तृतीय-पक्ष जोखिम विनिर्माण की सर्वोच्च प्राथमिकता क्यों होनी चाहिए?

समय टिकट: 3 नवंबर, 2022 4:00 बजे

चौथी औद्योगिक क्रांति ने निर्माताओं के लिए एक नई डिजिटल दुनिया बनाई - जिसके लिए पहले से कहीं अधिक कनेक्टिविटी, चपलता और दक्षता की आवश्यकता थी। वैश्विक माँगों को पूरा करने के लिए, निर्माता स्मार्ट फ़ैक्टरियों में बदल गए। अब, महत्वपूर्ण संचालन अब केवल विरासती अनुप्रयोगों और परिधि-आधारित सुरक्षा पर निर्भर नहीं हैं, बल्कि इसके बजाय, कई अलग-अलग स्थानों में सॉफ़्टवेयर, वर्कस्टेशन और उपकरणों के जटिल नेटवर्क पर निर्भर करते हैं, जिन तक सैकड़ों लोग पहुंचते हैं।

लेकिन आधुनिकीकरण के साथ अप्रत्याशित जोखिम भी आये। जैसे-जैसे संगठन व्यवसायों में सहयोग को बेहतर बनाने के लिए अधिक तृतीय पक्षों के साथ काम करते हैं, वे अपने वातावरण में अनिश्चितता लाते हैं। और यदि तीसरे पक्ष की पहुंच ठीक से सुरक्षित या प्रबंधित नहीं की जाती है, तो अनिश्चितता भेद्यता में बदल सकती है।

तृतीय-पक्ष सुरक्षा के साथ संघर्ष

एक नेटवर्क से जुड़े कई विक्रेताओं के साथ, उचित समाधान के बिना यह जानना असंभव है कि कौन सी जानकारी तक कौन पहुंच रहा है। और दुर्भाग्य से, कई निर्माता, विशेष रूप से छोटे से मध्यम आकार के निर्माता, अभी भी पुराने ढंग से विक्रेता पहुंच का प्रबंधन कर रहे हैं: मैन्युअल रूप से। लेकिन यह आवश्यक रूप से काम नहीं कर रहा है। दरअसल, पोनेमॉन की हालिया रिपोर्ट के मुताबिक, 70% संगठन उन्होंने कहा कि उन्हें तीसरे पक्ष के उल्लंघन का अनुभव हुआ है जो बहुत अधिक पहुंच प्रदान करने के कारण हुआ है।

यह उन हैकरों के लिए व्यर्थ नहीं है जो महत्वपूर्ण बुनियादी ढांचे को एक प्रमुख लक्ष्य के रूप में देखते हैं। जो निर्माता ईंधन, भोजन या मशीनरी का उत्पादन करते हैं, उन्हें परिचालन को शीघ्रता से फिर से चालू करने के लिए बड़ी फिरौती का भुगतान करने की अधिक संभावना होती है।

क्योंकि कई निर्माताओं के पास अभी भी पुराने अनुप्रयोगों और परिचालन प्रौद्योगिकी (ओटी) से बना जटिल वातावरण है, इन प्रणालियों में सभी पहुंच सुनिश्चित करना और सत्यापित करना एक चुनौती हो सकती है। ऐसे समाधान के बिना जो सभी आवश्यक प्रौद्योगिकी तक निर्बाध प्रबंधन और दृश्यता प्रदान करता है, कनेक्टिविटी के जोखिम लाभों से अधिक हो सकते हैं।

ख़राब विक्रेता प्रबंधन के जोखिम

इस पर विचार करें: आप अपनी तिजोरी की चाबी किसी विश्वसनीय मित्र को उसमें कुछ रखने के लिए देते हैं। जब वे उस वस्तु को तिजोरी में रखते हैं, तो वे आपके अंदर रखे पैसे भी चुरा लेते हैं। या वे आपकी तिजोरी की चाबियाँ खो देते हैं और कोई और उसे चुरा लेता है।

यह वह जोखिम है जो तीसरे पक्ष के खराब प्रबंधन से आता है - और परिणाम विनाशकारी हो सकते हैं। बदनाम सोलरवाइंड पर हमला जिसके कारण हजारों ग्राहकों ने दूषित सॉफ़्टवेयर डाउनलोड किया, उससे हमें पता चला कि तृतीय-पक्ष कनेक्शन कितने व्यापक हो सकते हैं और उचित प्रबंधन के बिना वे कितने समय तक चल सकते हैं। घटना के बाद ब्रांड को हुई प्रतिष्ठित क्षति का उल्लेख नहीं किया गया है। इसके वित्तीय परिणाम भी हो सकते हैं, अगर हैकर्स ने एजेंट के माध्यम से रैंसमवेयर तैनात किया होता, तो इससे भारी भुगतान हो सकता था।

तीसरे पक्ष के उल्लंघन का परिचालन जोखिम भी है। हमने देख लिया टोयोटा इस साल की शुरुआत में इसके अनुबंधित निर्माताओं में से एक के उल्लंघन का अनुभव होने के बाद परिचालन बंद कर दिया गया था। इसके अलावा, इसके कानूनी और नियामक निहितार्थ भी हैं। यदि कोई संगठन अपने तीसरे पक्षों की उचित जांच करने के लिए कदम नहीं उठाता है, तो वे खुद को अनुपालन जोखिमों और सुरक्षा चिंताओं के प्रति उजागर कर सकते हैं।

हाल ही में एक पोनेमोन रिपोर्ट पाया गया कि संगठन अब व्यवसाय करने के लिए पिछले वर्षों की तुलना में तीसरे पक्षों पर अधिक भरोसा कर रहे हैं। लेकिन हमले बढ़ रहे हैं, सर्वेक्षण में शामिल 54% संगठनों ने पिछले 12 महीनों में तीसरे पक्ष के साइबर हमले की रिपोर्ट की है। ये खतरे ख़त्म होने का नाम नहीं ले रहे हैं. चूंकि विनिर्माण अधिक तृतीय पक्षों को अपनाता है, इसलिए उन्हें विक्रेता विशेषाधिकार प्राप्त पहुंच प्रबंधन पर विचार करने की आवश्यकता है।

विशेषाधिकार प्राप्त पहुंच प्रबंधन के साथ तीसरे पक्ष को सुरक्षित करना

हालाँकि ये खतरे व्यापक हैं, लेकिन इन्हें रोकना असंभव नहीं है। ऐसा करने का सबसे प्रभावी तरीका विक्रेता विशेषाधिकार प्राप्त पहुंच प्रबंधन जैसे स्वचालित समाधान है। विक्रेताओं पर अधिक निर्भरता और अधिक तृतीय-पक्ष हमलों के लिए निम्नलिखित सर्वोत्तम सुरक्षा प्रथाओं को लागू करने की आवश्यकता है:

  • सभी विक्रेताओं और तृतीय पक्षों की सूची: इससे पहले कि संगठन एक विशेषाधिकार प्राप्त एक्सेस प्रबंधन समाधान लागू कर सकें, उन्हें इस बात का गहन ऑडिट करने की आवश्यकता है कि उनके सिस्टम में कौन सी जानकारी, एप्लिकेशन और डेटा तक कौन पहुंच रहा है। हालाँकि आपने किसी विक्रेता को एक लॉगिन दिया होगा, लेकिन इसका उपयोग सैकड़ों प्रतिनिधि कर सकते हैं। सुनिश्चित करें कि आप पहुंच के बारे में स्पष्ट दृष्टिकोण रखने के लिए विक्रेता इन्वेंट्री को नियमित रूप से अपडेट करते रहें।
  • पहुंच नियंत्रण के साथ आवाजाही कम करें: व्यापक हमले की सतह के साथ, अनधिकृत उपयोगकर्ता को नेटवर्क में आगे बढ़ने से रोकने के लिए विक्रेताओं के लिए विशेषाधिकार प्राप्त पहुंच प्रबंधन आवश्यक है। यह एक वॉल्ट के माध्यम से क्रेडेंशियल एक्सेस प्रदान करता है, ताकि उपयोगकर्ता को केवल जरूरत पड़ने पर ही अपने विशिष्ट कार्य के लिए आवश्यक संसाधनों तक पहुंचने की अनुमति मिल सके।
  • सभी विशेषाधिकार प्राप्त सत्र पहुंच की निगरानी और समीक्षा करें: एक स्वचालित समाधान का उपयोग करें जो सभी विशेषाधिकार प्राप्त पहुंच की निगरानी और सत्र रिकॉर्डिंग को सक्षम बनाता है। ऐसी तकनीक जो कीस्ट्रोक लॉग रखती है और किसी भी विसंगति या संदिग्ध व्यवहार को इंगित करती है, सहायक होती है, लेकिन केवल तभी जब उनकी नियमित रूप से समीक्षा की जाती है।

अकेले, एक विक्रेता विशेषाधिकार प्राप्त पहुंच प्रबंधन समाधान आपके संपूर्ण पर्यावरण की सुरक्षा के लिए पर्याप्त नहीं होगा। लेकिन शून्य विश्वास जैसे अन्य मजबूत सिद्धांतों के साथ, यह विनिर्माण के सामने आने वाले तीसरे पक्ष के जोखिमों को कम करने में जबरदस्त अंतर ला सकता है।

लेखक के बारे में

वेस राइट

वेस राइट इम्प्रिवेटा में मुख्य प्रौद्योगिकी अधिकारी हैं। वेस के पास स्वास्थ्य सेवा प्रदाताओं, आईटी नेतृत्व और सुरक्षा के साथ 20 वर्षों से अधिक का अनुभव है।

इंप्रिवटा में शामिल होने से पहले, वेस सटर हेल्थ में सीटीओ थे, जहां वह 26-अस्पताल प्रणाली के लिए तकनीकी सेवा रणनीतियों और परिचालन गतिविधियों के लिए जिम्मेदार थे। वेस सिएटल चिल्ड्रेन्स हॉस्पिटल में वरिष्ठ उपाध्यक्ष/सीआईओ रहे हैं और अमेरिकी वायु सेना में एक तीन-सितारा जनरल के लिए स्टाफ के प्रमुख के रूप में कार्य किया है।

वेस ने मैरीलैंड विश्वविद्यालय से व्यवसाय और प्रबंधन में बीएस की उपाधि प्राप्त की है और न्यू मैक्सिको विश्वविद्यालय से एमबीए की उपाधि प्राप्त की है। वेस CHIME & AEHIT वर्चुअल हेल्थ पॉलिसी वर्कग्रुप का सदस्य है।

समय टिकट:

से अधिक डार्क रीडिंग