ایک ایسا وقت ہوا کرتا تھا جب خطرے سے بچنے والی تنظیمیں اپنے کاروباری صارفین کی مہنگی غلطیاں کرنے کی صلاحیت کو سختی سے محدود کر سکتی تھیں۔ محدود تکنیکی معلومات، سخت اجازتوں، اور ٹیل ونڈ کی کمی کے ساتھ، ایک کاروباری صارف جو سب سے برا کام کر سکتا ہے وہ مالویئر ڈاؤن لوڈ کرنا یا فشنگ مہم کا شکار ہونا تھا۔ وہ دن اب گئے ہیں۔
آج کل، ہر بڑا سافٹ ویئر بطور سروس (ساس) پلیٹ فارم بنڈل آتا ہے۔ آٹومیشن اور ایپلیکیشن بنانے کی صلاحیتوں کے ساتھ جو براہ راست کاروباری صارفین کے لیے ڈیزائن اور مارکیٹنگ کی گئی ہیں۔ SaaS پلیٹ فارمز جیسے Microsoft 365، Salesforce، اور ServiceNow سرایت کر رہے ہیں۔ کوئی کوڈ/کم کوڈ پلیٹ فارم ان کی موجودہ پیشکشوں میں، انہیں کارپوریٹ کی منظوری کے بغیر براہ راست کاروباری صارفین کے ہاتھ میں دے دینا۔ وہ صلاحیتیں جو کبھی صرف IT اور ترقیاتی ٹیموں کے لیے دستیاب تھیں اب پوری تنظیم میں دستیاب ہیں۔
پاور پلیٹ فارم، مائیکروسافٹ کا کم کوڈ والا پلیٹ فارم، آفس 365 میں بنایا گیا ہے اور انٹرپرائز میں مائیکروسافٹ کے مضبوط قدم اور کاروباری صارفین کی طرف سے اسے اپنانے کی شرح کی وجہ سے ایک بہترین مثال ہے۔ شاید اس کا ادراک کیے بغیر، انٹرپرائزز پہلے سے کہیں زیادہ لوگوں کے ہاتھ میں ڈویلپر کی سطح کی طاقت دے رہے ہیں، جس میں سیکیورٹی یا تکنیکی معلومات بہت کم ہیں۔ کیا غلط ہو سکتا ہے؟
کافی، اصل میں. آئیے اپنے تجربے سے چند حقیقی دنیا کی مثالوں کا جائزہ لیں۔ معلومات کو گمنام کر دیا گیا ہے، اور کاروبار سے متعلق مخصوص عمل کو چھوڑ دیا گیا ہے۔
صورتحال 1: نیا وینڈر؟ بس کر ڈالو
ایک ملٹی نیشنل ریٹیل کمپنی میں کسٹمر کیئر ٹیم صارفین کی بصیرت کے ساتھ اپنے کسٹمر ڈیٹا کو بہتر بنانا چاہتی تھی۔ خاص طور پر، وہ نئے گاہکوں کے بارے میں مزید معلومات حاصل کرنے کی امید کر رہے تھے تاکہ وہ اپنی ابتدائی خریداری کے دوران بھی ان کی بہتر خدمت کر سکیں۔ کسٹمر کیئر ٹیم نے ایک وینڈر کا فیصلہ کیا جس کے ساتھ وہ کام کرنا چاہیں گے۔ فروش کو افزودگی کے لیے ڈیٹا بھیجنے کی ضرورت تھی، جسے پھر ان کی خدمات کے ذریعے واپس لے لیا جائے گا۔
عام طور پر، یہ وہ جگہ ہے جہاں آئی ٹی تصویر میں آتا ہے۔ IT کو وینڈر سے اور ڈیٹا حاصل کرنے کے لیے کسی قسم کے انضمام کی ضرورت ہوگی۔ آئی ٹی سیکیورٹی ٹیم کو بھی واضح طور پر شامل ہونے کی ضرورت ہوگی تاکہ یہ یقینی بنایا جاسکے کہ اس وینڈر پر کسٹمر ڈیٹا کے ساتھ بھروسہ کیا جاسکتا ہے اور خریداری کی منظوری دی جاسکتی ہے۔ حصولی اور قانونی نے بھی کلیدی حصہ لیا ہوگا۔ اس معاملے میں، تاہم، چیزیں ایک مختلف سمت میں چلا گیا.
یہ خاص کسٹمر کیئر ٹیم Microsoft پاور پلیٹ فارم کے ماہرین تھی۔ وسائل یا منظوری کا انتظار کرنے کے بجائے، وہ صرف آگے بڑھے اور خود انضمام کو بنایا: پروڈکشن میں SQL سرورز سے کسٹمر ڈیٹا اکٹھا کرنا، یہ سب وینڈر کے فراہم کردہ FTP سرور پر بھیجنا، اور FTP سرور سے افزودہ ڈیٹا کو واپس لانا پیداوار ڈیٹا بیس. جب بھی ڈیٹا بیس میں کوئی نیا گاہک شامل کیا گیا تو پورا عمل خود بخود مکمل ہو گیا۔ یہ سب ڈریگ اینڈ ڈراپ انٹرفیس کے ذریعے کیا گیا تھا، جو آفس 365 پر میزبانی کرتا تھا، اور ان کے ذاتی اکاؤنٹس کا استعمال کرتا تھا۔ لائسنس کی ادائیگی جیب سے کی گئی تھی، جس کی وجہ سے پروکیورمنٹ کو باہر رکھا گیا۔
CISO کی حیرت کا تصور کریں جب انہیں کاروباری آٹومیشنز کا ایک گروپ AWS پر سخت کوڈ والے IP ایڈریس پر کسٹمر ڈیٹا کو منتقل کرتے ہوئے پایا۔ صرف Azure کے صارف ہونے کے ناطے، اس نے ایک بڑا سرخ جھنڈا اٹھایا۔ مزید برآں، ڈیٹا کو ایک غیر محفوظ FTP کنکشن کے ساتھ بھیجا اور وصول کیا جا رہا تھا، جس سے سیکورٹی اور تعمیل کا خطرہ پیدا ہو رہا تھا۔ جب سیکیورٹی ٹیم نے ایک وقف شدہ حفاظتی ٹول کے ذریعے یہ پایا، ڈیٹا تقریباً ایک سال سے تنظیم کے اندر اور باہر منتقل ہو رہا تھا۔
صورتحال 2: اوہ، کیا کریڈٹ کارڈز جمع کرنا غلط ہے؟
ایک بڑے IT وینڈر میں HR ٹیم سال میں ایک بار "Give Away" مہم کے لیے تیاری کر رہی تھی، جہاں ملازمین کی حوصلہ افزائی کی جاتی ہے کہ وہ اپنے پسندیدہ خیراتی ادارے کو عطیہ کریں، کمپنی ملازمین کی طرف سے عطیہ کیے گئے ہر ڈالر کو ملا کر آگے بڑھ رہی ہے۔ پچھلے سال کی مہم بڑے پیمانے پر کامیابی سے ہمکنار ہوئی تھی، اس لیے توقعات کی بھرمار تھی۔ مہم کو تقویت دینے اور دستی عمل کو کم کرنے کے لیے، ایک تخلیقی HR ملازم نے مائیکروسافٹ کے پاور پلیٹ فارم کا استعمال ایک ایسی ایپ بنانے کے لیے کیا جس نے پورے عمل کو آسان بنایا۔ رجسٹر کرنے کے لیے، ایک ملازم اپنے کارپوریٹ اکاؤنٹ کے ساتھ درخواست میں لاگ ان کرے گا، اپنی عطیہ کی رقم جمع کرائے گا، ایک خیراتی ادارہ منتخب کرے گا، اور ادائیگی کے لیے اپنے کریڈٹ کارڈ کی تفصیلات فراہم کرے گا۔
یہ مہم ایک بہت بڑی کامیابی تھی، جس میں ملازمین کی ریکارڈ توڑ شرکت اور HR ملازمین سے بہت کم دستی کام کی ضرورت تھی۔ کسی وجہ سے، اگرچہ، سیکیورٹی ٹیم جس طرح سے چیزیں نکلی اس سے خوش نہیں تھی۔ مہم میں رجسٹریشن کے دوران، سیکورٹی ٹیم کے ایک ملازم نے محسوس کیا کہ ایک ایپ میں کریڈٹ کارڈز جمع کیے جا رہے ہیں جو ایسا نہیں لگتا تھا کہ ایسا کرنا چاہیے۔ تحقیقات پر، انہوں نے پایا کہ وہ کریڈٹ کارڈ کی تفصیلات واقعی غلط طریقے سے ہینڈل کی گئی تھیں۔ کریڈٹ کارڈ کی تفصیلات ڈیفالٹ پاور پلیٹ فارم ماحول میں محفوظ کی گئی تھیں، جس کا مطلب ہے کہ وہ تمام ملازمین، دکانداروں، اور ٹھیکیداروں سمیت پورے Azure AD کرایہ دار کے لیے دستیاب تھے۔ مزید برآں، وہ سادہ سادہ سٹرنگ فیلڈز کے طور پر محفوظ کیے گئے تھے۔
خوش قسمتی سے، سیکیورٹی ٹیم نے ڈیٹا پروسیسنگ کی خلاف ورزی کا پتہ چلا اس سے پہلے کہ بدنیتی پر مبنی اداکاروں — یا تعمیل آڈیٹرز — نے اسے دیکھا۔ ڈیٹا بیس کو صاف کیا گیا تھا، اور ریگولیشن کے مطابق مالیاتی معلومات کو مناسب طریقے سے ہینڈل کرنے کے لیے درخواست کو پیچ کیا گیا تھا۔
صورتحال 3: میں صرف Gmail کیوں استعمال نہیں کرسکتا؟
ایک صارف کے طور پر، کوئی بھی انٹرپرائز ڈیٹا ضائع ہونے سے بچاؤ کے کنٹرول کو پسند نہیں کرتا ہے۔ یہاں تک کہ جب ضروری ہو، وہ روزمرہ کی کارروائیوں میں پریشان کن رگڑ متعارف کرواتے ہیں۔ نتیجے کے طور پر، صارفین نے ہمیشہ ان کو روکنے کی کوشش کی ہے. تخلیقی کاروباری صارفین اور سیکیورٹی ٹیم کے درمیان ایک بارہماسی ٹگ آف وار کارپوریٹ ای میل ہے۔ کارپوریٹ ای میل کو ذاتی ای میل اکاؤنٹ یا کارپوریٹ کیلنڈر کو ذاتی کیلنڈر سے ہم آہنگ کرنا: سیکیورٹی ٹیموں کے پاس اس کا حل ہے۔ یعنی، انہوں نے ای میل فارورڈنگ کو روکنے اور ڈیٹا گورننس کو یقینی بنانے کے لیے ای میل سیکیورٹی اور ڈی ایل پی حل پیش کیے ہیں۔ یہ مسئلہ حل کرتا ہے، ٹھیک ہے؟
ٹھیک ہے ، نہیں۔ ایک بار بار تلاش بڑے کاروباری اداروں اور چھوٹے کاروباروں میں یہ پتہ چلتا ہے کہ صارف ایسے آٹومیشن بنا رہے ہیں جو ای میل کنٹرولز کو نظرانداز کرتے ہوئے اپنے کارپوریٹ ای میل اور کیلنڈر کو ان کے ذاتی اکاؤنٹس میں بھیج دیتے ہیں۔ ای میلز کو آگے بھیجنے کے بجائے، وہ ڈیٹا کو ایک سروس سے دوسری سروس میں کاپی اور پیسٹ کرتے ہیں۔ ہر سروس میں الگ شناخت کے ساتھ لاگ ان کرکے اور بغیر کوڈ کے کاپی پیسٹ کے عمل کو خودکار بنا کر، کاروباری صارفین آسانی کے ساتھ سیکیورٹی کنٹرولز کو نظرانداز کرتے ہیں — اور سیکیورٹی ٹیموں کے لیے تلاش کرنے کا کوئی آسان طریقہ نہیں ہے۔
پاور پلیٹ فارم کمیونٹی نے بھی ترقی کی ہے۔ سانچے جسے کوئی بھی Office 365 صارف اٹھا کر استعمال کر سکتا ہے۔
بڑی طاقت کے ساتھ بڑی ذمہ داری آتی ہے۔
کاروباری صارف کو بااختیار بنانا بہت اچھا ہے۔ کاروباری لائنوں کو آئی ٹی کا انتظار نہیں کرنا چاہئے یا ترقی کے وسائل کے لئے لڑنا نہیں چاہئے۔ تاہم، ہم صرف کاروباری صارفین کو ڈویلپر کی سطح کی طاقت نہیں دے سکتے ہیں جس میں کوئی رہنمائی یا گارڈریل نہیں ہے اور امید ہے کہ سب کچھ ٹھیک ہو جائے گا۔
سیکیورٹی ٹیموں کو کاروباری صارفین کو تعلیم دینے اور ایپلیکیشن ڈویلپرز کے طور پر ان کی نئی ذمہ داریوں سے آگاہ کرنے کی ضرورت ہے، چاہے وہ ایپلیکیشنز "کوڈ نہیں" کا استعمال کرتے ہوئے بنائی گئی ہوں۔ سیکیورٹی ٹیموں کو اس بات کو یقینی بنانے کے لیے حفاظتی دستے اور نگرانی بھی رکھنی چاہیے کہ جب کاروباری صارفین غلطی کرتے ہیں، جیسا کہ ہم سب کرتے ہیں، تو یہ مکمل طور پر ڈیٹا لیک ہونے یا تعمیل آڈٹ کے واقعات میں پھنس نہیں جائے گا۔
