সাইবার জগতে অভ্যন্তরীণ আক্রমনে ক্ষতির পরিমান আনুমানিক ২০ লক্ষ ডলার
by CIRT Team
সাইবার জগতে অভ্যন্তরীণ আক্রমণ একটি ভয়ানক হুমকির নাম। প্রতিষ্ঠানে চাকুরীরত কর্মকর্তা-কর্মচারীদের কোন একজনের অবহেলা বা অসতর্কভাবে ডিজিটাল ডিভাইস বা যন্ত্রপাতির ব্যবহার বা ক্ষতিকারক (ম্যালিশিয়াস) কর্মকানন্ডের প্রেক্ষিতে প্রতিষ্ঠানকে সাইবার আক্রমনের স্বীকার হতে হয় এবং সমূহ ক্ষতির সম্মুখীন হতে হয়। বিটগ্লাস কর্তৃক সম্পাদিত একটি জরিপ প্রতিবেদন অনুযায়ী বিগত ১২ মাসে বিভিন্ন প্রতিষ্ঠানে সংঘটিত সাইবার আক্রমণগুলোর আনুমানিক ৬১% এর সাথে সেই প্রতিষ্ঠানেরই আভ্যন্তরীণ কর্মকর্তা-কর্মচারী জড়িত ছিলেন।
আভ্যন্তরীণ হুমকিগুলোর ভয়াবহতা
বর্তমান সময়ে ব্যবসায়ীক প্রতিষ্ঠানগুলো প্রতিনিয়ত নতুন এক পরিবর্তনের দিকে এগিয়ে যাচ্ছে। এর প্রেক্ষিতে প্রতিষ্ঠানে চাকুরীরত কর্মকর্তা-কর্মচারীদেরও এর সাথে মানিয়ে নিতে হচ্ছে। বর্তমানে প্রতিষ্ঠানগুলো অনেকগুলো নতুন নতুন পলিসি গ্রহণ করেছে যেমন, নিজস্ব ডাটা সেন্টার ব্যহারের পরিবর্তে ক্লাউড ডাটা-সেন্টারের ব্যবহার, অফিসে না এসে রিমোটলি কাজ করার সুযোগ এবং অফিসে নিজস্ব ডিভাইস এনে কাজ করা যা Bring your own device (BYOD) হিসেবে পরিচিত – এ ধরনের একাধিক পলিসি। এই পলিসিগুলোকে সচল রাখতে গিয়ে যে জায়গাটাতে সবচেয়ে বেশি চ্যালেঞ্জের সম্মুখীন হতে হচ্ছে তা হল আভ্যন্তরীণ হুমকি মোকাবেলায় সিকিউরিটি নিশ্চিতকরণ।
সাইবার আক্রমনের ফলশ্রুতিতে বেশিরভাগ ক্ষেত্রেই প্রতিষ্ঠানের আর্থিক ক্ষতি ও মর্জাদাহানী ঘটে। কিন্তু বেশিরভাগ ক্ষেত্রেই প্রতিষ্ঠানগুলো এর অভ্যন্তরীণ হুমকিগুলো চিহ্নিত করতে সক্ষম হয়না। হুমকিগুলোর শ্রেনিবিন্যাস করলে দেখা যাবে এর ৮২% ব্যক্তিগত ডিভাইস বা ৫০% ক্লাউডের মাধ্যমে সংঘটিত হয়েছে যা কি না মূলত অভ্যন্তরীণ আক্রমণ। এর মধ্যে ৮১% ক্ষেত্রে এসব হুমকি ও হামলার প্রেক্ষিতে প্রতিষ্ঠানের সংঘটিত আর্থিক ক্ষতির পূর্বমূল্যায়ন করা সম্ভব হয়নি।
প্রতিষ্ঠানগুলোতে পৃথক পৃথক স্তরের সুরক্ষা নিশ্চিত করার লক্ষে একাধিক প্রকারের সরঞ্জাম ব্যবহার করা হয়ে থাকে। আপাত দৃষ্টিতে এগুলো বেশ অগুছালো বা বিক্ষিপ্ত ভাবে সাজানো মনে হয়। সিকিউরিটি প্রোফেশনাল যারা রয়েছেন তাদেরকে এসব সরঞ্জাম বা ডিভাইস বা সিস্টেম ম্যানেজ বা পরিচালনা করার জন্য প্রচুর পরিমান সময় ব্যয় করতে হয়। এই প্রসঙ্গে ৪৯% অংশগ্রহণকারী জানিয়েছেন যে আভ্যন্তরীণ হামলাকারী ব্যক্তি বা কোড সনাক্ত করতেই ৭ দিনের বেশি সময় অতিবাহিত হয়ে যায়। এমনকি ৪৪% অংশগ্রহণকারী এমন বলেছেন যে প্রতিষ্ঠানকে এই আক্রমণগুলো থেকে পুনরুদ্ধার করে স্বাভাবিক অবস্থায় ফিরিয়ে আনতে আরও একটি সপ্তাহ শেষ হয়ে যায়।
সাইবার সুরক্ষা খাতে আর্থিক বরাদ্দ সংকট
পৃথিবীজুড়ে প্রতিষ্ঠানগুলোর বাজেটের দিকে লক্ষ করলে দেখা যাবে আইটি খাতে আর্থিক বরাদ্দের পরিমান সবসময় বেশ সীমিত। আর আইটি সুরক্ষা বা সাইবার সুরক্ষার ক্ষেত্রে বরাদ্দের হার আরও কম। বিশ্বব্যাপী এই মহামারীর সময়ে সাইবার সুরক্ষাখাত জোরদারে বেশি করে আর্থিক বরাদ্দ না দিয়ে বরং তা কমিয়ে দিয়েছে বেশিরভাগ প্রতিষ্ঠান। বিভিন্ন সমীক্ষায় দেখা যায় বর্তমানে কাজের চাপ ও পরিধি আগের তুলনায় অনেক বেশি। তবুও আগামী বছরের অর্থ বরাদ্দের ক্ষেত্রে আনুমানিক ৭৩% প্রতিষ্ঠান সাইবার সুরক্ষা খাতে বরাদ্দ কমিয়ে দিয়েছে অথবা বর্তমানটাই বহাল রেখেছে। এ ধরনের আর্থিক বরাদ্দ সংকটের প্রেক্ষিতে নতুন টেকনোলজি নিয়ে কাজ করা বা অভিজ্ঞতাসম্পন্ন সিকিউরিটি প্রোফেশনাল নিয়োগ দেয়ার বেশ অনিশ্চিত একটা বেপার।
বিটগ্লাস প্রতিষ্ঠানের সিটিওর মতে, কোন প্রতিষ্ঠানের সংবেদনশীল তথ্য চুরি বা হারিয়ে যাওয়া বা নষ্ট হয়ে যাওয়া এবং স্বাভাবিক ব্যবসায়িক কর্মকান্ড বাধাগ্রস্ত হওয়াটাই আভ্যন্তরীণ সাইবার হামলার সবচেয়ে বড় ঝুঁকি।
প্রতিষ্ঠান ও পণ্যের ব্র্যান্ডের ক্ষতি, সাইবার হামলা প্রতিকারের ব্যয়, আইনি দায়বদ্ধতা এবং বাৎসরিক রেভিনিউ ক্ষতি এসবকিছুই সংঘটিত হচ্ছে অভ্যন্তরীণ সাইবার আক্রমনের সুবাদে যা কি আমাদের প্রতিহত করা উচিৎ। প্রতিষ্ঠানগুলোকে বিভিন্ন স্তরে স্তরে বহুপক্ষী সুরক্ষা ব্যবস্থা গ্রহণ করতে হবে, যা কি না প্রতিষ্ঠানে কর্মরত ব্যক্তিদের আচরণ পর্যবেক্ষনের কাজ করবে এবং ব্যক্তিগত ব্যবহৃত ডিভাইসগুলোর সুরক্ষা প্রদান করবে। এর পাশাপাশি একই সুরক্ষা ব্যবস্থার মাধ্যমে সর্বাধিক কার্যকরী ও নিরবচ্ছিন্ন সেবা প্রদান, সীমিত আর্থিক খরচ এবং তথ্য পাচার ও অখন্ডতা (integrity) রোধে নিশ্ছিদ্র সুরক্ষা ব্যবস্থা নিশ্চিত করতে হবে।
রুবাইয়াত বিন মোদাচ্ছের
ডিজিটাল ফরেনসিক এনালিস্ট
বিজিডি ই-গভ সার্ট
বাংলাদেশ কম্পিউটার কাউন্সিল
রেফারেন্সঃ
https://www.helpnetsecurity.com/2020/09/03/enterprise-cost-insider-attack/
Recommended Posts
Cyber Threat Alert: Surge in Attacks via Compromised Third-Party Service Providers
08 Feb 2024 - Articles, English articles, Security Advisories & Alerts