সাইবারসিকিউরিটি বিশেষজ্ঞ কাই রোর সাইবার ক্রাইম নিয়ে আলোচনা করেন এবং নিরাপত্তা সংস্কৃতি ব্যাখ্যা করেন

সাইবার ক্রাইম এবং বন্দুক অপরাধ সম্পর্কে ভয়ঙ্করভাবে একই রকম কিছু আছে। উভয়ই এত সাধারণ হয়ে উঠেছে যে লোকেরা কেবলমাত্র সবচেয়ে বড় লঙ্ঘন বা সর্বোচ্চ হতাহতের সংখ্যা লক্ষ্য করে। কাই রোর, প্রধান গবেষণা কর্মকর্তা KnowBe4, বিশ্বের সবচেয়ে জনপ্রিয় নিরাপত্তা সচেতনতা এবং সিমুলেটেড ফিশিং প্ল্যাটফর্ম, ভালভাবে জানে যে প্রযুক্তি দলগুলি সহ লোকেরা ক্রমাগত সাইবার হুমকির জন্য অসাড় হয়ে পড়েছে৷ এই কারণেই তিনি “নিরাপত্তা সংস্কৃতি” ধারণাকে প্রচার করতে KnowBe4-এর প্রধান প্রচারক এবং কৌশল কর্মকর্তা পেরি কার্পেন্টারের সাথে দলবদ্ধ হন।

রোর এবং কার্পেন্টার একটি নতুন বই প্রকাশ করেছে, নিরাপত্তা সংস্কৃতি প্লেবুক: ঝুঁকি হ্রাস এবং আপনার মানব প্রতিরক্ষা স্তরের বিকাশের জন্য একটি নির্বাহী নির্দেশিকা, কিছু কঠিন তথ্য আলোতে আনতে। উদাহরণস্বরূপ, এর চেয়ে বেশি 85% লঙ্ঘন মানুষের কাছে ফিরে আসে এবং একটি নতুন আছে ransomware আক্রমণ প্রতি দুই সেকেন্ডে। এই আক্রমণগুলির জন্য বিলিয়ন বিলিয়ন ডলার খরচ হচ্ছে, এবং উন্নত প্রযুক্তি বা সুরক্ষা তথ্য প্রচার এবং “সচেতনতা” সংস্থাগুলিকে যথেষ্ট শক্ত করছে না।

আমরা Kai Roer কে প্রযুক্তিগত সমাধানের সীমাবদ্ধতা এবং নিরাপত্তা সংস্কৃতি কী এবং টেক-স্যাভি স্টার্টআপ এবং স্থানীয় সরকারের মতো বৈচিত্র্যময় প্রতিষ্ঠানে কীভাবে বিকাশ করা যায় সে সম্পর্কে জিজ্ঞাসা করেছি।

গ্রিট ডেইলি: কেন ভাল নিরাপত্তা প্রযুক্তি মানুষের ভুল দ্বারা কতটা ক্ষতি হতে পারে তা সীমাবদ্ধ করে না?

কিন্তু এটা করে! ভাল সুরক্ষা প্রযুক্তি ছাড়া, ত্রুটিগুলি অনেক বড়, আরও ব্যয়বহুল এবং লড়াই করা অসম্ভব। চ্যালেঞ্জ ভালো প্রযুক্তির অভাব নয়; এটা যে প্রযুক্তি যথেষ্ট নয়. আমরা যখন আরও ভাল সরঞ্জাম এবং প্রযুক্তি উদ্ভাবন করি এবং তৈরি করি, তখন সব ধরণের নতুন হুমকিও আসে, আমাদের আচরণ পরিবর্তন করতে এবং আরও ভাল প্রযুক্তি বিকাশ করতে বাধ্য করে।

গত কয়েক দশক ধরে, অনেক স্টার্টআপ ঠিক এটি করতে সফল হয়েছে। Cisco এবং Fortinet সম্পর্কে চিন্তা করুন; উভয়ই ছোট শুরু করেছে, উভয়ই প্রযুক্তি তৈরি করেছে এবং উভয়ই বিশ্বজুড়ে হাজার হাজার গ্রাহকের নিরাপত্তাকে নাটকীয়ভাবে উন্নত করতে সাহায্য করেছে এবং তারা এখনও করে। এগুলি এবং অন্যান্য সুরক্ষা প্রযুক্তি ছাড়া, আমরা এখনও ডিজিটাল কৃমি, ভাইরাস এবং অনুরূপ হুমকিগুলির বিরুদ্ধে লড়াই করব যা আমরা আজকে খুব কমই দেখি।

প্রযুক্তির ক্রমাগত উন্নতির কারণে, হুমকি অভিনেতারা যখন মানুষকে লক্ষ্য করে তখন তাদের আরও ভালো ROI (বিনিয়োগের রিটার্ন) থাকে। এটি অন্য উপায়ে কম্পিউটার সিস্টেমে অ্যাক্সেস পাওয়ার চেয়ে কাউকে একটি সংযুক্তি খুলতে বা একটি ইমেল লিঙ্কে ক্লিক করার জন্য প্রতারণা করা সহজ এবং সস্তা।

সুতরাং, চ্যালেঞ্জটি নিরাপত্তা প্রযুক্তির অভাব নয় যতটা এটি মানুষকে সঠিক জিনিসগুলি আরও প্রায়ই করতে সাহায্য করার জন্য প্রযুক্তির অভাব – এবং ভুল জিনিসগুলি কম প্রায়ই৷ সুসংবাদটি হল যে এই স্থানটিতেও, এই ঝুঁকি আরও কমাতে দ্রুত নতুন প্রযুক্তি গ্রহণ করা হয়।

গ্রিট ডেইলি: এমন একটি সংস্থার উদাহরণ কী যা আপনি একটি ভাল নিরাপত্তা সংস্কৃতি বিবেচনা করেন?

খুব কম সংস্থাই একটি ভাল নিরাপত্তা সংস্কৃতি প্রদর্শন করে। একটি কারণ হল একটি শক্তিশালী নিরাপত্তা সংস্কৃতি একটি চলমান লক্ষ্য: গতকাল যা “ভাল” বলে বিবেচিত হয়েছিল তা আজ আর ভালো নাও হতে পারে। নতুন হুমকির বিকাশের সাথে সাথে সংস্থাগুলিকে অবশ্যই মানিয়ে নিতে হবে এবং পরিবর্তন করতে হবে। সংগঠনের সামনে আরেকটি চ্যালেঞ্জ হল স্থিতিস্থাপকতা: সংগঠনটি একটি সমালোচনামূলক ঘটনাকে কতটা ভালোভাবে মোকাবেলা করবে?

একটি ভাল নিরাপত্তা সংস্কৃতির কিছু বৈশিষ্ট্য অন্তর্ভুক্ত:

সহনশীলতা: আপনার কর্মচারী, পদ্ধতি এবং প্রযুক্তি কি হুমকি এবং পরিবর্তনগুলির সাথে দ্রুত সামঞ্জস্য করতে সক্ষম? উদাহরণস্বরূপ, বেশিরভাগ সংস্থাগুলি COVID-এর কারণে নাটকীয় পরিবর্তন করতে বাধ্য হয়েছিল; কয়েক সপ্তাহ ধরে – মাস নয় – কর্মচারীদের অফিসের বাইরে যেতে হয়েছিল এবং বাড়ি থেকে কাজ করতে হয়েছিল।

আপনার প্রতিষ্ঠানের স্থিতিস্থাপকতা পরিমাপ করার একটি উপায় হল পরীক্ষা করা কত দ্রুত-এবং কতটা সফলভাবে-এটি সেই রূপান্তরটি পরিচালনা করেছে৷ এখন এটি আপনার ব্যবসায়িক আকস্মিক পরিকল্পনাগুলিতে প্রয়োগ করুন এবং একটি নিরাপত্তা ঘটনা আপনার কোম্পানিকে কীভাবে প্রভাবিত করবে তা বিবেচনা করুন।

প্রস্তুতি: গবেষণা দেখায় যে যারা বিমান দুর্ঘটনা বা ট্রেনের ধ্বংসাবশেষের মতো গুরুতর দুর্ঘটনা থেকে বাঁচার সম্ভাবনা বেশি, তারা মানসিকভাবে প্রস্তুত। তারা নিরাপত্তা বিজ্ঞপ্তিগুলিতে মনোযোগ দেয় এবং জরুরী প্রস্থান কোথায় তা জানে।

এটি সংস্থাগুলির ক্ষেত্রেও প্রযোজ্য। যে সংস্থাগুলি বোঝে এবং স্বীকার করে যে নিরাপত্তার ঘটনা ঘটবে, তাদের নিরাপত্তা ব্যবস্থা নির্বিশেষে, তারা সাধারণত যারা বিশ্বাস করে “এটি আমাদের সাথে ঘটবে না” তাদের চেয়ে ভাল করছে।

কর্মীদের সাথে যোগাযোগ করা, “যখন এটি ঘটে, তখন আপনাকে এটি করতে হবে,” প্রস্তুত করার একটি দুর্দান্ত উপায়। ব্যবসায়িক আকস্মিক পরিকল্পনা স্থাপন করাও অপরিহার্য। এবং নিশ্চিত করা যে কর্মচারীরা ভুল রিপোর্ট করার সাহস করে, যেমন একটি লোড করা ইমেল সংযুক্তি খোলা, তা গুরুত্বপূর্ণ! যারা ঘটনার রিপোর্ট করে তাদের অভিনন্দন! তারা আপনার মূল সম্পদ.

চলমান যোগাযোগ: আমরা বারবার দেখছি যে সংস্থাগুলি নিরাপত্তা এবং এর মূল্য কর্মচারী এবং স্টেকহোল্ডারদের সাথে যোগাযোগ করে নিরাপত্তার সমস্ত দিকগুলির তুলনায় ভাল করে।

নরওয়ের গভর্নমেন্ট পেনশন ফান্ড (GPFN) বিবেচনা করুন, 11754 বিলিয়ন NOK মূল্যের সম্পদ সহ একটি তহবিল, যা $1.35 ট্রিলিয়ন মার্কিন ডলারের বেশি৷ এর ম্যানেজিং ডিরেক্টর নিকোলাই ট্যানজেন স্পষ্ট করেছেন যে সংস্থাটির জন্য সবচেয়ে বড় হুমকি হল সাইবার হুমকি।

তিনি সম্প্রতি একটি সাইবার আক্রমণের লক্ষ্যবস্তু হওয়ার তার ব্যক্তিগত অভিজ্ঞতা শেয়ার করেছেন, যেখানে অপরাধী তার নিজের অহংকারে খেলেছে যাতে তাকে একটি আপস করা নথি খুলতে হয় যা তার কাজের কম্পিউটারের নিয়ন্ত্রণ নেয়।

এটি কখনও ঘটেনি এমন ভান করার পরিবর্তে, টানজেন অনেকগুলি পাবলিক ইভেন্টে এই অভিজ্ঞতা থেকে যা শিখেছেন তা শেয়ার করেছেন। এই ধরনের মালিকানা প্রমাণ করে যে কেউই নিখুঁত নয়; আপনি আঘাত করা হচ্ছে তার আগে এটা শুধু সময়ের ব্যাপার. এবং যখন এটি ঘটে, তখন কী করতে হবে তা জানা।

গ্রিট ডেইলি: সামরসেট কাউন্টির কাউন্টি সরকার, নিউ জার্সি, যেটি আমি যেখানে থাকি সেখান থেকে খুব বেশি দূরে নয়, সম্প্রতি একটি র‍্যানসমওয়্যার আক্রমণে পঙ্গু হয়ে গেছে। আপনি কীভাবে সরকারী অফিস, স্কুল জেলা এবং এই ধরণের গুরুত্বপূর্ণ কিন্তু খুব-প্রযুক্তি-অত্যাধুনিক সংস্থাগুলিতে নিরাপত্তা সংস্কৃতি গড়ে তুলবেন?

এটি একটি সমালোচনামূলক প্রশ্ন। আমরা সরকারি অফিস, স্কুল এবং অন্যান্য পাবলিক সার্ভিসগুলিকে প্রতিদিন আঘাত করতে দেখি, এবং শুধুমাত্র মার্কিন যুক্তরাষ্ট্রেই নয়। এটি সারা বিশ্বে ঘটে।

সমারসেট কাউন্টি আক্রমণের অনুরূপ ঘটনা নরওয়েতে ঘটেছিল: Østre Toten Kommune (Ostre Toten পৌরসভা) ransomware দ্বারা বিধ্বংসীভাবে আঘাতপ্রাপ্ত হয়েছিল এবং তাদের সমস্ত সিস্টেম মারা গিয়েছিল। তারা এখনও, অনেক মাস পরে, ডেটা পুনরায় তৈরি করতে এবং সিস্টেমগুলিকে অনলাইনে ফিরিয়ে আনার জন্য লড়াই করছে।

এই সমস্যার সমাধান হল রাজনীতিবিদদের এবং পাবলিক ম্যানেজমেন্টকে জাগিয়ে তোলা যে বাস্তবতার মুখোমুখি আমরা সবাই: আমরা সবাই লক্ষ্য, এবং প্রস্তুতিই গুরুত্বপূর্ণ।

এখন, চ্যালেঞ্জ হল যে এই অনেক অফিসে নিরাপত্তা এবং আইটি অর্থায়ন কঠিন হতে পারে, যেখানে স্বল্প তহবিল প্রায়শই বরাদ্দকৃত তহবিল কীভাবে এবং কোথায় ব্যয় করতে হয় তার নিয়ন্ত্রক চাহিদার সাথে মিলিত হয়, নিরাপত্তার মতো “অন্যান্য পরিষেবাগুলির” জন্য খুব কম বাকি থাকে। বিনিয়োগের এই অভাবের কারণে অনেক সরকারী অফিসে দুর্বল নিরাপত্তা ব্যবস্থা এবং খুব কম কর্মচারীদের প্রশিক্ষণ রয়েছে। এইভাবে, যখন বিপর্যয় আঘাত হানে, তখন এটি কঠোরভাবে আঘাত করে।

এই সংস্থাগুলিকে পর্যাপ্তভাবে সুরক্ষিত করার জন্য, তাদের প্রযুক্তি, পদ্ধতি এবং কর্মশক্তিকে শিক্ষিত করতে বিনিয়োগ করতে হবে। একটি নিরাপত্তা সংস্কৃতি প্রযুক্তি বা পদ্ধতি প্রতিস্থাপন করবে না; এটি এই এলাকার সাথে এবং পাশাপাশি কাজ করে।

গ্রিট ডেইলি: একটি প্রতিষ্ঠানের নিরাপত্তা সংস্কৃতি পরিমাপের জন্য আজ একটি লঙ্ঘন হয়েছে কিনা তা ছাড়া মেট্রিক্স কী?

আমাদের বইতে, আমরা সংস্থাগুলিকে অর্থপূর্ণ উপায়ে সুরক্ষা সংস্কৃতি পরিমাপ করতে সহায়তা করার জন্য একটি নতুন এবং আরও সঠিক পদ্ধতির প্রস্তাব করি৷ আমরা একে বলি নিরাপত্তা সংস্কৃতি পরিপক্কতা মডেল (SCMM)।

অন্যান্য পরিপক্কতা মডেলগুলির থেকে ভিন্ন, এটি প্রমাণ-ভিত্তিক, যার অর্থ অন্যান্য মডেলগুলিতে প্রায়শই প্রয়োজন হয় এমন অনুমানের তুলনায় মডেলটিতে আপনার সংস্থা স্থাপন করা সহজ এবং আরও নির্ভুল। প্রতিষ্ঠানের ডেটার উপর ভিত্তি করে এমন সূচকগুলি ব্যবহার করে, যাকে আমরা সংস্কৃতি পরিপক্কতা সূচক (CMIs) বলি, আমরা আপনার নিরাপত্তা সংস্কৃতির একটি বিশদ এবং দরকারী বোঝাপড়া তৈরি করতে পারি।

উদাহরণ সিএমআই-এর মধ্যে রয়েছে নিরাপত্তা সংস্কৃতি স্কোর, যা নিরাপত্তা সংস্কৃতি মূল্যায়নের ফলাফল KnowBe4. অন্যান্য সিএমআইগুলি নিরাপত্তা আচরণের উপর ভিত্তি করে গণনা করা হয়, যেমন ফিশিং লিঙ্কগুলিতে ক্লিক করা, হুমকি ইমেল রিপোর্ট করা এবং আরও অনেক কিছু।

SCMM মডেলের একটি সুবিধা হল যে CMI গুলি তৈরি করা যেতে পারে যখন নতুন প্রযুক্তি এবং পদ্ধতিগুলি বিকশিত হয়, তাই এটি এখন থেকে কয়েক বছর পরও নির্ভুল এবং প্রাসঙ্গিক থাকবে।

গ্রিট ডেইলি: নিরাপত্তা সংস্কৃতির জন্য কি সংস্থাগুলিকে একজন পরিচালক বা ভাইস প্রেসিডেন্ট নিয়োগের প্রয়োজন হয়, বা নিরাপত্তা সংস্কৃতির যাই হোক না কেন? কে এই ভূমিকার মালিক হওয়া উচিত?

না, এর জন্য কাউকে নিয়োগের প্রয়োজন নেই। কিন্তু তা করা অবশ্যই সাহায্য করে! সমস্ত সাংগঠনিক কাজের মতো, চ্যাম্পিয়নের জন্য উত্সর্গীকৃত সংস্থান থাকা এবং বিষয়টিতে ফোকাস করা একটি বিশাল পার্থক্য করে। শেষ পর্যন্ত, এই ভূমিকাটি আপনার নিরাপত্তা এবং এইচআর টিমের দ্বারা সম্পাদিত কাজকে সেতু করা উচিত। সাংগঠনিক সংস্কৃতি, যার মধ্যে নিরাপত্তা সংস্কৃতি একটি অংশ, সাধারণত এইচআর বা নির্বাহী নেতৃত্বের অন্তর্গত।

গ্রিট ডেইলি: আপনি অন্য কোন পয়েন্ট করতে চান যা আমি স্পর্শ করিনি?

নিরাপত্তা এবং নিরাপত্তা সংস্কৃতি হল বোর্ড-স্তরের বিষয় কারণ নাটকীয় ঝুঁকি এবং প্রভাব নিরাপত্তা লঙ্ঘন সংস্থাগুলির উপর রয়েছে।

যদি আপনার বোর্ড এখনও নিরাপত্তা এবং নিরাপত্তা সংস্কৃতি নিয়ে আলোচনা না করে, আমরা দৃঢ়ভাবে এটি টেবিলে আনতে উত্সাহিত করি। এমনকি আপনি শিল্প অভিজ্ঞতা এবং জ্ঞান সহ একটি বোর্ড সদস্য আনার প্রস্তাব করতে পারেন। আরও টিপস আমাদের বইতে পাওয়া যাবে, নিরাপত্তা সংস্কৃতি প্লেবুক: ঝুঁকি হ্রাস এবং আপনার মানব প্রতিরক্ষা স্তরের বিকাশের জন্য একটি নির্বাহী নির্দেশিকাএবং আমাদের ওয়েবসাইটে securityculturebook.com.

পিটার পেজ গ্রিট ডেইলিতে অবদান সম্পাদক। পূর্বে Entrepreneur.com-এ, তিনি একটি সংবাদপত্রের রিপোর্টার হিসাবে তার সাংবাদিকতা কর্মজীবন শুরু করেছিলেন অনেক আগেই প্রিন্ট সাংবাদিকতা এমনকি ইন্টারনেটের কথা শুনেছিল, অনেক কম উপলব্ধি করেছিল যে এটি শিল্পকে ধ্বংস করবে। যে বছরগুলোতে তিনি একজন পুলিশ রিপোর্টার হিসেবে কাজ করেছেন তা আজ অবধি তার বিশ্ব দৃষ্টিভঙ্গির উপর একটি বড় প্রভাব। পরিবেশ নীতি, শক্তি অর্থনীতি, বাস্তুতন্ত্রের গতিবিদ্যা, শহুরে গ্যাংগুলির নৃবিজ্ঞান, দেওয়ানি ও ফৌজদারি আদালতের কাজকর্ম, রাজনীতি, সরকারের কৌশল এবং লেখায় চিন্তাভাবনাকে স্ফটিক করার শিল্পে পেজের কিছুটা দক্ষতা রয়েছে।

Leave a Comment