ছুটির দিনগুলি কোণার চারপাশে হামাগুড়ি দেওয়ার সাথে সাথে, ভোক্তা এবং খুচরা বিক্রেতারাই কেবল সিজনের জন্য প্রস্তুত নয়৷ সাইবার অপরাধীরা তাদের লেজে ঠিক আছে। এটি কোন গোপন বিষয় নয় যে প্রধান ভোক্তা ছুটির দিনগুলি - অ্যামাজন প্রাইম ডে থেকে বছরের শেষের ছুটির স্প্রিন্ট পর্যন্ত - হুমকি অভিনেতাদের জন্য বড় লক্ষ্য বহন করে৷ এই বছরের ব্ল্যাক ফ্রাইডের জন্য অনুমানগুলি অনলাইনে ব্যয়ের পৌঁছানোর দেখায়৷ 13 বিলিয়ন $.
খারাপ অভিনেতাদের জন্য এটি একটি লাভজনক সুযোগ।
এই বছর, খুচরা বিক্রেতারা ইতিমধ্যেই মুদ্রাস্ফীতি, একটি আসন্ন মন্দা এবং তথ্য গোপনীয়তা আইনের মুখোমুখি হচ্ছে। তারা সহজভাবে একটি সামর্থ্য করতে পারে না $ 4.35 মিলিয়ন লঙ্ঘন
এই বছর সীমিত নিরাপত্তা হো-হো-হো?
খুচরা বিক্রেতাদের অবশ্যই তাদের নিরাপত্তা ভঙ্গি মাথায় রাখতে হবে। এর অর্থ কার্যকর সনাক্তকরণ এবং প্রতিক্রিয়া বাস্তবায়ন করা; দুর্বলতা খুঁজে বের করা আগে খুচরো পরিবর্তন জমে যায় যে বছরের এই সময়ে; তৃতীয় পক্ষের ঝুঁকি ব্যবস্থাপনা; এবং নিশ্চিত করা যে কর্মীরা তাদের প্রয়োজনীয় প্রশিক্ষণ পান।
পাগল রাশের আগে দুর্বলতম লিঙ্কটি সন্ধান করা
জানুয়ারির দ্বিতীয় বা তৃতীয় সপ্তাহে ছুটির ভিড়ের এক থেকে দুই মাস আগে খুচরা বিক্রেতাদের কঠিন পরিবর্তন হিমায়িত করা সাধারণ। এটি বছরের সবচেয়ে ব্যস্ত এবং সবচেয়ে গুরুত্বপূর্ণ বিক্রয়ের দিনগুলিতে প্রয়োগ করা থেকে কোনও বড় সিস্টেম পরিবর্তন (যা গ্রাহকদের অভিজ্ঞতাকে প্রভাবিত করে) প্রতিরোধ করে।
হার্ড চেঞ্জ ফ্রীজের দিকে অগ্রসর হওয়া সপ্তাহগুলিতে, বিকাশকারীরা প্রায়শই কোড বা অবকাঠামোর একটি শেষ পরিবর্তনে চাপ দেওয়ার চেষ্টা করে। সময়সীমার আগে এই তাড়ার মধ্যে কখনও কখনও ত্রুটিগুলি অন্তর্ভুক্ত হতে পারে, যা প্যাচ না করা এবং অ-পরীক্ষিত সিস্টেমগুলিকে আক্রমণের ঝুঁকিতে ফেলে। সাইবার অপরাধীরা এই কঠিন পরিবর্তন হিমায়িত ঋতুগুলির সাথে খুব বেশি পরিচিত এবং প্রায়শই এই উইন্ডোতে তাদের আক্রমণের সময়।
নিয়মিত অ্যাপ-টেস্টিং প্রোগ্রামের অংশ হিসেবে স্ট্যাটিক এবং ডাইনামিক অ্যাপ্লিকেশান সিকিউরিটি টেস্ট (SAST এবং DAST) চালানো হল বার্ষিক কোড হিমায়িত হওয়ার আগে দুর্বলতা শনাক্ত করার সর্বোত্তম উপায়। এই দুটি পরীক্ষা বিভিন্ন দিক থেকে আবেদন পরীক্ষা করে। এসএএসটি এসকিউএল ইনজেকশনের মতো সফ্টওয়্যার ত্রুটিগুলির উপর ফোকাস করে, যখন DAST এমন দুর্বলতা খুঁজে পায় যা খারাপ অভিনেতারা কাজে লাগাতে পারে।
খুচরা বিক্রেতাদের সমালোচনামূলক এবং উচ্চ-ট্রাফিক অ্যাপ্লিকেশন যেমন পেমেন্ট গেটওয়ে, ইনপুট ক্ষেত্র এবং এমনকি মূল ওয়েব কোডগুলিতে পরীক্ষায় মনোযোগ দেওয়া উচিত।
তৃতীয় পক্ষের বিক্রেতাদের উপর নজর রাখা
এই বছরের শুরুতে, গাড়ি প্রস্তুতকারী প্রতিষ্ঠান টয়োটা তার উৎপাদন বন্ধ করে দিয়েছে একটি প্লাস্টিক এবং ইলেকট্রনিক্স সরবরাহকারী একটি সাইবার আক্রমণে আঘাত করার পরে। স্থগিত উৎপাদনের জন্য কোম্পানির প্রায় 13,000 গাড়ি খরচ হয়েছে। যদিও উৎপাদনের ক্ষতি ব্যয়বহুল বলে মনে হতে পারে, প্রকৃত লঙ্ঘনের তুলনায় এটি একটি ছোট মূল্য দিতে হবে।
এটি এটি দেখায় তৃতীয় পক্ষের ঝুঁকি ব্যবস্থাপনা (TPRM) অনেক প্রতিষ্ঠানের জন্য নিরাপত্তার ক্ষেত্রে একটি অসম্পূর্ণ এলাকা রয়ে গেছে এবং খুচরা বিক্রেতাদের এখনও TPRM-কে অগ্রাধিকার দিতে হবে এবং কেস স্টাডি থেকে শিখতে হবে।
TPRM এবং বিক্রেতা ঝুঁকি ব্যবস্থাপনা প্রশ্নাবলী অংশীদারী প্রতিষ্ঠানের নিরাপত্তা ভঙ্গি মূল্যায়ন করতে সাহায্য করে। অনেক এন্টারপ্রাইজ-স্তরের সমীক্ষায় 1,000টি পর্যন্ত প্রশ্ন থাকে, তবে প্রাথমিক ক্ষেত্রগুলি যেগুলিকে সম্বোধন করা উচিত তা হল: তথ্য সুরক্ষা, ডেটা সেন্টার সুরক্ষা, ওয়েব অ্যাপ্লিকেশন সুরক্ষা, অবকাঠামো সুরক্ষা, এবং সুরক্ষা নিয়ন্ত্রণ এবং প্রযুক্তি৷
যদিও খুচরা বিক্রেতারা নিয়মিত তাদের নিজস্ব কোডে পরীক্ষা চালায়, যার মধ্যে তৃতীয় পক্ষের ইন্টিগ্রেশন রয়েছে, এটি তাদের নিজস্ব নেটওয়ার্কের সীমানার বাইরে প্রসারিত হয় না। খুচরা বিক্রেতাদের উচিত তাদের বিক্রেতাদের সম্পূর্ণ কোড-অনুপ্রবেশ পরীক্ষা চালানোর প্রয়োজন দ্বিবার্ষিক ভিত্তিতে এবং রাতের পরীক্ষায় যখন তাদের অংশীদাররা কোড আপডেট করে বা পরিবর্তন করে।
প্রতিভার ঘূর্ণায়মান দরজা সত্ত্বেও নিরাপত্তা প্রশিক্ষণ বজায় রাখা
প্রশিক্ষণ নিঃসন্দেহে খুচরা বিক্রেতাদের জন্য সবচেয়ে কঠিন অংশ। দ্য মহান পদত্যাগ কোম্পানিগুলিকে তাদের প্রশিক্ষণ এবং অনবোর্ডিং প্রক্রিয়াগুলিকে পুনরায় মূল্যায়ন করতে বাধ্য করেছে, সাইবার নিরাপত্তা এটির একটি ছোট উপাদান। যাইহোক, ভেরিজনের দ্বারা 82% লঙ্ঘন বিশ্লেষণ করা হয়েছে “ডেটা লঙ্ঘনের তদন্ত প্রতিবেদন" একটি মানব উপাদান জড়িত। এটি কর্মচারী প্রশিক্ষণকে আগের চেয়ে আরও গুরুত্বপূর্ণ করে তোলে।
প্রতিষ্ঠিত খুচরা বিক্রেতাদের সম্ভবত কিছু ধরণের সাইবার নিরাপত্তা সচেতনতা প্রোগ্রাম রয়েছে। কিন্তু তারা এর উপর প্রসারিত করতে পারে (এবং উচিত)। সাইবার সিকিউরিটি দলগুলি যখন অনুপ্রবেশ পরীক্ষার ফাঁকগুলি সনাক্ত করে, তখন তারা সেই ফলাফলগুলি কর্মীদের সাথে ভাগ করে নিতে পারে এবং ব্যাখ্যা করতে পারে যে কীভাবে সেই দুর্বলতাগুলিকে ম্যানিপুলেট করা যেতে পারে৷ স্বচ্ছতার এই স্তরের কর্মীদের এন্টারপ্রাইজ এবং ভোক্তাদের ডেটা রক্ষায় তাদের ভূমিকা বুঝতে সাহায্য করে।
পাসওয়ার্ড নিরাপত্তা প্যারামাউন্ট
এবং শেষ, কিন্তু স্পষ্টভাবে অন্তত নয়, কর্মচারী প্রোগ্রামে: পাসওয়ার্ড। পাসওয়ার্ড নিরাপত্তা এখনও একটি মূল সমস্যা আজ ঘটতে থাকা ডেটা লঙ্ঘনের বিস্ময়কর পরিমাণে একটি মূল ফ্যাক্টরকে নেতৃত্ব দেয় বা ভূমিকা পালন করে। চুরি হওয়া শংসাপত্রগুলি হুমকি অভিনেতাদের তথ্যে অ্যাক্সেস পাওয়ার সবচেয়ে সহজ উপায়গুলির মধ্যে একটি। আপোসকৃত প্রমাণপত্রাদি এর কারণ ডেটা লঙ্ঘনের 19% (পিডিএফ)। দুঃখজনক অংশ হল গ্রাহকদের 45% পাসওয়ার্ড শেয়ারিংকে একটি গুরুতর সমস্যা হিসেবে দেখবেন না। খুচরা বিক্রেতাদের উচিত ভালো পাসওয়ার্ড হাইজিনের অগ্রাধিকারকে জোরদার করা, কিন্তু ঠিক ততটাই গুরুত্বপূর্ণ, তাদের মাল্টিফ্যাক্টর অথেনটিকেশন (MFA) প্রয়োগ করা উচিত সর্বত্র এবং যে কোন জায়গায় সম্ভব।
অনেক খুচরা বিক্রেতা ইতিমধ্যে মূল্যস্ফীতি এবং কর্মীদের উদ্বেগকে সামনে রেখে ছুটির বিক্রি শুরু করেছেন। কিন্তু বছরের শেষের এই ভিড়ে তাদের নিরাপত্তা ভঙ্গির কথা ভুলে গেলে চলবে না। প্রতিষ্ঠানগুলিকে তাদের অ্যাপ পরীক্ষায় SAST এবং DAST অন্তর্ভুক্ত করে সাইবার নিরাপত্তাকে অগ্রাধিকার দিতে হবে। তৃতীয় পক্ষের ঝুঁকি পর্যবেক্ষণ এবং পরিচালনা; এবং MFA ব্যবহার করে প্রশিক্ষণ এবং যথাযথ প্রমাণীকরণের মাধ্যমে শংসাপত্রগুলি সুরক্ষিত করা।
