व्यावसायिक सुरक्षा
अपने साझेदारों और आपूर्तिकर्ताओं पर उनकी सुरक्षा स्थिति पर आंख मूंदकर भरोसा करना टिकाऊ नहीं है - यह प्रभावी आपूर्तिकर्ता जोखिम प्रबंधन के माध्यम से नियंत्रण लेने का समय है
जनवरी 25 2024 • , 5 मिनट। पढ़ना
दुनिया आपूर्ति श्रृंखलाओं पर बनी है। वे संयोजी ऊतक हैं जो वैश्विक व्यापार और समृद्धि को सुविधाजनक बनाते हैं। लेकिन ओवरलैपिंग और अंतर-संबंधित कंपनियों के ये नेटवर्क तेजी से जटिल और अपारदर्शी होते जा रहे हैं। अधिकांश में सॉफ्टवेयर और डिजिटल सेवाओं की आपूर्ति शामिल है, या कम से कम किसी तरह से ऑनलाइन इंटरैक्शन पर निर्भर हैं। इससे उन्हें व्यवधान और समझौते का खतरा रहता है।
विशेष रूप से एसएमबी अपनी आपूर्ति श्रृंखलाओं में सुरक्षा का प्रबंधन करने के लिए सक्रिय रूप से तलाश नहीं कर रहे हैं, या उनके पास संसाधन नहीं हैं। लेकिन आँख मूँद कर अपने साझेदारों और आपूर्तिकर्ताओं पर उनकी साइबर सुरक्षा स्थिति पर भरोसा करना वर्तमान माहौल में टिकाऊ नहीं है। दरअसल, आपूर्ति श्रृंखला जोखिम के प्रबंधन के बारे में गंभीर होने का (अतीत का) समय आ गया है।
आपूर्ति श्रृंखला जोखिम क्या है?
आपूर्ति श्रृंखला साइबर जोखिम कई रूप ले सकते हैं Ransomware और डेटा चोरी से लेकर सेवा से इनकार (डीडीओएस) और धोखाधड़ी तक। वे पारंपरिक आपूर्तिकर्ताओं जैसे पेशेवर सेवा फर्मों (उदाहरण के लिए, वकील, एकाउंटेंट), या व्यावसायिक सॉफ़्टवेयर के विक्रेताओं को प्रभावित कर सकते हैं। हमलावर प्रबंधित सेवा प्रदाताओं (एमएसपी) के पीछे भी जा सकते हैं, क्योंकि इस तरह से किसी एक कंपनी से समझौता करके, वे संभावित रूप से बड़ी संख्या में डाउनस्ट्रीम ग्राहक व्यवसायों तक पहुंच प्राप्त कर सकते हैं। पिछले वर्ष से अनुसंधान पता चला कि पिछले 90 महीनों में 18% एमएसपी पर साइबर हमला हुआ।
यहां आपूर्ति श्रृंखला साइबर हमले के कुछ मुख्य प्रकार हैं और वे कैसे होते हैं:
- समझौता किया गया मालिकाना सॉफ़्टवेयर: साइबर अपराधियों की हिम्मत बढ़ती जा रही है. कुछ मामलों में, वे सॉफ़्टवेयर डेवलपर्स से समझौता करने और कोड में मैलवेयर डालने का एक तरीका ढूंढने में सक्षम हुए हैं जो बाद में डाउनस्ट्रीम ग्राहकों को वितरित किया जाता है। में यही हुआ है कासिया रैनसमवेयर अभियान। एक हालिया मामले में, लोकप्रिय फ़ाइल स्थानांतरण सॉफ़्टवेयर MOVEit से समझौता किया गया था शून्य-दिन की भेद्यता और सैकड़ों कॉर्पोरेट उपयोगकर्ताओं से डेटा चुराए जाने से उनके लाखों ग्राहक प्रभावित हुए। इस बीच, 3CX संचार सॉफ़्टवेयर का समझौता यह इतिहास में एक आपूर्ति-श्रृंखला हमले के कारण दूसरे आपूर्ति-श्रृंखला हमले की पहली सार्वजनिक रूप से प्रलेखित घटना के रूप में दर्ज हुई।
- ओपन-सोर्स आपूर्ति श्रृंखलाओं पर हमले: अधिकांश डेवलपर्स अपने सॉफ़्टवेयर प्रोजेक्टों के लिए बाज़ार में समय की गति बढ़ाने के लिए ओपन सोर्स घटकों का उपयोग करते हैं। लेकिन ख़तरनाक अभिनेताओं को यह पता है, और उन्होंने घटकों में मैलवेयर डालना और उन्हें लोकप्रिय रिपॉजिटरी में उपलब्ध कराना शुरू कर दिया है। एक रिपोर्ट में दावा किया गया है ऐसे हमलों में साल-दर-साल 633% की वृद्धि हुई है। ख़तरे वाले कलाकार ओपन सोर्स कोड में कमजोरियों का फायदा उठाने में भी तत्पर रहते हैं, जिसे कुछ उपयोगकर्ता ठीक करने में धीमे हो सकते हैं। ऐसा तब हुआ जब एक सर्वव्यापी उपकरण में एक गंभीर बग पाया गया Log4j के नाम से जाना जाता है.
- धोखाधड़ी के लिए आपूर्तिकर्ताओं का प्रतिरूपण करना: परिष्कृत आक्रमणों के नाम से जाना जाता है व्यापार ईमेल समझौता (बीईसी) में कभी-कभी धोखेबाज शामिल होते हैं जो किसी ग्राहक को धोखा देकर उनसे पैसे चुराने के लिए आपूर्तिकर्ताओं का रूप धारण करते हैं। हमलावर आम तौर पर एक पार्टी या दूसरे से संबंधित ईमेल खाते को हाईजैक कर लेगा, ईमेल प्रवाह की निगरानी करेगा जब तक कि कदम उठाने का सही समय न हो और बदले हुए बैंक विवरण के साथ एक नकली चालान भेज दे।
- क्रेडेंशियल चोरी: हमलावरों लॉगिन चोरी करें आपूर्तिकर्ताओं या उनके ग्राहकों (जिनके नेटवर्क तक उनकी पहुंच हो सकती है) में सेंध लगाने के प्रयास में आपूर्तिकर्ताओं की। 2013 के बड़े पैमाने पर लक्ष्य उल्लंघन में यही हुआ था हैकर्स ने क्रेडेंशियल्स चुरा लिए खुदरा विक्रेता के एचवीएसी आपूर्तिकर्ताओं में से एक का।
- डेटा चोरी: कई आपूर्तिकर्ता अपने ग्राहकों का संवेदनशील डेटा संग्रहीत करते हैं, विशेष रूप से कानून फर्म जैसी कंपनियां जो कॉर्पोरेट रहस्यों के बारे में गुप्त जानकारी रखती हैं। वे धमकी देने वाले अभिनेताओं के लिए एक आकर्षक लक्ष्य का प्रतिनिधित्व करते हैं जो जानकारी की तलाश में हैं जबरन वसूली के माध्यम से पैसा कमाना या अन्य साधन।
आप आपूर्तिकर्ता जोखिम का आकलन और उसे कैसे कम करते हैं?
विशिष्ट आपूर्ति श्रृंखला जोखिम प्रकार जो भी हो, अंतिम परिणाम एक ही हो सकता है: वित्तीय और प्रतिष्ठित क्षति और कानूनी मुकदमों, परिचालन रुकावटों, खोई हुई बिक्री और नाराज ग्राहकों का जोखिम। फिर भी कुछ उद्योग सर्वोत्तम प्रथाओं का पालन करके इन जोखिमों का प्रबंधन करना संभव है। यहां आठ विचार हैं:
- किसी भी नए आपूर्तिकर्ता पर उचित परिश्रम करें। इसका मतलब है कि उनके सुरक्षा कार्यक्रम की जाँच करना आपकी अपेक्षाओं के अनुरूप है, और यह कि उनके पास खतरे से सुरक्षा, पता लगाने और प्रतिक्रिया के लिए आधारभूत उपाय हैं। सॉफ़्टवेयर आपूर्तिकर्ताओं के लिए इसका विस्तार इस बात पर भी होना चाहिए कि क्या उनके पास भेद्यता प्रबंधन कार्यक्रम है और उनके उत्पादों की गुणवत्ता के संबंध में उनकी प्रतिष्ठा क्या है।
- ओपन सोर्स जोखिमों को प्रबंधित करें। इसका मतलब यह हो सकता है कि कमजोरियों और मैलवेयर के लिए निरंतर स्कैनिंग और किसी भी बग को तुरंत ठीक करने के साथ-साथ सॉफ्टवेयर घटकों में दृश्यता हासिल करने के लिए सॉफ्टवेयर कंपोजिशन विश्लेषण (एससीए) टूल का उपयोग किया जाए। यह भी सुनिश्चित करें कि उत्पाद विकसित करते समय डेवलपर टीमें डिज़ाइन द्वारा सुरक्षा के महत्व को समझें।
- सभी आपूर्तिकर्ताओं की जोखिम समीक्षा करें। इसकी शुरुआत यह समझने से होती है कि आपके आपूर्तिकर्ता कौन हैं और फिर यह जाँचना कि क्या उनके पास आधारभूत सुरक्षा उपाय हैं। इसका विस्तार उनकी अपनी आपूर्ति शृंखला तक होना चाहिए। बार-बार ऑडिट करें और जहां उपयुक्त हो, उद्योग मानकों और विनियमों के साथ मान्यता की जांच करें।
- अपने सभी स्वीकृत आपूर्तिकर्ताओं की एक सूची रखें और अपने ऑडिटिंग के परिणामों के अनुसार इसे नियमित रूप से अपडेट करें। आपूर्तिकर्ता सूची की नियमित ऑडिटिंग और अद्यतनीकरण संगठनों को संपूर्ण जोखिम मूल्यांकन करने, संभावित कमजोरियों की पहचान करने और यह सुनिश्चित करने में सक्षम करेगा कि आपूर्तिकर्ता साइबर सुरक्षा मानकों का पालन करें।
- आपूर्तिकर्ताओं के लिए एक औपचारिक नीति स्थापित करें। इसमें आपूर्तिकर्ता जोखिम को कम करने के लिए आपकी आवश्यकताओं को रेखांकित किया जाना चाहिए, जिसमें पूरा किया जाने वाला कोई भी एसएलए भी शामिल है। इस प्रकार, यह अपेक्षाओं, मानकों और प्रक्रियाओं को रेखांकित करने वाले एक मूलभूत दस्तावेज़ के रूप में कार्य करता है जिसका आपूर्तिकर्ताओं को समग्र आपूर्ति श्रृंखला की सुरक्षा सुनिश्चित करने के लिए पालन करना चाहिए।
- आपूर्तिकर्ता पहुंच जोखिमों को प्रबंधित करें। यदि आपूर्तिकर्ताओं को कॉर्पोरेट नेटवर्क तक पहुंच की आवश्यकता है, तो उनके बीच न्यूनतम विशेषाधिकार का सिद्धांत लागू करें। इसे एक भाग के रूप में तैनात किया जा सकता है जीरो ट्रस्ट अप्रोच, जहां सभी उपयोगकर्ताओं और उपकरणों को सत्यापित होने तक अविश्वसनीय माना जाता है, निरंतर प्रमाणीकरण और नेटवर्क निगरानी के साथ जोखिम शमन की एक अतिरिक्त परत जुड़ जाती है।
- एक घटना प्रतिक्रिया योजना विकसित करें. सबसे खराब स्थिति की स्थिति में, सुनिश्चित करें कि आपके पास संगठन को प्रभावित करने का मौका मिलने से पहले खतरे को रोकने के लिए एक अच्छी तरह से पूर्वाभ्यास की गई योजना है। इसमें यह शामिल होगा कि आपके आपूर्तिकर्ताओं के लिए काम करने वाली टीमों के साथ कैसे संपर्क किया जाए।
- उद्योग मानकों को लागू करने पर विचार करें. आईएसओ 27001 और आईएसओ 28000 आपूर्तिकर्ता जोखिम को कम करने के लिए ऊपर सूचीबद्ध कुछ कदमों को हासिल करने के लिए हमारे पास बहुत सारे उपयोगी तरीके हैं।
के अनुसार, पिछले साल अमेरिका में मैलवेयर-आधारित हमलों की तुलना में आपूर्ति श्रृंखला पर 40% अधिक हमले हुए थे एक रिपोर्ट. इनके उल्लंघनों के परिणामस्वरूप 10 मिलियन से अधिक व्यक्ति प्रभावित हुए। अब अधिक प्रभावी आपूर्तिकर्ता जोखिम प्रबंधन के माध्यम से नियंत्रण वापस लेने का समय आ गया है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- :हैस
- :है
- :नहीं
- :कहाँ
- 10 $ मिलियन
- 10
- 2013
- a
- योग्य
- About
- ऊपर
- में तेजी लाने के
- पहुँच
- अनुसार
- लेखा
- मान्यता
- पाना
- अभिनेताओं
- जोड़ने
- स्वीकार कर लिया
- बाद
- संरेखित करता है
- सब
- साथ - साथ
- भी
- बदल
- के बीच में
- an
- विश्लेषण
- और
- अन्य
- कोई
- उपयुक्त
- अनुमोदित
- हैं
- AS
- आकलन
- आकलन
- आकलन
- At
- आक्रमण
- आक्रमण
- करने का प्रयास
- आकर्षक
- आडिट
- लेखा परीक्षा
- प्रमाणीकरण
- उपलब्ध
- वापस
- बैंक
- आधारभूत
- BE
- बीईसी
- क्योंकि
- किया गया
- से पहले
- शुरू कर दिया
- संबद्ध
- BEST
- सर्वोत्तम प्रथाओं
- आंखों पर पट्टी से
- भंग
- उल्लंघनों
- दोष
- कीड़े
- बनाया गया
- व्यापार
- व्यवसायों
- लेकिन
- by
- अभियान
- कर सकते हैं
- मामला
- मामलों
- वर्ग
- श्रृंखला
- चेन
- संयोग
- चेक
- जाँच
- ग्राहक
- ग्राहकों
- जलवायु
- कोड
- संचार
- कंपनियों
- कंपनी
- जटिल
- घटकों
- रचना
- समझौता
- समझौता
- आचरण
- शामिल
- निरंतर
- नियंत्रण
- कॉर्पोरेट
- सका
- महत्वपूर्ण
- वर्तमान
- ग्राहक
- साइबर
- साइबर हमला
- साइबर सुरक्षा
- क्षति
- तिथि
- DDoS
- दिया गया
- सेवा से वंचित
- तैनात
- डिज़ाइन
- विवरण
- खोज
- डेवलपर
- डेवलपर्स
- विकासशील
- डिवाइस
- डिजिटल
- डिजिटल सेवाएं
- लगन
- विघटन
- do
- दस्तावेज़
- नीचे
- दो
- e
- प्रभावी
- आठ
- भी
- ईमेल
- सक्षम
- समाप्त
- सुनिश्चित
- सुनिश्चित
- विशेष रूप से
- कार्यक्रम
- उम्मीदों
- शोषण करना
- विस्तार
- अतिरिक्त
- की सुविधा
- उल्लू बनाना
- पट्टिका
- वित्तीय
- खोज
- फर्मों
- पहली बार
- प्रवाह
- का पालन करें
- निम्नलिखित
- के लिए
- औपचारिक
- रूपों
- पाया
- मूलभूत
- धोखा
- धोखेबाजों
- अक्सर
- से
- लाभ
- मिल
- मिल रहा
- वैश्विक
- वैश्विक व्यापार
- Go
- होना
- हुआ
- है
- यहाँ उत्पन्न करें
- डाका डालना
- इतिहास
- कैसे
- How To
- एचटीएमएल
- HTTPS
- सैकड़ों
- विचारों
- पहचान
- if
- प्रभाव
- प्रभावित
- कार्यान्वयन
- महत्व
- in
- घटना
- घटना की प्रतिक्रिया
- शामिल
- सहित
- बढ़ना
- तेजी
- वास्तव में
- व्यक्तियों
- उद्योग
- उद्योग के मानकों
- करें-
- बातचीत
- अंतरंग
- में
- बीजक
- शामिल करना
- आईएसओ
- IT
- जॉन
- जेपीजी
- जानना
- जानने वाला
- बड़ा
- पिछली बार
- पिछले साल
- कानून
- कानूनी संस्था
- वकीलों
- परत
- प्रमुख
- कम से कम
- संबंध स्थापित करना
- पसंद
- सूची
- सूचीबद्ध
- देख
- खोया
- बहुत सारे
- मुख्य
- निर्माण
- मैलवेयर
- प्रबंधन
- कामयाब
- प्रबंध
- प्रबंध
- बहुत
- बाजार
- विशाल
- अधिकतम-चौड़ाई
- मई..
- मतलब
- साधन
- तब तक
- उपायों
- घास का मैदान
- हो सकता है
- दस लाख
- लाखों
- मिनट
- कम करना
- कम करने
- शमन
- धन
- निगरानी
- महीने
- अधिक
- अधिकांश
- चाहिए
- नेटवर्क
- नेटवर्क
- नया
- संख्या
- of
- on
- ONE
- ऑनलाइन
- अपारदर्शी
- खुला
- खुला स्रोत
- परिचालन
- or
- आदेश
- संगठन
- संगठनों
- अन्य
- आउट
- की कटौती
- रूपरेखा
- रूपरेखा
- के ऊपर
- कुल
- अपना
- भाग
- विशेष
- भागीदारों
- पार्टी
- अतीत
- पैच
- पैच
- फिल
- जगह
- योजना
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- नीति
- लोकप्रिय
- संभव
- संभावित
- संभावित
- प्रथाओं
- पिछला
- सिद्धांत
- विशेषाधिकार
- प्रक्रिया
- उत्पाद
- पेशेवर
- कार्यक्रम
- परियोजनाओं
- मालिकाना
- समृद्धि
- सुरक्षा
- प्रदाताओं
- सार्वजनिक रूप से
- डालता है
- गुणवत्ता
- त्वरित
- Ransomware
- हाल
- के बारे में
- नियमित
- नियमित तौर पर
- नियम
- रिपोर्ट
- प्रतिनिधित्व
- ख्याति
- की आवश्यकता होती है
- आवश्यकताएँ
- उपयुक्त संसाधन चुनें
- प्रतिक्रिया
- परिणाम
- परिणाम
- प्रकट
- की समीक्षा
- सही
- जोखिम
- जोखिम प्रबंधन
- जोखिम
- विक्रय
- वही
- स्कैनिंग
- परिदृश्य
- रहस्य
- सुरक्षा
- सुरक्षा उपाय
- भेजें
- संवेदनशील
- गंभीर
- कार्य करता है
- सेवा
- सेवा प्रदाता
- सेवाएँ
- चाहिए
- एक
- धीमा
- सॉफ्टवेयर
- सॉफ्टवेयर घटक
- सॉफ्टवेयर डेवलपर्स
- कुछ
- कभी कभी
- परिष्कृत
- स्रोत
- स्रोत कोड
- विशिष्ट
- मानकों
- शुरू होता है
- कदम
- कदम
- चुरा लिया
- चुराया
- की दुकान
- इसके बाद
- ऐसा
- का सामना करना पड़ा
- प्रदायक
- आपूर्तिकर्ताओं
- आपूर्ति
- आपूर्ति श्रृंखला
- पहुंचाने का तरीका
- स्थायी
- लेना
- लक्ष्य
- टीमों
- से
- कि
- RSI
- चोरी
- लेकिन हाल ही
- उन
- फिर
- वहाँ।
- इन
- वे
- इसका
- धमकी
- खतरों के खिलाड़ी
- यहाँ
- पहर
- सेवा मेरे
- साधन
- उपकरण
- व्यापार
- परंपरागत
- स्थानांतरण
- ट्रस्ट
- भरोसा
- टाइप
- प्रकार
- समझना
- समझ
- जब तक
- अपडेट
- अद्यतन
- us
- उपयोग
- उपयोगी
- उपयोगकर्ताओं
- का उपयोग
- आमतौर पर
- विक्रेताओं
- सत्यापित
- के माध्यम से
- दृश्यता
- कमजोरियों
- भेद्यता
- था
- मार्ग..
- तरीके
- चला गया
- थे
- क्या
- कब
- या
- कौन कौन से
- कौन
- किसका
- मर्जी
- साथ में
- काम कर रहे
- विश्व
- वर्स्ट
- वर्ष
- अभी तक
- आप
- आपका
- जेफिरनेट