साइबर सुरक्षा का सही उपयोग अब पहले से कहीं अधिक महत्वपूर्ण है। बढ़ते खतरों के कारण हमलों का खतरा लगातार बढ़ रहा है. विधायिका ने भी इसे मान्यता दी और NIS2 दिशानिर्देश बनाए। एक्सियंस सुझाव देता है कि कंपनियों को अब कैसे आगे बढ़ना चाहिए।
सवा लाख नए खोजे गए मैलवेयर वेरिएंट, प्रति माह सॉफ्टवेयर उत्पादों में 2.000 पहचानी गई कमजोरियां, हर दिन 21.000 नए संक्रमित सिस्टम, 68 सफल रैंसमवेयर हमले और अकेले नगर निगम सुविधाओं या नगर निगम कंपनियों पर प्रति माह दो प्रयास। संघीय सूचना सुरक्षा कार्यालय (बीएसआई) की वर्तमान साइबर सुरक्षा स्थिति रिपोर्ट में चौंकाने वाले आंकड़ों का उल्लेख किया गया है: कार्यालय ने चेतावनी दी है कि अपराधी विकसित हो रहे हैं। आज, पेशेवर साइबर अपराधियों का व्यापक नेटवर्क है और वे श्रम विभाजन में काम करते हैं। वे अपने हमलों के लिए कृत्रिम बुद्धिमत्ता (एआई) और अन्य आधुनिक तकनीकों का उपयोग करते हैं।
साइबर सुरक्षा परिदृश्य में इन स्थितियों के कारण, EU ने निर्देश NIS2 जारी किया है। निर्देश की आवश्यकताओं को वर्तमान में राष्ट्रीय कानूनों में शामिल किया जा रहा है और 17 अक्टूबर, 2024 तक इसे संहिताबद्ध किया जाना चाहिए। सभी प्रभावित संस्थान साइबर सुरक्षा उपायों की एक श्रृंखला को लागू करने के लिए बाध्य हैं।
NIS2 के लिए कंपनियों को क्या आवश्यकताएँ पूरी करनी होंगी?
अन्य बातों के अलावा, कंपनियों के पास जोखिम प्रबंधन अवधारणा होनी चाहिए, आपातकालीन योजनाएं शुरू करनी चाहिए और सुरक्षा घटनाओं की रिपोर्ट बीएसआई को देनी चाहिए। तकनीकी सुरक्षात्मक उपायों की आवश्यकता है, जैसे व्यवस्थित डेटा बैकअप, पहुंच नियंत्रण के लिए अवधारणाएं, एन्क्रिप्शन और भेद्यता प्रबंधन। आईटी सुरक्षा अधिनियम 2.0 के अनुरूप, एनआईएस2 यह भी निर्धारित करता है कि कंपनियों को अपनी सुरक्षा अवधारणाओं में अपनी आपूर्ति श्रृंखला की कमजोरियों को ध्यान में रखना चाहिए ताकि अपराधी आपूर्तिकर्ताओं के माध्यम से सिस्टम में सेंध न लगा सकें। सुरक्षा मानकों और प्रक्रियाओं को शामिल करके अंततः अत्याधुनिक को लागू करना महत्वपूर्ण है जिन्हें NIS2 से पहले ही सर्वोत्तम प्रथाओं के रूप में अनुशंसित किया गया था।
जिस किसी ने भी हाल के वर्षों में लागू मानकों के अनुसार अपराधियों के खिलाफ अपने व्यवसाय को सुरक्षित करने पर ध्यान दिया है, उसे आवश्यकताओं को पूरा करने के लिए केवल कुछ समायोजन करने की आवश्यकता है। लेकिन जो कंपनियाँ और संस्थान अब पहली बार NIS2 क्षेत्र में आते हैं और पहले साइबर सुरक्षा के विषय की उपेक्षा कर चुके हैं, उन्हें अब बड़ी चुनौतियों का सामना करना पड़ रहा है। आवश्यकताओं की तैयारी के लिए, नई कंपनियों को शीघ्र ही सुरक्षात्मक उपाय करने चाहिए। लक्ष्य तक पहुँचने का रास्ता पाँच कदमों का है।
क्या कंपनी NIS2 कानून से प्रभावित है?
सबसे पहले, कंपनियों को यह स्पष्ट करना चाहिए कि क्या वे NIS2 विनियमन के विस्तारित दायरे से संबंधित हैं। दो मुख्य समूह हैं: महत्वपूर्ण सुविधाओं के संचालक और "विशेष रूप से महत्वपूर्ण" या "महत्वपूर्ण" सुविधाएं। मायने यह रखता है कि क्या ये कंपनियाँ उन आर्थिक क्षेत्रों में काम करती हैं जो विनियमन के अधीन हैं। यहां अभी भी काफी अनिश्चितता है. स्पष्टता प्रदान करने के लिए, कंपनियों को स्वयं से निम्नलिखित प्रश्न पूछने चाहिए: क्या मैं विनियमित क्षेत्रों में से किसी एक में सक्रिय हूं? क्या मेरा व्यवसाय आधिकारिक सीमाओं को पूरा करता है? क्या टर्नओवर पर्याप्त है और क्या कर्मचारियों की संख्या सही है? यदि इन प्रश्नों का उत्तर हाँ है, तो NIS2 सुरक्षा आवश्यकताएँ लागू होती हैं। हालाँकि, सभी कंपनियों के लिए यह सलाह दी जाती है - चाहे वे NIS2 के अंतर्गत आती हों या नहीं - अपनी स्वयं की सुरक्षा अवधारणाओं का परीक्षण करें और जाँचें कि क्या वे अत्याधुनिक के अनुरूप हैं। आईटी के लिए जिम्मेदार लोगों को यह निर्धारित करना भी नहीं भूलना चाहिए कि कंपनी के किन क्षेत्रों को संरक्षित करने की आवश्यकता है।
आईटी इंफ्रास्ट्रक्चर कितना सुरक्षित है?
अगला कदम यह पता लगाना है कि सबसे बड़े कमजोर बिंदु कहां हैं। कंपनी में साइबर सुरक्षा कैसे संरचित है? वर्तमान सुरक्षा स्तर क्या है? जोखिम मूल्यांकन से पता चलता है कि सुरक्षा रणनीति सबसे अच्छी कहां से शुरू होती है - अर्थात् जहां कंपनियां सबसे तेज सुधार हासिल कर सकती हैं। बाद में, उपयोगकर्ताओं को नियमित अंतराल पर प्रक्रिया दोहरानी चाहिए। निरंतर मूल्यांकन से आईटी लचीलेपन को धीरे-धीरे बढ़ाने में मदद मिल सकती है।
आपूर्ति श्रृंखला की सुरक्षा क्या है?
अनिवार्य जोखिम मूल्यांकन में, न केवल आपकी अपनी कंपनी के जोखिमों की भूमिका होनी चाहिए, बल्कि आपूर्ति श्रृंखला के विशिष्ट कमजोर बिंदुओं को भी ध्यान में रखा जाना चाहिए। यदि कमजोरियों की पहचान की जाती है, तो नियामक आवश्यकताओं के अनुपालन और इंटरफेस की सुरक्षा के लिए जवाबी उपाय किए जाने चाहिए। उदाहरण के लिए, एक्सटर्नल अटैक सरफेस (ईएएस) स्कैन इसमें मदद कर सकता है। आपूर्ति श्रृंखलाओं में संभावित कमजोरियों की पहचान करने के लिए सक्रिय रूप से कार्य करने और जोखिम विश्लेषण करने की सलाह दी जाती है। प्रभावित सुविधाएं अपनी आपूर्तिकर्ता कंपनियों के साथ एक सामान्य सुरक्षा अवधारणा विकसित कर सकती हैं।
हमले का पता लगाने के लिए कौन सी प्रणाली उपयुक्त है?
सूचना प्रणालियों की आवश्यक सुरक्षा सुनिश्चित करने के लिए, हमले का पता लगाने वाली प्रणालियों की भी सिफारिश की जाती है। कई कंपनियों के लिए, सुरक्षा सूचना और इवेंट प्रबंधन समाधान (एसआईईएम सिस्टम) लागू करना उचित है क्योंकि यह अधिकांश घुसपैठ का पता लगाने वाली प्रणालियों का आधार बनता है। एसआईईएम डेटा एकत्र करता है जिसका मूल्यांकन सुरक्षा संचालन केंद्र (एसओसी) में भी किया जा सकता है। यह आईटी संचालन के लिए उपयोगी जानकारी प्रदान करता है, जैसे गलत कॉन्फ़िगरेशन के संकेत। एसआईईएम विकल्पों की विविधता कंपनी की अपनी जरूरतों को पूरा करने के लिए कई संभावनाएं प्रदान करती है। उदाहरण के लिए, कंपनियां यह तय कर सकती हैं कि स्व-प्रबंधित एसआईईएम प्रणाली का उपयोग करना है या पेशेवर एसओसी की सेवाओं का। दी जाने वाली सेवाओं की श्रेणी आपके स्वयं के इन-हाउस ऑपरेशन या सह-प्रबंधित एसआईईएम से लेकर एक्सियन्स जैसे बाहरी आईसीटी सेवा प्रदाताओं से पूरी तरह से प्रबंधित आईटी/ओटी एसओसी सेवाओं तक होती है।
NIS2 के लिए एक समझदार सुरक्षा अवधारणा कैसी दिखती है?
न केवल हार्डवेयर और सॉफ्टवेयर से युक्त आईटी सुरक्षा प्रणालियों को खरीदना महत्वपूर्ण है, बल्कि ऐसे नियम और प्रक्रियाएं स्थापित करना भी महत्वपूर्ण है जो सूचना सुरक्षा को लगातार परिभाषित, प्रबंधन, निगरानी, रखरखाव और लगातार सुधारते हैं। कंपनियां मॉड्यूलर सिद्धांत के अनुसार आगे बढ़ सकती हैं: सबसे पहले, सुरक्षा स्तर को तेजी से बढ़ाने वाले कदम उठाए जाने चाहिए। फिर सुरक्षा को स्तर दर स्तर बढ़ाया जा सकता है। बीएसआई-ग्रंड्सचुट्ज़ या आईएसओ 2700x जैसे सुरक्षा मानकों के साथ-साथ शून्य ट्रस्ट आर्किटेक्चर मार्गदर्शन के रूप में काम कर सकता है। विशेष रूप से, बेसिक प्रोटेक्शन कम्पेंडियम की ओर उन्मुखीकरण बहुत सहायता प्रदान करता है, क्योंकि इसमें सुरक्षा उपायों की सर्वोत्तम अभ्यास सूची शामिल है।
विधायिका ने स्थिति की गंभीरता को पहचाना है और नए नियमों के साथ आवश्यकताओं को सख्त कर दिया है। बढ़ते खतरे की स्थिति से पता चलता है कि कंपनियों को सीधे कार्यान्वयन से निपटना चाहिए। विस्तृत तकनीकी निर्णयों में न भटकने के लिए, आप एक्सियन्स जैसे अनुभवी आईसीटी सेवा प्रदाताओं से सहायता ले सकते हैं। ये NIS2 विनियमन के अनुसार ग्राहकों के लिए दैनिक आधार पर सिस्टम लागू करते हैं। व्यावसायिक मूल्यांकन, अग्रिम सलाह और निरंतर समर्थन एक उपयुक्त रणनीति को शीघ्रता से विकसित करने और कंपनियों में आईटी विभागों पर बोझ से राहत देने में मदद करते हैं।
Axians.com पर और अधिक
एक्सियंस के बारे में
एक्सियन्स निजी कंपनियों, सार्वजनिक संस्थानों, नेटवर्क ऑपरेटरों और सेवा प्रदाताओं को उनके डिजिटल बुनियादी ढांचे और समाधानों को आधुनिक बनाने में समर्थन देता है। चाहे एप्लिकेशन हों या डेटा एनालिटिक्स, कॉर्पोरेट नेटवर्क, साझा कार्यक्षेत्र, डेटा सेंटर, क्लाउड समाधान, दूरसंचार अवसंरचना या इंटरनेट सुरक्षा।