کو بالکل نئے کی بورڈ موصول ہوں گے۔ اگلے دن آپ کے کتنے فیصد ملازمین اپنی ڈیسک پر ایک نیا کی بورڈ دیکھیں گے اور اس میں پلگ ان لگائیں گے؟ 20 فیصد؟ 50 فیصد؟ 100 فیصد؟ اس کا جواب یہ ہے کہ ، جو بھی اعتراف کرنا چاہتا ہے اس سے سو فیصد کے قریب ہے۔ صرف ایک شخص کو ان آلات میں سے کسی ایک کو انسٹال کرنے میں ضرورت ہوگی ، جو معلومات کو نکالنے کے لip ، پورے سسٹم میں سمجھوتہ کرنے کے لئے تیار کیا گیا تھا۔

اب ہم جان چکے ہیں کہ عالمی مالیاتی مراکز میں دراندازی اور ہیک کرنے کے لئے استعمال ہونے والے بہت سے اوزار دراصل دنیا بھر کی ممالک میں حکومتی پروٹو ٹائپ سے چوری کیے گئے تھے۔ مثال کے طور پر ، اصل میں امریکی قومی سلامتی کے ایجنسی (این ایس اے) کے ذریعہ تیار کردہ کی بورڈز کو ٹریک کرنے اور ایک منسلک کمپیوٹر کے USB پورٹ کے ذریعے نیٹ ورکس سے ڈیٹا اکٹھا کرنے کے ل developed تیار کردہ کی بورڈز کو اب بلیک میل اور رینسم ویئر کے حملوں کا ڈیٹا حاصل کرنے کے لئے بدنیتی پر مبنی ہیکرز استعمال کر رہے ہیں۔

اضافی طور پر ، ڈارک ویب پر جعلی ہیکنگ ٹولز کی فروخت کے ساتھ ، بدنیتی پر مبنی ڈیٹا اکٹھا کرنے کے لئے انتہائی جدید ٹکنالوجی اب کچھ دنوں میں ایک ہیکر کے ہاتھ میں آسکتی ہے ، جس کے عہدیداروں کے ل track کوئ واضح راستہ نہیں ہے۔ خریدار ، فروخت کنندہ یا آلات کا مقام۔ اس کا مطلب یہ ہے کہ سب سے زیادہ نفیس ، ناقابل شناخت ڈیٹا اکٹھا کرنے والے آلات اب ان گنت ڈیٹا سسٹم میں موجود ہوسکتے ہیں ، بغیر سی آئ ایس او ان کے بارے میں بھی جانتے ہوئے۔

یہ آلات ٹکڑوں یا جوؤں جیسے پرجیوی کیڑے سے موازنہ کرتے ہیں۔ جب آپ کے آس پاس کے آس پاس تیرتے پھرتے ہیں تو یہ بظاہر معمولی اور بے ضرر ہوتے ہیں۔ تاہم ، جب وہ اپنے آپ کو آپ کے سسٹم میں انسٹال کرتے ہیں تو انہیں سمجھنا مشکل ہوتا ہے اور طویل عرصے تک کسی کا دھیان نہیں رہ سکتا ہے۔ مزید یہ کہ ، وہ ایک بڑی ذمہ داری ہیں اور اعداد و شمار اور آپ کے اسٹیک ہولڈرز کو ناقابل واپسی نقصان پہنچا سکتے ہیں۔

پی سی میگ: آپ کی خدمات کو خصوصی طور پر بتائے بغیر ، کمپنیاں کس طرح اس بات کو یقینی بناسکتی ہیں کہ وہ محفوظ رہیں ، خاص طور پر اگر وہ اپنے کام انجام دینے کے لئے منسلک آلات پر بھاری بھروسہ کررہے ہیں۔

YA: بہت سے ایسے عناصر ہیں جن پر قابو نہیں پایا جاسکتا ہے۔ جیسا کہ میں نے بحث کیا ہے ، ڈارک ویب کی لامحدود ڈیجیٹل مارکیٹ رکنا تقریبا ناممکن ہے۔ خریداروں اور فروخت کنندگان کے نام ظاہر نہ کرنے کی وجہ سے ، ہارڈ ویئر ڈیوائسز کی فری ٹری ٹریڈنگ ہیکنگ کے خطرات سے دوچار رہنے کا بے مثال چیلنج پیش کرتی ہے جو باہر سے سسٹم کو متاثر کرتی ہے۔

تاہم ، ڈیٹا مینیجرز کو ہیکنگ کے خطرات پر قابو پانا ضروری ہے جو ہارڈ ویئر سے پیدا ہوتے ہیں۔ اس کا آغاز آپ کے سسٹم کے ساتھ تعامل کرنے والے تمام ہارڈ ویئر ڈیوائسز کی جامع آگاہی کے ساتھ ہوتا ہے۔ روایتی طور پر ، تنظیموں کے ٹکنالوجی افسران یہ قائم کرتے ہیں کہ ان کے پاس ایکس پوائنٹس کی آخری تعداد ہے جو Y کے سرورز اور بیرونی آلات سے مربوط ہیں۔ جدید سائبر ڈیفنس وار زون میں ، یہ ضروری ہے کہ وہ گہرائیوں سے ، پردیی سطح تک جائیں۔

نیٹ ورک کی تاروں جو ہر دو کناروں کے مابین ، تمام کنکشن پوائنٹس کے ذریعے ، دو آلات کے مابین معلومات بھیجتی ہیں ان کا مکمل معائنہ کیا جانا چاہئے۔ ایسے آلات موجود ہیں جو ان مقامات پر ڈیٹا کو روک سکتے ہیں اور اسے پہچاننے کے بغیر کسی دور دراز مقام تک پہنچا سکتے ہیں۔

سسٹم کو اس قسم کے بھتہ خوری سے بچانے کے ل device ، ڈیوائس ہیوی نیٹ ورکس کے ذریعہ دانت کنگھی کی مدد سے ترتیب دینے کی ضرورت ہے۔ سی آئی ایس اوز کو اپنے سسٹم ڈیوائسز کی سالمیت کو یقینی بنانے کے لئے اپنی طاقت میں ہر کام کرنے کی ضرورت ہے۔ یہ یقین دہانی کرانا کہ آپ کے آلے واقعی آپ کے ہیں - اور نہ کہ بدنصیبی سے ہارڈ ویئر کے بھیس میں بدلنا۔

بیداری کے ساتھ شروع کریں۔ ان معصوم نظر آنے والے ہارڈ ویئر آلات کے ممکنہ خطرے کو نظر انداز نہ کریں۔ خطرہ ہم سب کے لئے حقیقی اور متعلقہ ہے۔