यूके सरकार का कहना है कि बोर्ड को साइबर पर ध्यान देने के लिए बाध्य करने के लिए उल्लंघन की आवश्यकता है
यूके भर में व्यापारिक नेता आम तौर पर समझाने में असमर्थ हैं: साइबर सुरक्षा जोखिमऔर एक गंभीर घटना होने के बाद उचित सुरक्षा को लागू करने की आवश्यकता को पहचानते हैं। श्वेत पत्र के अनुसार डिजिटल, संस्कृति, मीडिया और खेल विभाग (DCMS) द्वारा बनाया गया।
DCMS ने कई गुमनाम संगठनों के CISO सहित IT नेताओं का साक्षात्कार लिया, जिन्होंने साइबर हमले और डेटा उल्लंघनों का अनुभव किया है। यह पता चला है कि उनमें से अधिकांश सहमत हैं कि उन्हें सुरक्षा में अधिक निवेश करने की आवश्यकता है, और अधिकांश सोचते हैं कि वे किसी और की तुलना में बेहतर तैयार हैं। , उन्होंने यह भी कहा कि अन्य नेतृत्व टीमों से सुरक्षा में समर्थन और रुचि के विभिन्न स्तर थे।
अधिकांश व्यापारिक नेताओं ने कहा कि वे सुरक्षा के महत्व को समझते हैं और इसका समर्थन करते हैं, लेकिन क्या उनके बोर्ड खतरे के पैमाने को समझते हैं और इसका जवाब देने के लिए आवश्यक सांस्कृतिक बदलाव पर भी सवाल उठाया गया है।
कई आईटी नेताओं के लिए, इसलिए, साइबर घटनाएं एक वास्तविकता बन गई हैं, जिसमें उन्होंने खतरे को वास्तविक बना दिया है, सुरक्षा के महत्व को रेखांकित किया है, और हितधारकों के साथ निवेश की वकालत करना आसान बना दिया है। कुछ सकारात्मक परिणाम सामने आए हैं। , थोड़ा डरा हुआ, लेकिन बोर्ड।
एक प्रतिवादी, एक रसद, विनिर्माण और ई-कॉमर्स प्लेटफॉर्म प्रदाता के लिए एक सीएसओ ने एक महत्वपूर्ण समस्या का अनुभव किया। सेवा का वितरित इनकार (DDoS) हमला कंपनी के तीसरे पक्ष के होस्टिंग सेवा प्रदाता के माध्यम से 3 जुलाई 2021 की शाम को हुआ, इसके कुछ ही मिनट बाद यूक्रेन के खिलाफ इंग्लैंड के यूरोपीय चैम्पियनशिप क्वार्टर फाइनल मैच की शुरुआत हुई।
कंपनी की आईटी टीम के लिए यह दो घंटे का तनावपूर्ण समय था, लेकिन हमले पर काबू पा लिया गया और अपेक्षाकृत कम समय में सेवाएं चालू हो गईं।
उल्लंघन के बाद, सीएसओ ने कहा कि व्यापार ने एक बड़ी परिवर्तन प्रक्रिया शुरू की, व्यापार के लिए आठ पहचाने गए साइबर जोखिमों को कम करने के लिए खतरे की ट्रैकिंग और सुरक्षा परीक्षण आयोजित किया।
सीएसओ ने कहा: मेरा मानना है कि इससे मेरे कार्यक्रम के कई तत्वों के वितरण में तेजी लाने में मदद मिली है। “
एक अन्य प्रतिवादी, एक थोक और खुदरा आईटी प्रबंधक, ने नवंबर 2021 में एक साइबर हमले का अनुभव किया, जब उनके संगठन के Microsoft Exchange सर्वर से छेड़छाड़ की गई, अपहरण किया गया और भेजा गया। स्पीयर फ़िशिंग ईमेल कंपनी संपर्क के लिए।
कंपनी को घटना की जानकारी तब हुई जब लोगों ने इन ईमेल के जवाब में पहुंचना शुरू किया। आईटी प्रबंधक ने “अच्छी तरह से छिपी हुई घबराहट” की अवधि का वर्णन किया, जो कि कंपनी द्वारा पहले इस्तेमाल किए गए बाहरी आईटी सलाहकार की अनुपलब्धता के कारण हुई थी। कंपनी को खुद से निपटना था।
हमलावर फिर से हमले को दोहराने में सक्षम थे, केवल यह पता लगाने के लिए कि कंपनी के साथ महीनों पहले समझौता किए गए पैच के माध्यम से समझौता किया गया था।
अंततः, कंपनी को अपने अधिकांश आईटी बुनियादी ढांचे को खरोंच से पुनर्निर्माण करने के लिए मजबूर होना पड़ा। इसका परिणाम महत्वपूर्ण डाउनटाइम और व्यावसायिक प्रभाव था, जिसमें खोए हुए ग्राहक, खोए हुए राजस्व और गंभीर रूप से क्षतिग्रस्त प्रतिष्ठा शामिल थे।
लेकिन आईटी प्रबंधकों का कहना है कि इसमें सकारात्मकता है, खासकर सांस्कृतिक बदलाव।
एक तीसरे प्रतिवादी, यूके में 150,000 से अधिक कर्मचारियों वाले एक बड़े निजी संगठन के सुरक्षा संचालन केंद्र (HSOC) के प्रमुख, 2021 की शुरुआत में इसी तरह के हमले की चपेट में आ गए थे और उनके ब्रांड को हाईजैक कर लिया था। मैं था। स्मिशिंग अभियान ग्राहकों को एक छेड़छाड़ की गई वेबसाइट पर पुनर्निर्देशित किया।
घटना से पहले, एचएसओसी ने कहा कि संगठन साइबर सुरक्षा को बोर्ड स्तर के व्यावसायिक मुद्दे के रूप में देखता है। ऐसा इसलिए है क्योंकि इसमें वित्तीय, परिचालन, रणनीतिक और ग्राहक जोखिम शामिल हैं। साथ ही, संगठन अत्यधिक विनियमित क्षेत्र में काम करता है, इसलिए इसकी अनुपालन व्यवस्था आम तौर पर अच्छी होती है।
HSOC ने DCMS साक्षात्कारकर्ताओं को बताया कि मामला अंततः फायदेमंद साबित हुआ।
“हमारी चुनौती अब तक रही है कि हम अपनी सफलता के शिकार हुए हैं क्योंकि हम रक्षा करने में अच्छे थे। ऐसी कोई बात नहीं थी,” एचएसओसी ने कहा। कहा।
टेसियन सीईओ टिम सैडलर ने कहा कि जबकि वह सकारात्मक थे कि कंपनियां हमले के बाद अपने बचाव को मजबूत करने के लिए कदम उठा रही थीं, यह अक्सर बहुत कम या बहुत देर हो चुकी थी।
“व्यावसायिक नेताओं को सुरक्षा टीमों को सुनने और यह समझने की आवश्यकता है कि महंगा उल्लंघन होने से पहले अपने संगठनों की सुरक्षा कैसे करें,” उन्होंने कहा। “हाल ही की टेसियन रिपोर्ट के अनुसार, 58% कर्मचारियों का मानना है कि साइबर सुरक्षा उनकी कंपनी के वरिष्ठ प्रबंधन में एक उच्च प्राथमिकता है, एक ऐसा आँकड़ा जिसे नाटकीय रूप से कम करने की आवश्यकता है।
“सुरक्षा को मजबूत करने और एक मजबूत सुरक्षा संस्कृति के निर्माण के लिए एक शीर्ष-डाउन, सहयोगी दृष्टिकोण यह सुनिश्चित करने के लिए महत्वपूर्ण है कि हर कोई साइबर हमले से संगठनों की रक्षा करने में उनकी भूमिका को समझता है।”
सैडलर ने कहा: साइबर सुरक्षा की बात करें तो यह मानसिकता खतरनाक है, विशेष रूप से यह देखते हुए कि पिछले 12 महीनों में तीन-चौथाई व्यवसायों ने सुरक्षा घटना का अनुभव किया है। “
