بزنس سیکورٹی
اپنے شراکت داروں اور سپلائرز پر ان کی حفاظتی پوزیشن پر اندھا اعتماد کرنا پائیدار نہیں ہے - یہ وقت ہے کہ مؤثر سپلائر رسک مینجمنٹ کے ذریعے کنٹرول حاصل کریں۔
25 جان 2024 • , 5 منٹ پڑھیں
دنیا سپلائی چینز پر قائم ہے۔ وہ مربوط ٹشو ہیں جو عالمی تجارت اور خوشحالی میں سہولت فراہم کرتے ہیں۔ لیکن اوور لیپنگ اور باہم متعلقہ کمپنیوں کے یہ نیٹ ورک تیزی سے پیچیدہ اور مبہم ہیں۔ زیادہ تر سافٹ ویئر اور ڈیجیٹل خدمات کی فراہمی میں شامل ہیں، یا کم از کم کسی نہ کسی طرح آن لائن تعاملات پر انحصار کرتے ہیں۔ یہ انہیں خلل اور سمجھوتہ سے خطرہ میں ڈالتا ہے۔
خاص طور پر SMBs اپنی سپلائی چینز میں سیکیورٹی کا انتظام کرنے کے لیے فعال طور پر تلاش نہیں کر رہے ہوں گے، یا ان کے پاس وسائل نہیں ہیں۔ لیکن آنکھیں بند کرکے اپنے شراکت داروں اور سپلائرز پر ان کی سائبرسیکیوریٹی پوزیشن پر بھروسہ کرنا موجودہ آب و ہوا میں پائیدار نہیں ہے۔ درحقیقت، سپلائی چین کے خطرے کو سنبھالنے کے بارے میں سنجیدہ ہونے کا (ماضی) وقت ہے۔
سپلائی چین کا خطرہ کیا ہے؟
سپلائی چین سائبر خطرات کئی شکلیں لے سکتے ہیں۔ ransomware کے اور ڈیٹا کی چوری سے انکار سروس (DDoS) اور دھوکہ دہی۔ وہ روایتی سپلائرز جیسے پیشہ ورانہ خدمات کی فرموں (مثلاً وکلاء، اکاؤنٹنٹ) یا کاروباری سافٹ ویئر کے فروشوں کو متاثر کر سکتے ہیں۔ حملہ آور مینیجڈ سروس پرووائیڈرز (MSPs) کے پیچھے بھی جا سکتے ہیں، کیونکہ اس طرح کسی ایک کمپنی سے سمجھوتہ کرنے سے، وہ ممکنہ طور پر بڑی تعداد میں ڈاون اسٹریم کلائنٹ کے کاروبار تک رسائی حاصل کر سکتے ہیں۔ پچھلے سال کی تحقیق نے انکشاف کیا کہ 90% MSPs کو پچھلے 18 مہینوں میں سائبر حملے کا سامنا کرنا پڑا۔
یہاں سپلائی چین سائبر اٹیک کی کچھ اہم اقسام ہیں اور وہ کیسے ہوتے ہیں:
- سمجھوتہ شدہ ملکیتی سافٹ ویئر: سائبر کرائمینز مزید جرات مند ہو رہے ہیں۔ کچھ معاملات میں، وہ سافٹ ویئر ڈویلپرز سے سمجھوتہ کرنے کا راستہ تلاش کرنے میں کامیاب ہو گئے ہیں، اور کوڈ میں میلویئر داخل کر سکتے ہیں جو بعد میں نیچے دھارے کے صارفین کو پہنچایا جاتا ہے۔ میں یہی ہوا۔ کیسیا رینسم ویئر مہم۔ ایک حالیہ صورت میں، مقبول فائل ٹرانسفر سافٹ ویئر MOVEit سے سمجھوتہ کیا گیا تھا۔ صفر دن کے خطرے اور سیکڑوں کارپوریٹ صارفین سے ڈیٹا چوری کرکے، ان کے لاکھوں صارفین کو متاثر کرتے ہیں۔ دریں اثنا، 3CX مواصلاتی سافٹ ویئر کا سمجھوتہ ایک سپلائی چین حملے کا پہلا عوامی طور پر دستاویزی واقعہ کے طور پر تاریخ میں نیچے چلا گیا۔
- اوپن سورس سپلائی چینز پر حملے: زیادہ تر ڈویلپرز اپنے سافٹ ویئر پروجیکٹس کے لیے مارکیٹ میں وقت کو تیز کرنے کے لیے اوپن سورس اجزاء کا استعمال کرتے ہیں۔ لیکن دھمکی دینے والے اداکار یہ جانتے ہیں، اور انہوں نے اجزاء میں مالویئر ڈالنا اور انہیں مشہور ذخیروں میں دستیاب کرنا شروع کر دیا ہے۔ ایک رپورٹ کا دعویٰ ہے۔ ایسے حملوں میں سال بہ سال 633 فیصد اضافہ ہوا ہے۔ دھمکی دینے والے اداکار بھی اوپن سورس کوڈ میں موجود کمزوریوں کا فائدہ اٹھانے میں جلدی کرتے ہیں جسے کچھ صارفین پیچ کرنے میں سست ہو سکتے ہیں۔ ایسا ہی اس وقت ہوا جب قریب قریب ہر جگہ موجود ٹول میں ایک اہم بگ پایا گیا۔ Log4j کے نام سے جانا جاتا ہے۔.
- فراڈ کے لیے سپلائرز کی نقالی کرنا: کے طور پر جانا جاتا جدید ترین حملے کاروباری ای میل سمجھوتہ (BEC) بعض اوقات دھوکہ بازوں کو شامل کرتے ہیں جو سپلائرز کی نقالی کرتے ہیں تاکہ کسی کلائنٹ کو دھوکہ دے کر ان سے پیسے بٹوریں۔ حملہ آور عام طور پر کسی ایک فریق یا دوسرے سے تعلق رکھنے والے ای میل اکاؤنٹ کو ہائی جیک کر لیتا ہے، ای میل کے بہاؤ کی نگرانی اس وقت تک کرتا ہے جب تک کہ اس میں قدم رکھنے اور تبدیل شدہ بینک کی تفصیلات کے ساتھ جعلی رسید بھیجنے کا وقت نہ ہو۔
- اسناد کی چوری: حملہ آوروں لاگ ان چوری سپلائرز یا ان کے کلائنٹس (جن کے نیٹ ورکس تک ان کی رسائی ہو سکتی ہے) کی خلاف ورزی کرنے کی کوشش میں سپلائرز۔ 2013 کے بڑے پیمانے پر ہدف کی خلاف ورزی میں ایسا ہی ہوا جب ہیکرز نے اسناد چرا لیں۔ خوردہ فروش کے HVAC سپلائرز میں سے ایک۔
- ڈیٹا چوری: بہت سے سپلائرز اپنے کلائنٹس پر حساس ڈیٹا محفوظ کرتے ہیں، خاص طور پر قانونی فرموں جیسی کمپنیاں جو کارپوریٹ رازوں سے پرہیز کرتی ہیں۔ وہ دھمکی آمیز اداکاروں کے لیے ایک پرکشش ہدف کی نمائندگی کرتے ہیں جو وہ معلومات کی تلاش میں ہیں جو وہ کر سکتے ہیں۔ بھتہ خوری کے ذریعے رقم کمانا یا دوسرے ذرائع
آپ سپلائر کے خطرے کا اندازہ کیسے لگاتے ہیں اور اسے کم کرتے ہیں؟
سپلائی چین کے خطرے کی مخصوص قسم کچھ بھی ہو، حتمی نتیجہ ایک ہی ہو سکتا ہے: مالی اور شہرت کو پہنچنے والے نقصان اور قانونی سوٹ کا خطرہ، آپریشنل بندش، فروخت سے محروم اور ناراض صارفین۔ اس کے باوجود صنعت کے کچھ بہترین طریقوں پر عمل کرکے ان خطرات کا انتظام کرنا ممکن ہے۔ یہاں آٹھ خیالات ہیں:
- کسی بھی نئے فراہم کنندہ کے لیے مناسب احتیاط برتیں۔ اس کا مطلب ہے کہ ان کے حفاظتی پروگرام کی جانچ پڑتال آپ کی توقعات کے مطابق ہے، اور یہ کہ ان کے پاس خطرے کے تحفظ، پتہ لگانے اور ردعمل کے لیے بنیادی اقدامات ہیں۔ سافٹ ویئر فراہم کرنے والوں کے لیے اس بات کو بھی بڑھانا چاہیے کہ آیا ان کے پاس خطرے سے متعلق انتظامی پروگرام موجود ہے اور ان کی مصنوعات کے معیار کے حوالے سے ان کی شہرت کیا ہے۔
- اوپن سورس کے خطرات کا نظم کریں۔ اس کا مطلب یہ ہو سکتا ہے کہ سافٹ ویئر کمپوزیشن اینالیسس (SCA) ٹولز کا استعمال سافٹ ویئر کے اجزاء میں مرئیت حاصل کرنے کے ساتھ ساتھ، کمزوریوں اور مالویئر کے لیے مسلسل اسکیننگ، اور کسی بھی کیڑے کی فوری پیچنگ۔ یہ بھی یقینی بنائیں کہ ڈویلپر ٹیمیں مصنوعات تیار کرتے وقت ڈیزائن کے لحاظ سے سیکیورٹی کی اہمیت کو سمجھیں۔
- تمام سپلائرز کے خطرے کا جائزہ لیں۔ یہ اس بات کو سمجھنے کے ساتھ شروع ہوتا ہے کہ آپ کے سپلائرز کون ہیں اور پھر یہ جانچنا کہ آیا ان کے پاس بنیادی حفاظتی اقدامات موجود ہیں۔ اس کو ان کی اپنی سپلائی چین تک بڑھانا چاہیے۔ کثرت سے آڈٹ کریں اور جہاں مناسب ہو صنعت کے معیارات اور ضوابط کے ساتھ ایکریڈیشن کی جانچ کریں۔
- اپنے تمام منظور شدہ سپلائرز کی فہرست رکھیں اور اسے اپنے آڈیٹنگ کے نتائج کے مطابق باقاعدگی سے اپ ڈیٹ کریں۔ سپلائی کرنے والوں کی فہرست کا باقاعدہ آڈٹ اور اپ ڈیٹ کرنے سے تنظیموں کو خطرے کا مکمل جائزہ لینے، ممکنہ کمزوریوں کی نشاندہی کرنے اور اس بات کو یقینی بنانے میں مدد ملے گی کہ سپلائرز سائبر سکیورٹی کے معیارات پر عمل پیرا ہوں۔
- سپلائی کرنے والوں کے لیے ایک رسمی پالیسی قائم کریں۔ اس میں سپلائر کے خطرے کو کم کرنے کے لیے آپ کی ضروریات کا خاکہ پیش کرنا چاہیے، بشمول کوئی بھی SLA جو پورا کیا جانا چاہیے۔ اس طرح، یہ ایک بنیادی دستاویز کے طور پر کام کرتا ہے جس میں توقعات، معیارات اور طریقہ کار کا خاکہ پیش کیا جاتا ہے جن پر سپلائرز کو لازمی طور پر عمل کرنا چاہیے تاکہ سپلائی چین کی مجموعی حفاظت کو یقینی بنایا جا سکے۔
- فراہم کنندہ تک رسائی کے خطرات کا نظم کریں۔ سپلائرز کے درمیان کم سے کم استحقاق کے اصول کو نافذ کریں، اگر انہیں کارپوریٹ نیٹ ورک تک رسائی کی ضرورت ہو۔ یہ ایک کے حصے کے طور پر تعینات کیا جا سکتا ہے زیرو ٹرسٹ نقطہ نظر، جہاں تمام صارفین اور آلات تصدیق شدہ ہونے تک ناقابل اعتماد ہیں، مسلسل تصدیق اور نیٹ ورک کی نگرانی کے ساتھ خطرے میں کمی کی ایک اضافی تہہ شامل ہے۔
- واقعہ کے ردعمل کا منصوبہ تیار کریں۔ بدترین صورت حال کی صورت میں، اس بات کو یقینی بنائیں کہ آپ کے پاس تنظیم پر اثر انداز ہونے کا موقع ملنے سے پہلے خطرے پر قابو پانے کے لیے ایک اچھی طرح سے مشق شدہ منصوبہ ہے۔ اس میں آپ کے سپلائرز کے لیے کام کرنے والی ٹیموں کے ساتھ رابطہ قائم کرنے کا طریقہ شامل ہوگا۔
- صنعت کے معیارات کو نافذ کرنے پر غور کریں۔ ISO 27001 اور ISO 28000 سپلائر کے خطرے کو کم کرنے کے لیے اوپر درج کیے گئے کچھ اقدامات کو حاصل کرنے کے لیے بہت سے مفید طریقے ہیں۔
پچھلے سال امریکہ میں، میلویئر پر مبنی حملوں کے مقابلے میں سپلائی چین کے 40 فیصد زیادہ حملے ہوئے۔ ایک رپورٹ. ان کے نتیجے میں 10 ملین سے زیادہ افراد متاثر ہوئے۔ یہ زیادہ موثر سپلائر رسک مینجمنٹ کے ذریعے کنٹرول واپس لینے کا وقت ہے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.welivesecurity.com/en/business-security/assessing-mitigating-cybersecurity-risks-supply-chain/
- : ہے
- : ہے
- : نہیں
- :کہاں
- 10 ڈالر ڈالر
- 10
- 2013
- a
- قابلیت
- ہمارے بارے میں
- اوپر
- رفتار کو تیز تر
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- ایکریڈیشن
- حاصل
- اداکار
- انہوں نے مزید کہا
- مان لیا
- کے بعد
- سیدھ میں لائیں
- تمام
- شانہ بشانہ
- بھی
- تبدیل
- کے درمیان
- an
- تجزیہ
- اور
- ایک اور
- کوئی بھی
- مناسب
- کی منظوری دے دی
- کیا
- AS
- تشخیص کریں
- اندازہ
- جائزوں
- At
- حملہ
- حملے
- کرنے کی کوشش
- پرکشش
- آڈٹ
- آڈیٹنگ
- کی توثیق
- دستیاب
- واپس
- بینک
- بیس لائن
- BE
- رودبار
- کیونکہ
- رہا
- اس سے پہلے
- شروع
- تعلق رکھتے ہیں
- BEST
- بہترین طریقوں
- اندھیرے میں
- خلاف ورزی
- خلاف ورزیوں
- بگ کی اطلاع دیں
- کیڑوں
- تعمیر
- کاروبار
- کاروبار
- لیکن
- by
- مہم
- کر سکتے ہیں
- کیس
- مقدمات
- قسم
- چین
- زنجیروں
- موقع
- چیک کریں
- جانچ پڑتال
- کلائنٹ
- کلائنٹس
- آب و ہوا
- کوڈ
- مواصلات
- کمپنیاں
- کمپنی کے
- پیچیدہ
- اجزاء
- ساخت
- سمجھوتہ
- سمجھوتہ
- سلوک
- پر مشتمل ہے
- مسلسل
- کنٹرول
- کارپوریٹ
- سکتا ہے
- اہم
- موجودہ
- گاہکوں
- سائبر
- سائبر حملہ
- سائبر سیکیورٹی
- نقصان
- اعداد و شمار
- DDoS
- ڈیلیور
- سروس کا انکار
- تعینات
- ڈیزائن
- تفصیلات
- کھوج
- ڈیولپر
- ڈویلپرز
- ترقی
- کے الات
- ڈیجیٹل
- ڈیجیٹل خدمات
- محتاج
- خلل
- do
- دستاویز
- نیچے
- دو
- e
- موثر
- آٹھ
- یا تو
- ای میل
- کو چالو کرنے کے
- آخر
- کو یقینی بنانے کے
- کو یقینی بنانے ہے
- خاص طور پر
- واقعہ
- توقعات
- دھماکہ
- توسیع
- اضافی
- سہولت
- جعلی
- فائل
- مالی
- مل
- فرم
- پہلا
- بہنا
- پر عمل کریں
- کے بعد
- کے لئے
- رسمی طور پر
- فارم
- ملا
- بنیاد پرست
- دھوکہ دہی
- دھوکہ دہی
- اکثر
- سے
- حاصل کرنا
- حاصل
- حاصل کرنے
- گلوبل
- عالمی تجارت
- Go
- ہو
- ہوا
- ہے
- یہاں
- ہائی جیک
- تاریخ
- کس طرح
- کیسے
- HTML
- HTTPS
- سینکڑوں
- خیالات
- کی نشاندہی
- if
- اثر
- اثر انداز کرنا
- پر عمل درآمد
- اہمیت
- in
- واقعہ
- واقعہ کا جواب
- شامل
- سمیت
- اضافہ
- دن بدن
- یقینا
- افراد
- صنعت
- صنعت کے معیار
- معلومات
- بات چیت
- مباشرت
- میں
- انوائس
- شامل
- ISO
- IT
- جنوری
- فوٹو
- جان
- جانا جاتا ہے
- بڑے
- آخری
- آخری سال
- قانون
- قانون سازی
- وکلاء
- پرت
- معروف
- کم سے کم
- رابطہ کرنا
- کی طرح
- لسٹ
- فہرست
- تلاش
- کھو
- لاٹوں
- مین
- بنانا
- میلویئر
- انتظام
- میں کامیاب
- انتظام
- مینیجنگ
- بہت سے
- مارکیٹ
- بڑے پیمانے پر
- زیادہ سے زیادہ چوڑائی
- مئی..
- مطلب
- کا مطلب ہے کہ
- دریں اثناء
- اقدامات
- کے ساتھ
- شاید
- دس لاکھ
- لاکھوں
- منٹ
- تخفیف کریں
- تخفیف کرنا
- تخفیف
- قیمت
- نگرانی
- ماہ
- زیادہ
- سب سے زیادہ
- ضروری
- نیٹ ورک
- نیٹ ورک
- نئی
- تعداد
- of
- on
- ایک
- آن لائن
- مبہم
- کھول
- اوپن سورس
- آپریشنل
- or
- حکم
- تنظیم
- تنظیمیں
- دیگر
- باہر
- بندش
- خاکہ
- خاکہ
- پر
- مجموعی طور پر
- خود
- حصہ
- خاص طور پر
- شراکت داروں کے
- پارٹی
- گزشتہ
- پیچ
- پیچ کرنا
- فل
- مقام
- منصوبہ
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پالیسی
- مقبول
- ممکن
- ممکنہ
- ممکنہ طور پر
- طریقوں
- پچھلا
- اصول
- استحقاق
- طریقہ کار
- حاصل
- پیشہ ورانہ
- پروگرام
- منصوبوں
- ملکیت
- خوشحالی
- تحفظ
- فراہم کرنے والے
- عوامی طور پر
- رکھتا ہے
- معیار
- فوری
- ransomware کے
- حال ہی میں
- کے بارے میں
- باقاعدہ
- باقاعدگی سے
- ضابطے
- رپورٹ
- کی نمائندگی
- شہرت
- کی ضرورت
- ضروریات
- وسائل
- جواب
- نتیجہ
- نتائج کی نمائش
- انکشاف
- کا جائزہ لینے کے
- ٹھیک ہے
- رسک
- رسک مینجمنٹ
- خطرات
- فروخت
- اسی
- سکیننگ
- منظر نامے
- راز
- سیکورٹی
- حفاظتی اقدامات
- بھیجنے
- حساس
- سنگین
- کام کرتا ہے
- سروس
- سہولت کار
- سروسز
- ہونا چاہئے
- ایک
- سست
- سافٹ ویئر کی
- سافٹ ویئر کے اجزاء
- سافٹ ویئر ڈویلپرز
- کچھ
- کبھی کبھی
- بہتر
- ماخذ
- ماخذ کوڈ
- مخصوص
- معیار
- شروع ہوتا ہے
- مرحلہ
- مراحل
- چرا لیا
- چوری
- ذخیرہ
- بعد میں
- اس طرح
- کا سامنا
- سپلائر
- سپلائرز
- فراہمی
- فراہمی کا سلسلہ
- سپلائی چین
- پائیدار
- لے لو
- ہدف
- ٹیموں
- سے
- کہ
- ۔
- چوری
- ان
- ان
- تو
- وہاں.
- یہ
- وہ
- اس
- خطرہ
- دھمکی دینے والے اداکار
- کے ذریعے
- وقت
- کرنے کے لئے
- کے آلے
- اوزار
- تجارت
- روایتی
- منتقل
- بھروسہ رکھو
- اعتماد کرنا
- قسم
- اقسام
- سمجھ
- افہام و تفہیم
- جب تک
- اپ ڈیٹ کریں
- اپ ڈیٹ
- us
- استعمال کی شرائط
- مفید
- صارفین
- کا استعمال کرتے ہوئے
- عام طور پر
- دکانداروں
- تصدیق
- کی طرف سے
- کی نمائش
- نقصان دہ
- خطرے کا سامنا
- تھا
- راستہ..
- طریقوں
- چلا گیا
- تھے
- کیا
- جب
- چاہے
- جس
- ڈبلیو
- کس کی
- گے
- ساتھ
- کام کر
- دنیا
- بدترین
- سال
- ابھی
- تم
- اور
- زیفیرنیٹ