साइबर अपराधियों के निशाने पर कंपनियां: डिजिटलीकरण को आगे बढ़ाने के साथ, अर्थव्यवस्था में डेटा की मात्रा भविष्य में कई गुना बढ़ जाएगी। ये अनुबंध हैकर्स या ब्लैकमेलर्स के लिए विशेष रूप से आकर्षक लक्ष्य हैं।
विधान ने इसलिए यह सुनिश्चित किया है कि डिजिटल डेटा प्रोसेसिंग में डेटा सुरक्षा को भी उच्च प्राथमिकता दी जाए। व्यापारिक रहस्यों की सुरक्षा के अलावा, कंपनियों को व्यक्तिगत डेटा की सुरक्षा को उच्च प्राथमिकता देनी चाहिए। जीडीपीआर के उल्लंघन के विशेष रूप से गंभीर परिणाम हो सकते हैं: यदि डेटा खो जाता है, तो प्रभावित लोगों को सूचित किया जाना चाहिए। इसके अलावा, ऐसी सुरक्षा घटना पर पर्यवेक्षी अधिकारियों द्वारा जुर्माना लगाया जा सकता है। इसलिए कानून कंपनियों से जानकारी प्रदान करने की निरंतर क्षमता और उनके द्वारा संसाधित किए जाने वाले सभी डेटा पर विश्वसनीय नियंत्रण से कम की मांग नहीं करता है।
कंपनी का डेटा हार्ड कैश के लायक है
हालाँकि, डेटा की बढ़ती मात्रा ने एक और उद्योग का पता लगाया है जिसने इन योजनाओं को विफल करने का कार्य स्वयं निर्धारित किया है। इंटरनेट के माध्यम से डिजिटलीकरण और दुनिया भर में नेटवर्किंग के साथ, हर कंपनी का सारा डेटा - सैद्धांतिक रूप से - अनधिकृत व्यक्तियों के लिए सुलभ है। इसने डेटा के लिए एक बड़े अंतरराष्ट्रीय काला बाजार को जन्म दिया है और साइबर अपराध को और अधिक पेशेवर बनने में मदद की है। कॉर्पोरेट डेटा को लक्षित करने वाले साइबर अपराधियों के उद्देश्य और रणनीतियाँ विविध हैं। यहाँ कुछ उदाहरण हैं:
जॉब हैक
साइबर अपराधी दुर्भावनापूर्ण इरादे से ग्राहकों को भुगतान करने की सेवा में अपना कौशल लगाते हैं। इसके पीछे की प्रेरणा आमतौर पर औद्योगिक जासूसी या प्रतिस्पर्धियों को नुकसान पहुंचाने का अभियान है। किसी विशिष्ट सेल फोन को हैक करने जैसी व्यक्तिगत सेवाओं को पहले से ही एक निश्चित मूल्य पर डार्कनेट पर बुक किया जा सकता है।
मान्य डेटा सेट एकत्र करें
पुनर्विक्रय या दुरुपयोग के माध्यम से इन्हें जितनी जल्दी हो सके नकदी में बदलने में आमतौर पर प्रत्यक्ष रुचि होती है। यह, उदाहरण के लिए, क्रेडिट कार्ड या बैंक विवरण पर लागू होता है।
आगे उपयोग के लिए रिकॉर्ड एकत्रित करना
कैप्चर किए गए डेटा सेट का पूर्ण होना आवश्यक नहीं है - व्यक्तिगत डेटा मूल्यवान है क्योंकि इसे थोक में बेचा जा सकता है। बदले में, प्राप्तकर्ता इसका उपयोग और स्पैम अभियान स्थापित करने के लिए कर सकते हैं। एक प्रामाणिक कंपनी लेटरहेड या वास्तविक कर्मचारियों के नाम अन्य हमले के लक्ष्यों के लिए धोखाधड़ी के प्रयासों के लिए बेहद उपयोगी हो सकते हैं। यह भी बोधगम्य है कि अधूरे डेटा रिकॉर्ड, जैसे कि ई-मेल पते, शुरू में तब तक बने रहेंगे जब तक कि उन्हें हैक करके या अतिरिक्त डेटा खरीदकर पूरा नहीं किया जा सकता।
रैंसमवेयर का उपयोग कर जबरन वसूली
एक घुसपैठिया मैलवेयर किसी कंपनी के महत्वपूर्ण डेटा रिकॉर्ड को एन्क्रिप्ट कर देता है। सी एंड सी सर्वर के लिंक के रूप में फिरौती का भुगतान करने के बाद डिक्रिप्शन एल्गोरिथ्म माना जाता है। भुगतान करने के लिए दृढ़ता से हतोत्साहित किया जाता है, क्योंकि यह निश्चित नहीं है कि अपराधियों के पास डिक्रिप्शन सॉफ्टवेयर भी है या नहीं या पीड़ित इसे सफलतापूर्वक डाउनलोड कर सकते हैं या नहीं। यह भी स्पष्ट नहीं है कि क्या हैकर्स ने रैनसमवेयर हमले के दौरान डेटा सेट की नकल की और चोरी भी की।
उद्योग, निर्मित उत्पाद, दी जाने वाली सेवा या आकार के बावजूद: "डिजिटल डेटा प्रोसेसिंग सेंटर" के रूप में उनका अस्तित्व कंपनियों को हैकर्स के लिए आम तौर पर दिलचस्प लक्ष्य बनाता है।
फैलने वाले खतरे से अवगत रहना
एक हैक के साथ संभव सबसे आकर्षक डेटा शोषण को प्राप्त करने के प्रयास में, साइबर अपराधियों ने हाल के वर्षों में मुख्य रूप से "बड़ी मछलियों" जैसे बैंकों, बीमा कंपनियों, ऊर्जा आपूर्तिकर्ताओं, खुदरा श्रृंखलाओं या गेमिंग प्लेटफार्मों पर ध्यान केंद्रित किया है। परिणामस्वरूप, एक डिजिटल हथियारों की दौड़ विकसित हुई: उच्च ब्रांड जागरूकता या महत्वपूर्ण बुनियादी ढांचे वाली कंपनियों ने पहले से कहीं अधिक परिष्कृत आईटी सुरक्षा तंत्र के साथ अपनी सुरक्षा बढ़ा दी, जबकि हमलावरों ने तदनुसार अपनी तकनीकों का विकास किया।
लीवंड के सीईओ और सह-संस्थापक टॉम हाक (फोटो: लिवैंड)।
ऐसी अत्यधिक सुसज्जित कंपनियों में साइबर अपराधियों के सफल होने की संभावना अब काफी कम हो गई है। लेकिन उनकी हमलावर तकनीकों की परिपक्वता व्यापक अभियानों के साथ हाई-प्रोफाइल लक्ष्यों पर खोई हुई लूट के अवसरों को खोलती है। इसलिए हैकर तेजी से परिधि पर अपने पीड़ितों की तलाश कर रहे हैं - ऐसी कंपनियों में जो अभी भी डिजिटलीकरण के शुरुआती चरण में हैं और जिनके आईटी सुरक्षा मानक और भी कम हैं, उदाहरण के लिए, शिल्प व्यवसाय, होटल या छोटी, मालिक-प्रबंधित दुकानें। वे डेटा सुरक्षा की कानूनी आवश्यकताओं को भी पूरा करते हैं। ऐसे समय में जब डेटा अभी भी फाइलों में संग्रहीत था और आईटी सिस्टम अभी तक इंटरनेट से जुड़ा नहीं था, एक अपेक्षाकृत निश्चित हो सकता है कि डेटा सुरक्षित था: यह पीसी में था, एक इमारत में लॉक फाइलिंग कैबिनेट में था, जिसमें केवल अधिकृत व्यक्तियों की पहुंच थी और जिसकी निगरानी एक कुली या एक सुरक्षा सेवा द्वारा की जाती थी। ऐसे परिदृश्यों में डेटा पर नियंत्रण की डिग्री और कथित सुरक्षा भी बहुत अधिक होनी चाहिए थी।
आईटी सुरक्षा की सुरक्षा: चेक मदद कर सकते हैं
दुर्भाग्य से, इस दृष्टिकोण को पूरी तरह से आईटी इन्फ्रास्ट्रक्चर में स्थानांतरित नहीं किया जा सकता है। इस बात की हमेशा संभावना रहती है कि अनधिकृत व्यक्तियों ने डेटा तक पहुंच बना ली है या डेटा चुरा लिया है। तो क्या यह तथ्य कि कोई अनियमितता नहीं देखी गई है, वास्तव में इसका मतलब यह है कि कुछ भी नहीं हुआ? या हो सकता है कि बिना देखे ही डेटा चुरा लिया गया हो? ऐसी घटना की संभावना का आकलन करना कंपनियों के लिए एक जटिल उपक्रम है। वे विभिन्न इरादों और अन्य अज्ञात चरों से एक व्यापक खतरे का सामना करते हैं। साइबर अपराधी किन कारणों से बुनियादी ढांचे पर हमला कर सकते हैं? क्या कोई ऐसी चीज है जिसमें आपकी विशेष रुचि होनी चाहिए? हमलावर कितने निपुण हो सकते हैं? आप कौन सा हमला वैक्टर पसंद करेंगे? डेटा सुरक्षा घटना की स्थिति में कंपनी को क्या नुकसान हो सकता है और विनियमन कितना महंगा हो सकता है?
क्या आईटी सुरक्षा हमलों का सामना कर सकती है?
काल्पनिक हमले के परिदृश्यों का क्षेत्र बहुत बड़ा है। हालांकि, कंपनी डेटा की सुरक्षा का आकलन करने में सक्षम होने के लिए, अंततः केवल एक ही केंद्रीय प्रश्न है: क्या हमारी आईटी सुरक्षा अनिर्दिष्ट और लक्षित दोनों हमलों का सामना करने में सक्षम है? एक सुरक्षा ऑडिट इस प्रश्न का उत्तर प्रदान कर सकता है। एक स्वचालित जाँच के भाग के रूप में संपूर्ण आईटी अवसंरचना की जाँच की जाती है। आर्टिफिशियल इंटेलिजेंस कई बोधगम्य हमले परिदृश्यों की संभावनाओं का परीक्षण करता है और फिर संभावित अंतराल को बंद करने के लिए सुधार के लिए सुझाव देता है। इसके अलावा, ऐसे सॉफ़्टवेयर यह निर्धारित कर सकते हैं कि कंपनी का डेटा पहले से ही अवैध बाजारों में प्रसारित हो रहा है या नहीं। कंपनियां इस प्रकार अपने द्वारा प्रबंधित डेटा पर नियंत्रण प्राप्त कर रही हैं। इस तरह, वे डेटा प्रोसेसर के रूप में अपने कानूनी दायित्वों को पूरी तरह से पूरा कर सकते हैं - और वे अपने भागीदारों, अपने ग्राहकों और खुद को कुछ ऐसा पेश करते हैं जो लगातार महत्वपूर्ण होता जा रहा है: डेटा की सुरक्षा के लिए किए गए सुरक्षा उपायों के बारे में निश्चितता।
Lywand.com पर अधिक
Lywand के बारे में Lywand Software कंपनियों के लिए IT अवसंरचना का पूरी तरह से स्वचालित सुरक्षा ऑडिट प्रदान करता है। IT डीलरों, सेवा प्रदाताओं और सिस्टम हाउस के लिए जो IT सुरक्षा के लिए अपने छोटे और मध्यम आकार के ग्राहकों की ज़रूरतों को पूरा करना चाहते हैं, Lywand परामर्श और उत्पाद अनुशंसाओं की प्रक्रिया को सरल करता है। ग्राहक इस प्रकार ऐसे प्रस्ताव प्राप्त करते हैं जो उनकी सुरक्षा को काफी हद तक बढ़ा देते हैं। Lywand का मुख्यालय सेंट पोल्टेन, ऑस्ट्रिया में है।