سائبر ریسیلینسی کیسے پیدا کی جائے؟

سائبر ریسیلینسی (Cyber-Resiliency) دراصل کسی بھی ادارے کی وہ صلاحیت ہے جو سائبر حملوں کے لیے تیاری (prepare)، اس کا جواب دینے (respond)اور دوبارہ پہلے والی حالت میں واپس آنے (recover) کے قابل بناتی ہے۔ اس کی بدولت ادارے سائبر حملوں کے واقعات کے باوجود مسلسل مطلوبہ نتائج فراہم کرتے ہیں۔ ایک سائبر ریسیلینٹ ادارہ معلوم اور نامعلوم بحرانوں، خطرات، مشکلات اور چیلنجز کا مقابلہ کرسکتا ہے۔ سائبر ریسیلینسی ایک ابھرتا ہوا نقطۂ نظر ہے جو تیزی سے پہچان حاصل کر رہا ہے۔

یہ ایک حقیقت ہے کہ اداروں میں کنڑیکٹرز کے نیٹ ورکس کے ذریعے سائبر استحصال زیادہ عام ہوتا جا رہا ہے۔ سائبر-ان سیکیور سپلائرز اور کنٹریکٹرز خفیہ بیک ڈور رسائی فراہم کرتے ہیں۔ امریکا کے پونیمون انسٹیٹیوٹ کے مطابق، 56فیصد اداروں کو تھرڈ پارٹی سپلائر کی وجہ سے سائبر سیکیورٹی کی خلاف ورزی کا سامنا کرنا پڑا۔ ا

گرچہ کمپنیاں مخصوص ڈیٹا کی خلاف ورزی یا قانونی ضوابط کی تعمیل کرنے کی پابند نہیں ہیں، لیکن کسی واقعے کے نتیجے میں ان کی ساکھ کو پہنچنے والا نقصان اہم ہے۔ مزید یہ کہ، کسی بھی ادارے کے صارفین کو خلاف ورزی کا فائدہ اٹھانے کی کوشش کرنے والے ہیکرز سے زیادہ خطرہ ہوتا ہے۔

جون 2017ء میں NotPetya رینسم ویئر کے سائبر حملے ثابت کرتے ہیں کہ تمام سائز کی کمپنیاں خطرے میں ہیں۔ اس سائبر حملے کی کمزور کڑی سپلائی چین پارٹنر تھی، جس کے نتیجے میں 50ہزار اینڈ پوائنٹ سسٹمز اور 130ممالک میں 600ورک سائٹس پر سیکڑوں انفلٹریٹڈ سرورز اور ایپلیکیشنز متاثر ہوئیں۔ لہٰذا، اداروں اور ان کے سپلائی چین پارٹنرز دونوں کے لیے سائبر سیکیورٹی کا مستقل انتظام اہم ہے۔ اس لیے سپلائی چین میں سائبر ریسیلینسی پیدا کرنے کے چار مراحل پر بات کرتے ہیں۔

سیکیورٹی کی سطحوں کا تعین

اداروں کو چاہیے کہ وینڈر، ذیلی کنٹریکٹرز اور سپلائی چین کے شراکت داروں کے لیے سیکیورٹی کی مناسب سطحوں کی وضاحت کریں۔ اس کے لیے سب سے پہلے ان ٹھیکیداروں کی شناخت اور درجہ بندی کرنا ہوگی جو یا تو اندرونی نیٹ ورک تک براہ راست رسائی رکھتے ہیں یا اہم انٹرپرائز ڈیٹا تک ان کی رسائی ہے۔ وینڈرز اور کنٹریکٹرز کو ان کے فعال کردار کے مطابق الگ الگ کرنے سے مدد مل سکتی ہے:

٭ اس بات کا تعین کریں کہ ان شراکت داروں کو کس قسم کی معلومات تک رسائی حاصل ہے اور وہ کمپنی کے فریم ورک سے کیسے جڑے ہوئے ہیں۔

٭ کنٹریکٹرز کے لیے مخصوص سروس لیول کے معاہدے تفویض کریں۔

٭ سپلائر کے باہمی تعمل کے نظام پر سائبر سیکیورٹی کے معیارات نافذ کریں۔

٭ مناسب ڈیٹا کی ملکیت، ڈیٹا شیئرنگ پروٹوکول اور اس ڈیٹا کے قابل قبول استعمال کو سمجھیں۔

وینڈر کی پیشگی اہلیت اور خطرے کی تشخیص 

کمپنی اپنے ڈیٹا اور نیٹ ورک کو محفوظ بنانے کے لیے تو ہر حفاظتی اقدام کر سکتی ہے، لیکن مسئلہ یہ ہے کہ اس بات کی تصدیق کیسے کی جائے کہ تھرڈ پارٹی شراکت دار بھی ایسا ہی کرتے ہیں؟ وینڈر کی پیشگی اہلیت اور خطرے کی تشخیص کمپنیوں کو اپنے شراکت داروں کی سیکیورٹی حالت کی نگرانی کرنے اور اس بات کی تصدیق کرنے کی اجازت دیتی ہے کہ آیا وہ اپنے معاہدوں میں بیان کردہ سائبر سیکیورٹی کی ذمہ داریوں کو برقرار رکھتے ہیں یا نہیں۔ باقاعدگی سے سپلائر آڈٹ اس بات کی نشاندہی کرتے ہیں کہ سائبرسیکیورٹی مانیٹرنگ اور کنٹرول کے لیے پارٹنر کو کس چیز کی ضرورت ہو سکتی ہے۔

ذیلی کنٹریکٹر اور سپلائر رسک مینجمنٹ سوفٹ ویئر دراصل سپلائر آڈیٹنگ کی خدمات اور سپلائر کی معروضی تشخیص پیش کرتا ہے تاکہ وینڈر سائبر سیکیورٹی کے خطرات کا درست اندازہ لگایا جا سکے۔ یہ سافٹ ویئر سپلائر کی پالیسیوں اور طریقہ کار کا جائزہ لے سکتا ہے تاکہ یہ یقینی بنایا جاسکے کہ وہ مناسب طریقے سے کوڈیفائیڈ، تصدیق شدہ اور توثیق شدہ ہیں۔ متعلقہ اشارے خطرے کا انتظام کرنے کے لیے اداروں کو بتاسکتے ہیں۔

نیٹ ورک اور ڈیٹا تک وینڈر کی رسائی کی نگرانی

خاص وینڈرز، کنٹریکٹرز اور سپلائرز کے لیے محدود نیٹ ورک تک رسائی قائم کرنے سے سیکیورٹی کی پوزیشن مزید مضبوط ہو سکتی ہے۔ وینڈرز اور کنٹریکٹرز کی نیٹ ورک تک رسائی کو کنٹرول کرنے کے لیے ایک مستقل نقطہ نظر ضروری ہے۔ کمزوری والے حصوں کی نشاندہی کرنے کے لیے رسائی پوائنٹس کی باقاعدگی سے نگرانی اور آڈٹ کریں اور اس بات کو یقینی بنائیں کہ رسائی، انتظام، سیکیورٹی، نگرانی اور آڈیٹنگ کا درست طریقہ کار موجود ہے۔

ملازمین کی تربیت

ملازمین سائبر سیکیورٹی میں آخری دفاع لائن ہیں اور سب سے عام خطرات میں سے ایک ہیں۔ اپنی کمپنی کی حفاظت اور خطرے کے واقعات کو روکنے کے لیے سائبر ریسیلینسی کے حوالے سے بیداری کا کلچر بنائیں۔ ہر کام کرنے والے کو مشغول کریں، خاص طور پر تھرڈ پارٹی وینڈرز کو۔

سائبر ریسیلینسی حاصل کرنے کے پہلے دو اقدامات میں واضح پالیسیوں کا مسودہ تیار کرنا اور ملازمین، کنٹریکٹرز، وینڈرز اور سپلائرز کو تربیت دینا ہے۔ وینڈرز کے لیے یہ ضروری ہو کہ وہ سائبر سیکیورٹی کو ترجیح دیتے ہوئے ساتھ کام شروع کرنے سے پہلے تربیت حاصل کریں۔ کمپنیوں کو نئے جعلی ڈیجیٹل ایکوسسٹم کے اندر موجود سائبر خطرات کو مکمل طور پر سمجھنے، کنٹرول کے اقدامات کو اپنی مرضی کے مطابق بنانے اور ان خطرات کو کم کرنے کے لیے شراکت داروں کے ساتھ تعاون کرنے کی ضرورت ہے۔