परिचालन प्रक्रियाओं का स्वचालन और डिजिटलीकरण मध्यम आकार की कंपनियों के लिए कई फायदे लाता है, उदाहरण के लिए उत्पादन लचीलेपन या बाजार के लिए मूल्य निर्धारण के मामले में। लेकिन एक कंपनी जितनी अधिक सफल होती है, वह साइबर अपराधियों के लिए उतनी ही आकर्षक हो जाती है, उदाहरण के लिए रैंसमवेयर के साथ ब्लैकमेल करने के प्रयास के लिए। यहां आईटी और ओटी सुरक्षा को सुरक्षित रूप से संयोजित करना महत्वपूर्ण है।
आईटी सुरक्षा के मामले में, मध्यम आकार की कंपनियां अब अच्छी स्थिति में हैं। सर्वेक्षणों ने कभी-कभी दिखाया है कि आईटी सुरक्षा क्षेत्र में मध्यम आकार की कंपनियां सभी आईटी खतरों का मुकाबला करने के लिए 50 विभिन्न सुरक्षा उपकरणों का उपयोग करती हैं। एक सुविचारित सुरक्षा रणनीति के साथ, आईटी सुरक्षा क्षेत्र आंतरिक व्यापार प्रक्रियाओं को कवर करता है, ई-मेल और वेब ट्रैफ़िक के साथ ग्राहकों के साथ संचार की सुरक्षा करता है और आम तौर पर संग्रह, बैकअप या एन्क्रिप्शन के रूप में डेटा को सुरक्षित करता है।
हालाँकि, कई उद्यमी अभी भी इस राय के हैं कि मौजूदा आईटी सुरक्षा भी महत्वपूर्ण उत्पादन की रक्षा करती है। हालांकि, उत्पादन मशीनों और काम के नेटवर्क को ऑपरेटिव टेक्नोलॉजी (ओटी) सुरक्षा की आवश्यकता होती है, क्योंकि क्लासिक आईटी सुरक्षा समाधान ओटी सुरक्षा से अलग तरीके से डिजाइन किए जाते हैं। बाराकुडा में उत्पाद प्रबंधक नेटवर्क सुरक्षा - IoT/OT/ICS स्टीफ़न शाचिंगर की एक टिप्पणी।
ओटी सुरक्षा क्या है?
ओटी सुरक्षा वाला एक नेटवर्क इसमें काम करने वाले सभी उपकरणों और मशीनों की सुरक्षा करता है, भले ही वे सबसे विदेशी ऑपरेटिंग या कंट्रोल सिस्टम के साथ काम करते हों। क्योंकि सुरक्षा सॉफ़्टवेयर या एजेंट को मशीन पर लाना आमतौर पर तकनीकी रूप से संभव नहीं है। लेकिन अगर एक मशीन एक इंटरफेस के माध्यम से "आईपी" (इंटरनेट प्रोटोकॉल) बोलने में सक्षम है, तो उसे एक नेटवर्क में एकीकृत किया जा सकता है। विशेषज्ञ इन मशीनों को संक्षेप में "औद्योगिक इंटरनेट ऑफ थिंग्स", या "IIoT" कहते हैं।
जैसे ही एक उत्पादक उपकरण एक नेटवर्क के भीतर होता है, यह सैद्धांतिक रूप से कमजोर होता है। हमलावर तब उपयोग करते हैं, उदाहरण के लिए, एक विशेष कोड जिसे केवल मशीन ही समझती है, इसे नेटवर्क के माध्यम से भेजती है और नुकसान पहुंचाती है या कंपनी को ब्लैकमेल करना शुरू कर देती है। लेकिन सहायक पीसी जो विशेष रूप से संरक्षित नहीं हैं, वे भी अक्सर एक लक्ष्य होते हैं।
ज्ञात रैंसमवेयर ओटी पर हमला करता है
IEC 62443 (छवि: बाराकुडा) के अनुसार सूचना सुरक्षा के संबंध में एक जोखिम विश्लेषण के साथ एक स्मार्ट कारखाने के पूरे वातावरण की जाँच की जा सकती है।
दुनिया के सबसे बड़े मांस उत्पादक जेबीए एसए, ब्राजील की अमेरिकी सहायक कंपनी जेबीएस पर 2021 रैनसमवेयर का हमला, आज की औद्योगिक कंपनियों की डिजिटल भेद्यता को दर्शाता है, अगर उनके पास अपने ओटी के लिए पर्याप्त सुरक्षा नहीं है। इस मामले में, रैंसमवेयर ने मांस प्रसंस्करण में दस्तावेज़ीकरण के लिए कई उत्पादन पीसी को एन्क्रिप्ट किया, जिसके कारण कई दिनों तक उत्पादन बंद रहा। तो यह आईटी सुरक्षा वाला प्रशासन नहीं था जो हिट हुआ था, लेकिन ओटी नेटवर्क, जो पीसी के साथ भी काम करता है। जेबीएस ने अपनी ओटी सुरक्षा विफलताओं के लिए $11 मिलियन की फिरौती का भुगतान किया, साथ ही उत्पादन के नुकसान की लागत, ओटी नेटवर्क के रूपांतरण और रिकॉर्ड समय में एक नए सुरक्षा समाधान की खरीद की।
एक अन्य प्रसिद्ध मामला अमेरिकी ईंधन आपूर्तिकर्ता और पाइपलाइन ऑपरेटर कोलोनियल पाइपलाइन पर हमला है, जिसमें हमलावर पाइपलाइन निगरानी परत में घुसपैठ करने और वहां रैंसमवेयर रखने में कामयाब रहे। प्लांट मैनेजर के निर्देश पर कर्मचारियों ने पाइप लाइन बंद कर दी। इसने संयुक्त राज्य अमेरिका के पूर्वी तट के लिए गैसोलीन, डीजल और ताप तेल के मुख्य स्रोत को काट दिया और एक KRITIS आपूर्तिकर्ता लकवाग्रस्त हो गया। हमलावर समूह डार्कसाइड को 4,4 मिलियन डॉलर की फिरौती देने के बाद ही पाइपलाइन फिर से चालू हो गई।
फिरौती दें या नहीं?
एक सफल रैनसमवेयर हमले की स्थिति में प्रभावित कंपनी को फिरौती का भुगतान करना चाहिए या नहीं, इस सवाल का जवाब विशेषज्ञों द्वारा भी एकमत से नहीं दिया गया है। कंपनियों को पता होना चाहिए कि भुगतान किया गया प्रत्येक यूरो एक और हमले को वित्तपोषित कर सकता है। राजनीतिक रूप से सही उत्तर इसलिए है: भुगतान न करें। इसके अलावा, क्योंकि यह भविष्य में दोहराए जाने वाले लक्ष्य के रूप में आपके अपने आकर्षण को कम करता है।
व्यवहार में मामला अलग है। यदि कोई कंपनी नंगे अस्तित्व के बारे में है, तो हर कोई भुगतान के लिए तुरंत सहमत होगा। क्योंकि यदि आवश्यक डेटा अब पहुंच योग्य नहीं है या उचित प्रयास से पुनर्स्थापित नहीं किया जा सकता है, तो कंपनी के पास बहुत कम विकल्प बचे हैं।
इसलिए फिरौती का भुगतान एक व्यावसायिक निर्णय से कम नैतिक है। और यह आगे के हमलों से बचाव के लिए नए सुरक्षा उपायों के अलावा, फोरेंसिक वर्कअप और बाद में सफाई की आवश्यकता से राहत नहीं देता है। जब तक आप अभी भी कर सकते हैं रोकथाम में निवेश करने की सलाह दी जाती है।
बाहरी विशेषज्ञों के साथ ओटी सुरक्षा को समझें
🔎 Stefan Schachinger, उत्पाद प्रबंधक नेटवर्क सुरक्षा - बाराकुडा में IoT/OT/ICS (छवि: बाराकुडा)।
लगातार बढ़ते खतरों की पृष्ठभूमि के खिलाफ, उत्पादक एसएमई को ओटी सुरक्षा पर पुनर्विचार करना होगा और उनकी स्थिति की जांच करनी होगी। वर्तमान उत्पादन स्थल कितना संकटग्रस्त है? क्या नेटवर्क अलग, जुड़े हुए और बाहर से सुलभ हैं? क्या कोई अच्छी ओटी सुरक्षा है और इसे आखिरी बार कब चेक किया गया था?
कंपनियां इनमें से कई सवालों का जवाब खुद नहीं दे सकती हैं, लेकिन बाहरी सलाह की जरूरत है, जिसमें टेस्ट अटैक और भेद्यता का मूल्यांकन शामिल है। इसलिए कंपनियों के लिए एक नए भवन या कंपनी के परिवर्तन की योजना बनाते समय अपनी ओटी सुरक्षा संरचनाओं पर पुनर्विचार करना और उनकी जांच करना सबसे अच्छा है।
अपतटीय पवन फार्म की सुरक्षा की योजना बनाने और उसे लागू करने के उदाहरण का उपयोग करके इसे स्पष्ट किया जा सकता है। नेटवर्क में प्रत्येक डिवाइस, चाहे छोटा हो या बड़ा, एक पूरे पिनव्हील की तरह, एक IoT डिवाइस (इंटरनेट ऑफ थिंग्स) के रूप में देखा जाता है और नेटवर्क के भीतर सुरक्षित होता है। नेटवर्क में सभी संचार की निगरानी की जाती है, अधिकार के अनुसार पहुंच का मूल्यांकन किया जाता है या विसंगतियों का विश्लेषण किया जाता है। यदि आवश्यक हो, तो नेटवर्क के कुछ हिस्सों को अलग किया जा सकता है या तुरंत ब्लॉक किया जा सकता है। इसलिए आधुनिक उत्पादक तकनीकों को हमेशा आधुनिक ओटी सुरक्षा तकनीकों के साथ मिलकर काम करना चाहिए।
आईटी और ओटी सुरक्षा का इंटेलिजेंट लिंकिंग
ओटी और आईटी को जोड़ने से उद्योग के लिए नए अवसर खुलते हैं, लेकिन साइबर सुरक्षा के लिए कई खतरे भी पैदा होते हैं। इसलिए, कंपनियों को एक व्यापक सुरक्षा रणनीति की आवश्यकता होती है जो स्वचालन और डिजिटलीकरण की पूरी क्षमता का सुरक्षित रूप से दोहन करने के लिए उत्पादन से लेकर व्यावसायिक संचालन तक संपूर्ण सुरक्षा जीवनचक्र पर विचार करती है।
बाराकुडा डॉट कॉम पर अधिक
बाराकुडा नेटवर्क के बारे में बाराकुडा दुनिया को एक सुरक्षित स्थान बनाने के लिए प्रयासरत है और उसका मानना है कि प्रत्येक व्यवसाय की क्लाउड-सक्षम, उद्यम-व्यापी सुरक्षा समाधानों तक पहुंच होनी चाहिए जो खरीदना, तैनात करना और उपयोग करना आसान हो। बाराकुडा ईमेल, नेटवर्क, डेटा और एप्लिकेशन को अभिनव समाधानों के साथ सुरक्षित करता है जो ग्राहक यात्रा के साथ बढ़ते और अनुकूल होते हैं। दुनिया भर में 150.000 से अधिक कंपनियां बाराकुडा पर भरोसा करती हैं ताकि वे अपने व्यवसाय को बढ़ाने पर ध्यान केंद्रित कर सकें। अधिक जानकारी के लिए, www.barracuda.com पर जाएं।