यूरोप में क्रिटिकल इंफ्रास्ट्रक्चर (KRITIS) के लचीलेपन पर EU-NATO टास्क फोर्स ने ऊर्जा, परिवहन, डिजिटल बुनियादी ढांचे और अंतरिक्ष को विशेष रूप से सुरक्षा के योग्य प्रमुख क्षेत्र घोषित किया है।
जर्मनी में CRITIS को सर्वोत्तम तरीके से कैसे संरक्षित किया जा सकता है, इस पर चर्चा भी बढ़ रही है। हाल ही में प्रकाशित ईयू/नाटो पेपर के अनुसार, चार प्रमुख क्षेत्र, जो साइबर हमलों के प्रति बढ़ती संवेदनशीलता की पेशकश करते हैं और इसलिए विशेष रूप से सुरक्षा के योग्य हैं, वे हैं ऊर्जा, परिवहन, डिजिटल बुनियादी ढांचा और अंतरिक्ष। समाज को संभावित नुकसान के कारण इन लक्ष्यों पर हमले अपराधियों और तोड़फोड़ करने वालों के लिए बेहद फायदेमंद हैं।
जर्मनी में विशेष चुनौतियाँ
यह समस्या विशेष रूप से जर्मनी में स्पष्ट है, क्योंकि महत्वपूर्ण बुनियादी ढाँचे का लगभग पाँचवाँ हिस्सा निजी हाथों में है। यह सुरक्षा प्रथाओं की पारदर्शिता और मानकीकरण के संदर्भ में चुनौतियाँ पैदा करता है। मानव विशेषज्ञता का प्रभावी ढंग से उपयोग करने वाले दृष्टिकोण कमजोरियों की पहचान करने, हमले की सतह को यथासंभव छोटा रखने और सुरक्षा जोखिम को कम रखने में मदद कर सकते हैं।
डिजिटलीकरण निस्संदेह कई लाभ प्रदान करता है: कुछ ही सेकंड में सूचना और डेटा का वैश्विक आदान-प्रदान और उत्पादन में स्वचालन केवल दो उदाहरण हैं। लेकिन जहां बहुत रोशनी होती है, वहां छाया भी होती है। जैसे-जैसे डिजिटल दुनिया अधिक जटिल होती जा रही है, दुर्भावनापूर्ण अभिनेताओं के लिए हमले के बिंदु अधिक जटिल होते जा रहे हैं और प्रभाव अधिक विनाशकारी होते जा रहे हैं।
हमले की सतह को बढ़ाना: कमजोरियाँ और आपूर्ति श्रृंखला पर हमले
महत्वपूर्ण बुनियादी ढांचे पर अभी अधिक ध्यान देने की आवश्यकता है, क्योंकि विभिन्न स्थानों पर खतरे की स्थिति बिगड़ रही है: वर्तमान में यूक्रेन पर युद्ध में समन्वित साइबर हमले हो रहे हैं। यह जर्मनी के लिए भी एक गंभीर खतरा है, जिसने यूक्रेन के लिए अपना समर्थन व्यक्त किया है, क्योंकि कीव के सहयोगी भी हमलावरों द्वारा तेजी से निशाना बनाए जा रहे हैं।
साइबर अपराधी यथासंभव कम प्रयास से अधिकतम नुकसान पहुंचाना चाहते हैं। ऐसा करने के लिए, वे संभावित लक्ष्यों में कमजोरियों की तलाश करते हैं जिनका वे अपने उद्देश्यों के लिए दुरुपयोग कर सकते हैं। भूली हुई विरासत प्रणाली, अप्रकाशित सॉफ़्टवेयर, ग़लत कॉन्फ़िगरेशन या कमज़ोर क्रेडेंशियल हमलावरों के लिए नेटवर्क में प्रवेश द्वार हो सकते हैं। मैलवेयर अक्सर इन-हाउस आईटी के माध्यम से सीधे सिस्टम में प्रवेश नहीं करता है, बल्कि आपूर्तिकर्ताओं, सॉफ्टवेयर प्रदाताओं या भागीदारों जैसी बाहरी कंपनियों में सुरक्षा अंतराल के माध्यम से प्रवेश करता है। यदि आपूर्ति श्रृंखलाओं को ध्यान में रखा जाए, तो महत्वपूर्ण बुनियादी ढांचे के लिए हमले की सतह काफी बढ़ जाती है। KRITIS कंपनियों के भागीदारों के लिए बढ़ी हुई सुरक्षा आवश्यकताओं को लागू करके इस तथ्य का प्रतिकार करने के लिए नियामक प्रयास किए जा रहे हैं। हालाँकि, किसी कंपनी का बुनियादी ढांचा उसकी सबसे कमजोर कड़ी जितना ही मजबूत होता है।
रोकथाम को मजबूत करें
खतरे की बिगड़ती स्थिति को इस तथ्य में देखा जा सकता है कि साइबर अपराधी तेजी से उन कमजोरियों का फायदा उठा रहे हैं जिन्होंने पहले आईटी सुरक्षा टीमों की साइबर स्वच्छता में एक छोटी भूमिका निभाई थी। इससे पता चलता है कि महत्वपूर्ण बुनियादी ढांचे को अपने सुरक्षा दृष्टिकोण को अनुकूलित करने की आवश्यकता है। रोकथाम को मजबूत किया जाना चाहिए और सुरक्षा उल्लंघनों का जवाब देने की क्षमता में सुधार किया जाना चाहिए। आवश्यक उपाय शुरू करने के लिए विसंगतियों और संदिग्ध व्यवहार की यथाशीघ्र पहचान की जानी चाहिए।
हालाँकि, अधिकांश आईटी सुरक्षा समाधान प्रतिक्रियाशील रूप से काम करते हैं और केवल क्षति का पता लगाते हैं जब यह पहले से ही सिस्टम में होता है या जब कोई हमलावर किसी भेद्यता में घुसने की कोशिश कर रहा होता है। लेकिन आप किसी हमले को होने से कैसे रोक सकते हैं? इसके लिए अधिक अपरंपरागत विचारों और तरीकों की आवश्यकता है। ऐसी विशिष्ट समस्याओं को अनुभवी विशेषज्ञों द्वारा हल किया जा सकता है जो हमलावरों की तरह ही अपना विश्लेषण करते हैं।
पिछले दरवाजे खोजें
ऐसा करने के लिए, संगठनों ने अपने सिस्टम को तथाकथित व्हाइट हैट द्वारा हैक कर लिया है ताकि यह पता लगाया जा सके कि अज्ञात कमजोरियाँ कहाँ हैं। ये एथिकल हैकर हैं जो कमजोर नेटवर्क पर कड़ी नजर रखने के लिए चौबीसों घंटे और समय क्षेत्रों में एक साथ काम करते हैं। वीडीपी और बग बाउंटी कार्यक्रम सुरक्षा पेशेवरों को नई और नवीन कमजोरियों की खोज करने के लिए प्रोत्साहित करते हैं। अंतराल या "पिछले दरवाजे" जिनका उपयोग कई दुर्भावनापूर्ण अभिनेता महत्वपूर्ण बुनियादी ढांचे के नेटवर्क तक पहुंच प्राप्त करने के लिए करते हैं - बस log4j के बारे में सोचें - का पता लगाया जा सकता है और बाद में बंद किया जा सकता है। हालाँकि, इसके लिए तत्काल पैच एक शर्त है।
अतिरिक्त एहतियात के तौर पर, कंपनियों को तुलनीय सुरक्षा प्रोटोकॉल अपनाने के लिए तीसरे पक्ष के प्रदाताओं की भी आवश्यकता हो सकती है, जो सॉफ्टवेयर श्रृंखला में सभी लिंक की साइबर स्वच्छता में सुधार करने और महत्वपूर्ण बुनियादी ढांचे नेटवर्क की सुरक्षा को मजबूत करने में मदद करेगा।
तालमेल बनाएं
बढ़ते साइबर खतरे के खिलाफ महत्वपूर्ण बुनियादी ढांचे को मजबूत करने का एक तरीका उद्योग, सरकार और जनता के बीच सहयोग है। ईयू/नाटो पेपर व्यक्तिगत सदस्य देशों और संस्थानों और संगठनों दोनों के बीच तालमेल की बात करता है। हैकरवन के वरिष्ठ समाधान इंजीनियर क्रिस डिकेंस के अनुसार, दूसरों के साथ सहयोग करके और खुले तौर पर जानकारी साझा करके, सुरक्षा टीमें संख्या में ताकत बना सकती हैं, पिछली घटनाओं से सीख सकती हैं और अंततः विश्वास बना सकती हैं - जो महत्वपूर्ण बुनियादी ढांचे के साथ काम करने वाले संगठनों के लिए महत्वपूर्ण है।
HackerOne.com पर अधिक
हैकरवन के बारे में HackerOne कंपनियों के पास क्या है और वे क्या सुरक्षा कर सकते हैं, के बीच सुरक्षा अंतर को कम करता है। हैकरवन का अटैक रेजिस्टेंस मैनेजमेंट एथिकल हैकर्स की सुरक्षा विशेषज्ञता को संपत्ति की खोज, निरंतर मूल्यांकन और लगातार विकसित हो रहे डिजिटल हमले की सतह में अंतराल को खोजने और बंद करने के लिए प्रक्रिया में सुधार के साथ जोड़ता है।