फिन अध्ययन: हैकर हमलों में उल्लेखनीय वृद्धि

बैंक और बीमाकर्ता वर्षों से हैकरों के पसंदीदा लक्ष्यों में से रहे हैं। अध्ययन "साइबर सुरक्षा से साइबर लचीलेपन तक - बढ़ते खतरे की स्थिति से निपटने के लिए रणनीतियाँ" जर्मनी में कंपनियों के साइबर लचीलेपन की स्थिति के बारे में जानकारी प्रदान करता है। हालाँकि जब साइबर सुरक्षा की बात आती है तो वित्तीय सेवा प्रदाता अक्सर बेहतर स्थिति में होते हैं, फिर भी ठोस साइबर लचीलापन हासिल करने के लिए अभी भी बहुत कुछ किया जाना बाकी है।

विशेषज्ञ पत्रिका "सीएसओ ऑनलाइन" ने वर्ष की शुरुआत से विभिन्न क्षेत्रों की कंपनियों पर 30 से अधिक साइबर हमलों को सूचीबद्ध किया है। हालाँकि, रिपोर्ट न किए गए मामलों की संख्या अधिक होने की संभावना है। केपीएमजी और लुनेन्डोंक और होसेनफेल्डर द्वारा नया अध्ययन "साइबर सुरक्षा से साइबर लचीलेपन तक - बढ़ती खतरे की स्थिति से निपटने के लिए रणनीतियाँ" बैंकों, बीमाकर्ताओं और अन्य उद्योगों के जोखिमों और परिपक्वता की डिग्री के बारे में वर्तमान अंतर्दृष्टि प्रदान करता है।

लगभग हर कोई बढ़े हुए खतरे की स्थिति को समझता है

सर्वेक्षण में शामिल 84 प्रतिशत लोगों का मानना ​​है कि पिछले वर्ष की तुलना में साइबर हमलों का खतरा बढ़ गया है। 3 प्रतिशत वित्तीय सेवा प्रदाताओं ने डिस्ट्रिब्यूटेड डेनियल ऑफ सर्विस (डीडीओएस) हमलों को बढ़ते खतरे की स्थिति के लिए शीर्ष 71 प्रभावित करने वाले कारकों के रूप में नामित किया है। इसके बाद फ़िशिंग/रैनसमवेयर और कंपनी नेटवर्क पर यूएसबी स्टिक जैसे अनधिकृत उपकरणों का उपयोग करके हमले होते हैं, जिनमें से प्रत्येक में 64 प्रतिशत हमले होते हैं।

एक अनिवार्य व्यायाम से भी अधिक

सर्वेक्षण में भाग लेने वाले दस में से नौ प्रतिभागियों ने प्रारंभिक चरण में साइबर हमलों का पता लगाने और उनसे बचने की अपनी क्षमता को उच्च बताया। यह इस तथ्य के कारण हो सकता है कि कई साइबर हमलों का पता नहीं चल पाता है और उत्तरदाताओं में सुरक्षा की गलत भावना हो सकती है। अलग-अलग क्षेत्रों को देखते हुए, यह ध्यान देने योग्य है कि वित्तीय सेवा प्रदाता उच्च स्तर की सुरक्षा प्राप्त करते हैं।

यह आश्चर्य की बात नहीं है. क्योंकि वर्तमान नियम जैसे BAIT/VAIT/KAIT, संघीय वित्तीय पर्यवेक्षी प्राधिकरण (BaFin) की नई आवश्यकताएं और नवीनतम यूरोपीय कानूनी अधिनियम - जैसे डिजिटल ऑपरेशनल रेजिलिएंस एक्ट (DORA) और साइबर सुरक्षा निर्देश नेटवर्क और सूचना सुरक्षा 2 (एनआईएस2) - इसमें वित्तीय क्षेत्र के लिए स्पष्ट दिशानिर्देश शामिल हैं।

साइबर सुरक्षा सर्वोच्च प्राथमिकता होनी चाहिए

हालाँकि, केवल कानूनी आवश्यकताओं को पूरा करना ही पर्याप्त नहीं है। साइबर सुरक्षा प्राथमिकता होनी चाहिए. ठोस शब्दों में, इसका मतलब है कि निदेशक मंडल या प्रबंधन को साइबर सुरक्षा रणनीति के विकास में शामिल किया जाना चाहिए। लेकिन ऐसा केवल 14 प्रतिशत मामलों में ही होता है। भविष्य में, साइबर सुरक्षा को शीर्ष प्रबंधन से आर्थिक प्रमुख हस्तियों की तरह ही ध्यान देना चाहिए - और केवल हमला होने के बाद ही ध्यान में नहीं आना चाहिए।

प्रवेश द्वार के रूप में डिजिटल पहचान

पहचान और डेटा कंपनियों के "मुकुट रत्न" हैं। हैकर्स के लिए इसे यथासंभव कठिन बनाने के लिए, कंपनियों को डिजिटल पहचान पर ध्यान देना चाहिए। वे वर्तमान में अपराधियों के लिए सबसे आम प्रवेश द्वार हैं। तथाकथित प्रिविलेज्ड एक्सेस मैनेजमेंट (PAM), जिसे BaFin द्वारा BAIT/VAIT/KAIT के माध्यम से निर्धारित किया गया है, यहां अच्छी सेवाएं प्रदान कर सकता है। आइडेंटिटी एंड एक्सेस मैनेजमेंट (आईएएम) के हिस्से के रूप में, इसका उपयोग सिस्टम प्रशासकों और आईटी सिस्टम में संबंधित प्राधिकरणों जैसे अत्यधिक विशेषाधिकार प्राप्त उपयोगकर्ता खातों को सुरक्षित रूप से व्यवस्थित और प्रबंधित करने के लिए किया जाता है। लेकिन वर्तमान में केवल 25 प्रतिशत वित्तीय सेवा प्रदाता ही PAM का उपयोग करते हैं। अन्य 33 प्रतिशत वर्तमान में एक का परिचय दे रहे हैं। सर्वेक्षण में शामिल सभी कंपनियों में से 80 प्रतिशत का ध्यान अगले दो वर्षों में पीएएम पर है, और यहां तक ​​कि 89 प्रतिशत के एजेंडे में आईएएम है।

क्लाउड परिवर्तन साइबर सुरक्षा को संचालित करता है

जब एकाधिक क्लाउड समाधान तैनात किए जाते हैं तो अतिरिक्त चुनौतियाँ उत्पन्न होती हैं। आख़िरकार, 69 प्रतिशत कंपनियाँ हाइब्रिड या मल्टीपल क्लाउड वातावरण पर भरोसा करती हैं, यानी वे विभिन्न प्रदाताओं के क्लाउड को एक-दूसरे के साथ जोड़ती हैं। उनमें से प्रत्येक को समग्र साइबर सुरक्षा रणनीति में एकीकृत किया जाना चाहिए। कोई इसे व्यर्थ में खोजता है: हर दूसरे अध्ययन प्रतिभागी (54 प्रतिशत) से अधिक ने कहा कि आंतरिक आईटी सुरक्षा प्रक्रियाओं में हाइब्रिड मल्टी-क्लाउड और मल्टी-क्लाउड प्रदाता वातावरण का एकीकरण औसत दर्जे का था। केवल एक तिहाई (34 प्रतिशत) ने एकीकरण को उच्च बताया। एक महत्वपूर्ण स्तंभ सुरक्षा घटना और इवेंट मैनेजमेंट (एसआईईएम) की स्थापना है। एसआईईएम विभिन्न प्रदाताओं को नियंत्रित करना और विभिन्न क्लाउड वातावरणों को कंपनी की अपनी सुरक्षा प्रक्रियाओं में एकीकृत करना संभव बनाता है।

पता लगाने और प्रतिक्रिया करने की क्षमताओं में सुधार किया जा सकता है

यह बहुत चिंताजनक है कि सुरक्षा निगरानी अक्सर अब भी विकेंद्रीकृत तरीके से आयोजित की जाती है। ऐसे मामलों में संपूर्ण आईटी परिदृश्य की निगरानी करना अधिक कठिन है। वित्तीय क्षेत्र में, केवल 38 प्रतिशत लोग केंद्रीय सुरक्षा निगरानी का उपयोग करते हैं। उदाहरण के लिए, इस कार्य को सिएम द्वारा केंद्रीकृत किया जा सकता है। यह वास्तविक समय में एंटरप्राइज़ नेटवर्क में विभिन्न स्रोतों से घटनाओं को कैप्चर, मॉनिटर और विश्लेषण करता है। इससे नुकसान होने से पहले ही खतरों की पहचान की जा सकती है और उन्हें ख़त्म किया जा सकता है। बढ़ते खतरे की स्थिति को देखते हुए यह अच्छी बात है कि 80 प्रतिशत कंपनियां अगले दो वर्षों में एसआईईएम की स्थापना और विस्तार को प्राथमिकता बनाना चाहती हैं।

अध्ययन का निष्कर्ष

अध्ययन के नतीजे बताते हैं कि वित्तीय सेवा प्रदाता बढ़ते खतरे से अवगत हैं। और यद्यपि अन्य क्षेत्रों की तुलना में उनके पास पहले से ही उच्च स्तर की सुरक्षा है, फिर भी सुरक्षा परिपक्वता में गंभीर कमियाँ हैं। एक सकारात्मक पहलू यह है कि अधिकांश प्रतिभागियों ने इसे पहचान लिया है और साइबर हमलों से बचाव के लिए अपने कौशल का विस्तार करना चाहते हैं। लेकिन केवल उच्च निवेश ही पर्याप्त नहीं है। बैंकों और बीमाकर्ताओं को स्वचालित सुरक्षा समाधानों और सुविचारित एंड-टू-एंड अवधारणाओं पर पहले से अधिक भरोसा करना चाहिए जो हर किसी के जीवन में हैं।

KPMG.de पर अधिक जानकारी

 

---

केपीएमजी के बारे में

जर्मनी में भी, केपीएमजी अग्रणी ऑडिटिंग और परामर्श कंपनियों में से एक है और इसके 12.200 स्थानों पर लगभग 27 कर्मचारी हैं। हमारी सेवाएँ व्यावसायिक क्षेत्रों ऑडिट, टैक्स और सलाहकार में विभाजित हैं। ऑडिट समेकित और वार्षिक वित्तीय विवरणों की जांच पर केंद्रित है। टैक्स का मतलब केपीएमजी का कर सलाहकार कार्य है। परामर्श और डील सलाहकार क्षेत्र व्यवसाय, विनियामक और लेनदेन-उन्मुख विषयों पर हमारे उच्च स्तर के विशेषज्ञ ज्ञान को जोड़ते हैं।

---

 

विषय से संबंधित लेख