अधिकांश कर्मचारियों को यह जानने के लिए जागने की उम्मीद नहीं है कि फ़िशिंग के कारण वेतन-दिवस स्थगित कर दिया गया है। और आप शायद यह अनुमान नहीं लगाएंगे कि सीएफओ एक कंपनी के कंप्यूटर से अपना पक्ष चला रहा है, या यह कि डेटिंग साइटों पर काम के घंटों के कारण एक कर्मचारी की कॉर्पोरेट साख डार्क वेब पर है। इंटरनेट का धीमा होना कोई आश्चर्य की बात नहीं है, लेकिन उस बैंडविड्थ की खोज करना कोई आश्चर्य की बात नहीं है। एक कार्यकर्ता के ‘वयस्क-थीम वाले’ वेब कैमरा शो से निकाला जा रहा है एक स्पर्श अधिक खतरनाक है। एक आईटी सुरक्षा पेशेवर के जीवन में आपका स्वागत है।
यह ऐसी कहानियां हैं जो आईटी सुरक्षा पेशेवरों के लिए आश्चर्यजनक रूप से विशिष्ट हो सकती हैं। वास्तव में, साइबर सुरक्षा खतरे – कंपनी के अंदर और बाहर दोनों जगह – इतने बड़े हो गए हैं कि आईटी क्षेत्र के भीतर साइबर सुरक्षा ने अपने जीवन पर कब्जा कर लिया है। यह इतना बड़ा हो गया है कि साइबर सुरक्षा पेशेवरों की मांग बड़े पैमाने पर बढ़ रही है। साइबरसीक के आंकड़ों के अनुसार, एक मुफ्त साइबर सुरक्षा करियर और कार्यबल संसाधन, केवल अमेरिका में, “अप्रैल 2017 और मार्च 2018 के बीच 12 महीने की अवधि के दौरान निजी और सार्वजनिक क्षेत्रों में 301,873 साइबर सुरक्षा नौकरी के अवसर थे।” कॉर्पोरेट साइबर सुरक्षा डरावनी कहानियां जैसे कि आप जो पढ़ने जा रहे हैं, वह एक बड़ा कारण है।
कॉर्पोरेट सर्वर पर एक वयस्क शो की मेजबानी
जबकि अनुचित ऑनलाइन व्यवहार आईटी दुनिया में मुख्य मुद्दा प्रतीत होता है, कई बार यह हैकर्स द्वारा नहीं, बल्कि आंतरिक कर्मचारियों द्वारा प्रदर्शित किया जाता है। एनवाईसी-आधारित प्रबंधित सेवा प्रदाता (एमएसपी) ब्रेनलिंक के संस्थापक राज गोयल ने सोचा कि, आईटी में अपने 20 से अधिक वर्षों में, उन्होंने यह सब देखा था। लेकिन हाल ही में हुई एक घटना कुछ ऐसी थी जिसकी उन्होंने कभी कल्पना भी नहीं की थी।
एक ग्राहक के सीएफओ ने ब्रेनलिंक में यह पता लगाने के लिए फोन किया कि उनके आईटी विभाग में लगातार बैंडविड्थ से बाहर क्यों चल रहा था, भले ही उन्होंने अपग्रेड पर पैसा खर्च किया हो।
गोयल कहते हैं, “इन लोगों के पास वह था जिसे मैं ‘मोटा पाइप’ कहूंगा, लेकिन किसी कारण से, उनके आईटी लोग कहते रहे कि वे पूरी तरह से भरे हुए थे। तो मैंने देखा और पाया कि उन्हीं आईटी लोगों में से एक कंपनी नेटवर्क से एक वेब कैमरा पे-पर-व्यू वेबसाइट चला रहा था। यह एक पोर्न साइट थी, और जाहिर तौर पर उसकी प्रेमिका और उसके दोस्त ही प्रतिभा थे। ”
और भी चौंकाने वाला: यह दो साल से अधिक समय तक चला, और किसी ने इसे पकड़ा नहीं – इस कर्मचारी के कार्यों के बाद भी कंपनी को $ 180,000 से अधिक की लागत आई और हर तीन महीने में अपने नेटवर्क को अपग्रेड करने की आवश्यकता थी क्योंकि यह बहुत धीमी गति से चल रहा था।
तो मैंने देखा और पाया कि उन्हीं आईटी लोगों में से एक कंपनी नेटवर्क से एक वेब कैमरा पे-पर-व्यू वेबसाइट चला रहा था। यह एक पोर्न साइट थी, और जाहिर तौर पर उसकी प्रेमिका और उसके दोस्त ही प्रतिभा थे। ”
“यहां निष्कर्ष यह था कि सीएफओ को अधिक सक्रिय होना चाहिए था। वह आईटी से पूछताछ करेगा, और वे उसे उसके सवालों के जवाब नहीं दे रहे थे, ”गोयल कहते हैं। “यहां सबक यह है कि भले ही आपके पास एक इन-हाउस आईटी टीम या एमएसपी है, एक स्वतंत्र ऑडिट या मूल्यांकन करने के लिए (किसी बिंदु पर) एक तीसरे पक्ष को लाना महत्वपूर्ण है। आपको यह जांचना होगा कि आपको आरओआई मिल रहा है और हर कोई अपना काम कर रहा है।”
सीएफओ की ओर गीगो
गोयल एक घटना को भी याद करते हैं जहां एक स्वास्थ्य देखभाल कंपनी ने उन्हें अनुपालन और सुरक्षा जांच करने के लिए बुलाया था, और उन्होंने खुलासा किया कि सीएफओ अपने कार्यालय से पूरी तरह से अलग कंपनी चला रहा था।
“मैंने उससे पूछा और उल्लेख किया कि मैं हर दिन एक दूरस्थ कनेक्शन के लिए एक लॉगऑन देख रहा था, और जैसे ही उसने यह सुना, वह आदमी दंग रह गया … मुझे लगा कि उसे दिल का दौरा पड़ने वाला है, जब मैंने उसे बताया। पहले तो उसने कहा नहीं, लेकिन फिर स्वीकार किया कि वह अपने व्यवसाय के लिए कुछ काम कर रहा था, ”गोयल कहते हैं।
जबकि गोयल ने नोट किया कि कार्यकारी कंपनी के संसाधनों का उपयोग नहीं कर रहा था, उनका कहना है कि कर्मचारी अभी भी अपना आधा दिन कंपनी के समय पर अपने निजी आयात / निर्यात व्यवसाय को चलाने में बिता रहा था, अपने घर के कंप्यूटर में दूरस्थ रूप से लॉग इन करके। गोयल और उनकी टीम ने नेटवर्क के फ़ायरवॉल ट्रैफ़िक का आकलन करके इसका पता लगाया। सबसे पहले, उन्हें उम्मीद थी कि शायद समस्याएं एक ऑफ-साइट डेटा सेंटर से उपजी हैं। हालाँकि, जब उन्होंने सीएफओ से संपर्क किया, तो उन्हें उस प्रतिक्रिया की उम्मीद नहीं थी:
“मैंने उससे पूछा और उल्लेख किया कि मैं हर दिन एक दूरस्थ कनेक्शन के लिए एक लॉगऑन देख रहा था, और जैसे ही उसने यह सुना, वह आदमी दंग रह गया … मुझे लगा कि उसे दिल का दौरा पड़ने वाला है, जब मैंने उसे बताया। पहले तो उसने कहा नहीं, लेकिन फिर स्वीकार किया कि वह अपने व्यवसाय के लिए कुछ काम कर रहा था, ”गोयल कहते हैं।
फ़िशिंग Payday स्थगित करता है
कभी-कभी व्यवसाय को पता नहीं चलता कि उल्लंघन हुआ है। और एक की खोज करने के बाद भी, वे हमेशा आवश्यक सुरक्षा उपाय नहीं करते हैं।
“एक बाहरी उल्लंघन जिसे अत्यधिक प्रचारित किया जाता है, प्रतिष्ठा को नुकसान पहुंचा सकता है, और फिर क्लाइंट सुरक्षा नियंत्रण में निवेश नहीं करता है केवल यह पता लगाने के लिए कि हैकर्स ने कभी नहीं छोड़ा, और वे अभी भी अपने नेटवर्क में घुसपैठ कर रहे हैं,” शिकागो स्थित एमएसपी बी के संस्थापक बार्ट बार्सविक्ज़ सुइट साइबर सिक्योरिटी, टॉम के हार्डवेयर को बताता है।
“अगर किसी ने नियम और प्रमाणीकरण स्थापित किया होता, तो उन्हें सूचित किया जाता कि जानकारी बदल दी गई है,” बार्सविक्ज़ कहते हैं। “सबसे बड़ी [समस्या] यह थी कि ऐसा होने के बाद, वे साइबर सुरक्षा समाधान में निवेश नहीं करना चाहते थे और इस अनुभव से नहीं सीखते थे।”
बड़ी निर्माण/वितरण कंपनी को लें, जिसमें Barcewicz ने पिछली नौकरी में काम किया था। उनका कहना है कि वहां के लगभग 10 कर्मचारियों को एक फ़िशिंग ईमेल प्राप्त हुआ, जिसके लिए वे गिर गए, अपने Office 365 क्रेडेंशियल और अन्य लॉगिन जानकारी को हैकर्स को भेज दिया। इसके बाद हैकर्स ने इस कंपनी के पेरोल खातों में प्रवेश करने के लिए जानकारी का उपयोग किया और कर्मचारियों के सभी खाते की जानकारी बदल दी। चूंकि कंपनी के पास कोई अलर्ट या सुरक्षा नियंत्रण स्थापित नहीं था, इसलिए दो सप्ताह बाद तक उल्लंघन का पता नहीं चला जब कर्मचारियों को उनकी तनख्वाह नहीं मिली।
“अगर किसी ने नियम और प्रमाणीकरण स्थापित किया होता, तो उन्हें सूचित किया जाता कि जानकारी बदल दी गई है,” बार्सविक्ज़ कहते हैं। “सबसे बड़ी [समस्या] यह थी कि ऐसा होने के बाद, वे साइबर सुरक्षा समाधान में निवेश नहीं करना चाहते थे और इस अनुभव से नहीं सीखते थे।”
डार्क वेब निराशा
एक अन्य स्थिति, जिसे Barcewicz ने कई ग्राहकों में देखा है, वह है कॉर्पोरेट लॉगिन जानकारी का उपयोग करने वाले कर्मचारी (उदा: उनके कार्य ईमेल पते) व्यक्तिगत वेबसाइटों, जैसे कि सोशल मीडिया और डेटिंग सेवाओं के लिए साइन अप करने के लिए। इन साइटों तक पहुँचने के दौरान आमतौर पर काम के घंटों के दौरान, यह एक सुरक्षा समस्या बन जाती है, जब किसी उपयोगकर्ता की कॉर्पोरेट जानकारी का उपयोग किसी ऐसी साइट पर किया जाता है जिसका उल्लंघन किया जाता है और वे क्रेडेंशियल डार्क वेब पर समाप्त हो जाते हैं। 2,500 कर्मचारियों वाली एक इंजीनियरिंग फर्म के लिए डार्क वेब विश्लेषण करने के बाद बार्सविक्ज़ ने इस सटीक स्थिति का पता लगाया।
“वे सचमुच कहते हैं कि वे उपयोगकर्ता के हर ऑनलाइन कदम को रिकॉर्ड कर रहे हैं, कहते हैं कि वे उन्हें वेबकैम पर देख रहे हैं और अगर वे बिटकॉइन में भुगतान नहीं करते हैं, तो वे अपनी संपर्क सूची को वह सब कुछ बता देंगे जो वे कर रहे हैं।”
Barcewicz लोकप्रियता हासिल करने वाले एक और डार्क वेब घोटाले को भी नोट करता है, जहां हैकर्स एक उपयोगकर्ता के कंप्यूटर को हाईजैक कर लेते हैं और उनकी संपर्क सूची में सभी को उनके अनुचित ऑनलाइन व्यवहार की रिपोर्ट करने की धमकी देते हैं:
“वे सचमुच कहते हैं कि वे उपयोगकर्ता के हर ऑनलाइन कदम को रिकॉर्ड कर रहे हैं, कहते हैं कि वे उन्हें वेबकैम पर देख रहे हैं और अगर वे बिटकॉइन में भुगतान नहीं करते हैं, तो वे अपनी संपर्क सूची को वह सब कुछ बता देंगे जो वे कर रहे हैं।”
Barcewicz सलाह देता है कि कर्मचारी किसी भी व्यक्तिगत चीज़ के लिए कार्य जानकारी का उपयोग करने से बचें।
“कोई व्यक्ति उस जानकारी को ले सकता है और फिर इसका इस्तेमाल घोटाले के लिए कर सकता है, जैसे कि बिटकॉइन पैसे के बदले आपकी जानकारी फिरौती रखना,” वे कहते हैं।
पागलपन से लड़ना
सुरक्षा पेशेवरों की इतनी बड़ी मांग का एक कारण यह है कि वे केवल बाहर से आने वाले खतरों से नहीं लड़ रहे हैं; वे संगठन के अंदर से स्वस्थ मात्रा में जोखिमों का प्रबंधन भी कर रहे हैं। यह एक कर्मचारी से आ सकता है जिसके पास सर्वर और अन्य तकनीक तक पहुंच है, और इससे भी अधिक किसी कर्मचारी के जाने के बाद – खासकर अगर यह एक सौहार्दपूर्ण बिदाई नहीं है। इसका समाधान करने के लिए, Barcewicz दो-कारक प्रमाणीकरण को लागू करने और पासवर्ड प्रबंधक स्थापित करने जैसे कदम उठाने की सिफारिश करता है।
“किसी भी व्यवसाय के लिए न्यूनतम संभव होने पर दो-चरणीय पासवर्ड प्रमाणीकरण का उपयोग करना है, साथ ही पासवर्ड मैनेजर टूल के माध्यम से विभिन्न पासवर्ड का उपयोग करना है,” वे कहते हैं। “हम हर तीन से छह महीने में आपका पासवर्ड (संवेदनशील वेबसाइटों के लिए) बदलने की भी सलाह देते हैं, लेकिन दो-चरणीय प्रमाणीकरण के साथ, आमतौर पर ऐसा अक्सर नहीं करना पड़ता है।”
और Barcewicz अपने ग्राहकों को जो उपदेश देता है उसका अभ्यास करता है। वह व्यक्तिगत रूप से एक वेब-आधारित पासवर्ड प्रबंधक का उपयोग करता है जो उसके द्वारा लॉग इन की गई प्रत्येक वेब साइट (साथ ही दो-चरणीय प्रमाणीकरण) के लिए स्वचालित रूप से एक अलग पासवर्ड उत्पन्न करता है। उनका कहना है कि ऐसा इसलिए है क्योंकि ऑटो-जेनरेटेड पासवर्ड को भंग करना अधिक कठिन होता है। “हैकर्स हमेशा सटीक पासवर्ड की तलाश में नहीं होते हैं,” वे कहते हैं। “वे विविधताओं और पैटर्न का पता लगाने की कोशिश कर रहे हैं क्योंकि वे जानते हैं कि अक्सर उन्हें अन्य साइटों पर इस तरह उपयोग किया जाता है।”
Barcewicz और Goel दोनों का कहना है कि इन कहानियों का नैतिक यह है कि, व्यापार मालिकों के लिए, कार्रवाई का सबसे अच्छा तरीका एक तृतीय-पक्ष IT सुरक्षा मूल्यांकनकर्ता है जो जानता है कि वे क्या कर रहे हैं।
“किसी भी व्यवसाय के लिए न्यूनतम संभव होने पर दो-चरणीय पासवर्ड प्रमाणीकरण का उपयोग करना है, साथ ही पासवर्ड मैनेजर टूल के माध्यम से विभिन्न पासवर्ड का उपयोग करना है,” वे कहते हैं।
गोयल कहते हैं, ”एक अच्छा आकलन कभी दुख नहीं देता। “लेकिन आपको पैसा खर्च करना होगा; किसी ऐसे व्यक्ति का उपयोग न करें जो अभी एक निःशुल्क टूल डाउनलोड करने जा रहा है और फिर आपको वह बताएं जो आप सुनना चाहते हैं। आपको किसी ऐसे व्यक्ति की आवश्यकता है जो पैटर्न ट्रैफ़िक, डेटा, उपयोगकर्ता व्यवहार और अन्य महत्वपूर्ण क्षेत्रों जैसी चीज़ों को देख सके।”
Barcewicz कहते हैं कि परिवर्तन के प्रतिरोध ने कुछ ग्राहकों को उचित साइबर सुरक्षा में निवेश करने से रोक दिया है। क्लाइंट के मामले में जिसका पेरोल हैक कर लिया गया था, अधिकारियों ने अभी भी साइबर सुरक्षा के लिए अपने दृष्टिकोण में सुधार करने से इनकार कर दिया। “वे अपने काम करने के तरीके को बदलना नहीं चाहते थे, और पैसा बिल्कुल भी कारण नहीं था,” वे कहते हैं। “यह परिवर्तन का अधिक प्रतिरोध था; वह मुख्य चालक था। ”
आपकी सबसे अजीब आईटी सुरक्षा कहानी क्या है? क्या आप वेबकैम स्कैंडल में शीर्ष पर आ सकते हैं? नीचे टिप्पणी करके हमें बताएं।
