مالیاتی ادارے سائبر سیکیورٹی کے اپنے اعلیٰ چیلنجوں سے کیسے نمٹ سکتے ہیں۔

ویریزون کے مطابق ڈیٹا کی خلاف ورزی کی تحقیقاتی رپورٹ، مالیاتی شعبہ مسلسل سب سے زیادہ نشانہ بننے والی صنعتوں میں شامل ہے، اور حملوں کی شرح بڑھ رہی ہے۔ صرف 238 میں بینکوں پر حملوں میں 2022 فیصد اضافہ دیکھا گیا۔ آئی بی ایم کے مطابق، مالیاتی شعبے میں اوسط ڈیٹا کی خلاف ورزی کی لاگت $5.9 ملین ہے، جو اوسط لاگت میں صرف صحت کی دیکھ بھال کے شعبے کو پیچھے چھوڑتی ہے۔ ڈیٹا کی خلاف ورزی کی رپورٹ 2023 کی لاگت۔

اگرچہ صنعت نے سائبرسیکیوریٹی کے ساتھ اہم پیش رفت کی ہے، ایسے بے شمار عوامل ہیں جو اب بھی بینکوں اور مالیاتی اداروں کو پرکشش ہدف بناتے ہیں۔

مالیاتی ڈیٹا کی حفاظت کے چیلنجز

کئی مسائل مالیاتی اداروں کو اپنے اثاثوں کے تحفظ میں درپیش مشکلات میں حصہ ڈالتے ہیں۔ سب سے اہم میں سے ایک کاروباری ماحول کی پیچیدگی ہے، خاص طور پر ان بڑے اداروں کے لیے جو انضمام اور حصول سے گزر چکے ہیں۔ میراثی نیٹ ورکس اور ایپلیکیشنز کو جوڑنے کے نتیجے میں غلط کنفیگریشنز کے نتیجے میں ایسے خطرات پیدا ہو سکتے ہیں جو ہیکرز کو آسانی سے اندراج فراہم کرتے ہیں۔

بہت سے کاروباروں کی طرح مالیاتی اداروں کے پاس بھی وبائی امراض کے تناظر میں زیادہ تقسیم شدہ افرادی قوت ہے۔ نتیجے کے طور پر، انہیں کلاؤڈ اور موبائل کمپیوٹنگ کے زیادہ استعمال کو مربوط کرنا پڑا جس سے حملے کی سطح میں اضافہ ہوتا ہے۔ اور، جدید، ظاہری شکل والی ایپلی کیشنز کے نفاذ کے باوجود، بینکوں کے لیے 50 سال پرانی ایپلی کیشنز کا ہونا کوئی غیر معمولی بات نہیں ہے - جو COBOL میں لکھی ہوئی ہیں - جو پچھلے حصے پر چل رہی ہیں جو کہ سپورٹ کیے جانے سے بہت پہلے گزر چکی ہیں۔ یہ ایپلیکیشنز سیکورٹی کے نقطہ نظر سے خطرناک ہو سکتی ہیں، لیکن اکثر اپ ڈیٹ کرنے کے لیے مالی یا آپریشنل معنی نہیں رکھتیں۔

ان تمام خطرات کے باوجود، زیادہ تر حملے نیٹ ورک پر شناخت کی صورت میں انسانی عنصر پر منحصر ہوتے ہیں۔

ایکٹو ڈائرکٹری اور شناخت کی اہمیت

بہت سے سائبر حملوں میں صارف کی شناخت ایک بڑا کردار ادا کرتی ہے، چاہے خلاف ورزیوں کا نتیجہ اندرونی کارروائیوں، بیرونی حملوں، یا فریق ثالث کے شراکت داروں کی شمولیت سے ہو۔

جب شناخت کے خطرات کی بات آتی ہے تو، ایک بدنیتی پر مبنی اندرونی وسیع نقصان کا سبب بن سکتا ہے۔ سب سے قابل ذکر مثال ہے۔ 2019 کیپٹل ون ہیک۔ تقریباً چار سال بعد اور اس مخصوص ہیک کو اب تک بڑے پیمانے پر اندرونی خطرات میں سے ایک کے طور پر پہچانا جاتا ہے۔ 100 ملین صارفین کے ریکارڈز، 140,000 سوشل سیکیورٹی نمبرز اور 80,000 صارفین کی بینک تفصیلات کی چوری کے لیے ایک ہی اندرونی ذمہ دار تھا۔ اور کسی تنظیم کے باہر سے ایک سندی سمجھوتہ واقعی اندرونی خطرہ کی ایک اور قسم ہے۔ ایک بار جب بیرونی حملہ آور اسناد چرا کر رسائی حاصل کر لیتے ہیں، تو وہ ایک قابل اعتماد اندرونی کی طرح کام کرتے ہیں۔

تیسرے فریق کا خطرہ بھی شدید نقصان کا سبب بن سکتا ہے۔ زیادہ تر مالیاتی اداروں کے پاس درجنوں سے سینکڑوں وینڈرز، سروس فراہم کرنے والے، اور دوسرے شراکت دار اپنے نیٹ ورک سے جڑے ہوئے ہیں۔ سمجھدار ہیکرز کے لیے، تیسرے فریق کے نظام میں خلاف ورزی مالیاتی ماحول میں داخل ہونے کے لیے بہترین جمپنگ آف پوائنٹ بنا سکتی ہے۔

ان حملوں میں کون سی مماثلت ہے؟ ان خلاف ورزیوں کا سب سے عام راستہ ایکٹو ڈائریکٹری (AD) ہے، جو دنیا بھر میں 90% مالیاتی تنظیموں اور کاروباروں کے لیے بنیادی شناختی خدمت ہے۔

جب کوئی ولی سوٹن سے پوچھا کہ اس نے بینک کیوں لوٹے؟ اس نے جواب دیا، "کیونکہ وہیں پیسہ ہے۔" تو، سائبر کرائمین ایکٹو ڈائریکٹری پر کیوں حملہ کرتے ہیں؟ کیونکہ مراعات یافتہ رسائی وہیں ہے۔ AD کو زیادہ تر تنظیموں میں اتنی مضبوطی سے بُنا گیا ہے کہ وہ اس میں شامل ہے۔ 9 میں سے 10 سائبر حملے۔ مائیکروسافٹ کا اندازہ ہے کہ دھمکی آمیز اداکار ہر روز 95 ملین AD اکاؤنٹس پر حملہ کرتے ہیں، اور یہ قدامت پسندی کی طرف ہے۔

چاہے کوئی حملہ آور فشنگ یا دیگر ذرائع سے رسائی حاصل کرتا ہے، ایکٹیو ڈائرکٹری جیسے شناخت سے مالا مال علاقے میں جانے سے وہ مراعات کو بڑھا سکتا ہے، نیٹ ورکس میں منتقل ہو سکتا ہے، اور ڈیٹا چوری کر سکتا ہے یا رینسم ویئر کے حملے شروع کر سکتا ہے۔ اس قسم کے حملے بینکوں اور دیگر مالیاتی خدمات کے کاموں کو روک سکتے ہیں، فنڈز تک رسائی کو روک سکتے ہیں، صارفین کا ڈیٹا لیک ہو سکتے ہیں اور برانڈ کو نقصان پہنچا سکتے ہیں۔

خلاف ورزی کی تیاری اور دیگر بہترین طرز عمل

اپنے ڈیٹا کی بہتر حفاظت کے لیے، بینکوں اور مالیاتی اداروں کو اپنے خطرے کو ترجیح دینے کے ساتھ شروع کرنا چاہیے۔ انہیں یہ قبول کرنے کی ضرورت ہے کہ خلاف ورزیاں ہوں گی، لہذا انہیں اپنے سب سے زیادہ ترجیحی اثاثوں کی شناخت کرنی چاہیے - جو سمجھوتہ کرنے پر سب سے زیادہ نقصان پہنچاتے ہیں - اور ان اثاثوں کی کمزوریوں کی نشاندہی کریں۔

خلاف ورزی کی تیاری AD سیکیورٹی کے جائزے کے ساتھ شروع ہوتی ہے، اس کے ساتھ ساتھ کسی تنظیم کے حفاظتی ڈھانچے، آپریشنل طریقہ کار اور سیکیورٹی کنفیگریشنز کا جائزہ لیا جاتا ہے۔ یہ سیکورٹی ٹیموں کو حملے کے راستوں کی نشاندہی کرنے اور ردعمل اور تدارک کے لیے منصوبے تیار کرنے کی اجازت دیتا ہے۔ ماحولیات کے مکمل جائزے کے ساتھ، تنظیمیں حملے کی سطح کو کم کرنے، حفاظتی ترتیب کو بہتر بنانے اور حملے سے صحت یاب ہونے کے لیے ایک سوچا سمجھا منصوبہ تیار کر سکتی ہیں جو وقت اور خلل کو کم کرتا ہے۔

صارف کی شناخت کی مسلسل نگرانی بھی بہت ضروری ہے۔ اگر کسی نچلے درجے کے ملازم کو اچانک مراعات حاصل ہو جاتی ہیں، وہ حساس ڈیٹا تک رسائی حاصل کر رہا ہے جس کا اسے جائزہ نہیں لینا چاہیے، یا وہ طاق اوقات میں کام کر رہا ہے اور باقاعدہ کاروباری کام انجام نہیں دے رہا ہے، اس بات کا امکان ہے کہ اس کی شناخت سے سمجھوتہ کیا جائے۔

آخر میں، منصوبہ بندی میں ایک انسانی عنصر ہونا چاہیے، سیکورٹی اہلکاروں کی بھرتی اور برقرار رکھنے اور صارفین کو تعلیم دینے کی شکل میں۔ بینکوں اور مالیاتی اداروں کو ضروری ہے کہ وہ باخبر سیکیورٹی پریکٹیشنرز کو راغب کریں اور انہیں برقرار رکھیں، جو بڑے اداروں کے لیے برداشت کرنا آسان ہے۔ لیکن کسی بھی سائز کی تنظیموں میں، سیکورٹی کاروبار کا ایک چھوٹا حصہ ہے۔ مالیاتی اداروں کے پاس اب بھی ایسے لوگوں کی بھیڑ ہے جو سیکورٹی کے بارے میں محدود معلومات رکھتے ہیں جو سسٹم تک رسائی حاصل کر رہے ہیں اور حساس ڈیٹا کو ہینڈل کر رہے ہیں۔ اس طرح، ملازمین کی تربیت اور حفاظت سے متعلق آگاہی ضروری ہے، خاص طور پر دور دراز کے کارکنوں کی بڑھتی ہوئی تعداد کے ساتھ۔

مالیاتی شعبے کی سلامتی کا مستقبل

بڑھتے ہوئے حملوں کی رفتار اور نفاست کے ساتھ، اداروں کو اپنے ماحول میں مرئیت حاصل کرنے، صارف کی شناخت پر قابو پانے اور خلاف ورزی کی تیاری، ردعمل اور بحالی کے لیے واضح منصوبے تیار کرنے کی ضرورت ہے۔

آگے دیکھتے ہوئے، مالیاتی اداروں کو کرپٹو کرنسی کے ساتھ نئے خطرات اور چیلنجوں سے منسلک خطرات کا بھی مقابلہ کرنا پڑے گا۔ سیکیورٹی کی تمام اقسام کی طرح، یہ انٹرپرائز میں مرئیت حاصل کرنے اور اس پر کنٹرول حاصل کرنے کے بنیادی اصولوں پر عبور حاصل کرنے کے لیے نیچے آتا ہے۔