دھوکہ بازوں کو روکنا: تنظیمیں سائبر حملوں سے اپنے آپ کو کیسے بچا سکتی ہیں (ایلین آلکنز)

2015 میں، میٹل کے ایک سینئر ایگزیکٹو کو کمپنی کے نئے مقرر کردہ سی ای او کی طرف سے ایک ای میل موصول ہوا۔ نوٹ میں ایک واقف کارخانہ دار کو واجب الادا ادائیگی پر کارروائی کرنے کی درخواست کی گئی ہے۔ ای میل پر عمل کرتے ہوئے، ایگزیکٹو نے 3 ملین ڈالر کی غلطی کی۔

اس قسم کے سائبر حملوں کو 'وہیل' ای میلز کے نام سے جانا جاتا ہے، جو ای میل ایڈریس والے کسی بھی شخص سے واقف فشنگ پیغامات کے 'کاپی پیسٹ' طریقہ کے بجائے اعلیٰ سطح کے ایگزیکٹوز کو نشانہ بنانے کے لیے انتہائی مخصوص، انتہائی حقیقت پسندانہ نقل کا استعمال کرتے ہیں۔

وہیلنگ ای میلز میں مختلف مذموم عناصر شامل ہو سکتے ہیں، جیسے مالویئر کے لنکس یا فنڈز کی منتقلی یا حساس ڈیٹا کی درخواستیں۔ حملہ آور کے مخصوص انداز سے قطع نظر، وہیلنگ کی کوششوں کی کامیابی ہدف کی ڈیجیٹل خواندگی میں فرق پر منحصر ہے۔

مالیاتی خدمات کی صنعت میں سائبرسیکیوریٹی کے بارے میں خدشات خاص طور پر ایجنڈے پر زیادہ ہیں، بینک آف انگلینڈ اور یورپی سینٹرل بینک دونوں نے حال ہی میں بڑے قرض دہندگان سے تفصیلی منصوبے فراہم کرنے کی ضرورت کی ہے کہ کریک ڈاؤن کی وسیع کال کے درمیان وہ سائبر خلاف ورزی کا کیا جواب دیں گے۔ سیکٹر میں سائبر سیکیورٹی پر۔ اس مسئلے سے نمٹنے کے اپنے نقطہ نظر کے ایک حصے کے طور پر، مالیاتی خدمات کی تنظیموں کو یہ یقینی بنانا چاہیے کہ تمام سطحوں پر عملہ سائبر سیکیورٹی کی خلاف ورزی کی نشاندہی کرنے اور اس کا جواب دینے میں ہنر مند ہے۔

عروج پر

حال ہی میں 45% سیکورٹی اور آئی ٹی ماہرین سروے PwC کے ذریعے رینسم ویئر حملوں میں اضافے کی پیش گوئی کی گئی ہے، اور AI ہیکرز کو وہیلنگ کا استعمال کرتے ہوئے اس قابل بنا رہا ہے کہ وہ پہلے کبھی نہیں دیکھی گئی درستگی کے ساتھ گھوٹالے کا ارتکاب کریں۔ 60 میں برطانیہ میں 2022 سے زیادہ قومی سطح پر 'اہم' سائبر حملے ہوئے،
کے مطابق نیشنل سائبر سیکورٹی سینٹر

یہاں تک کہ جب سائبرسیکیوریٹی پروگرامز موجود ہیں، انفرادی ملازمین اکثر کاروبار کے ہتھیار میں شامل ہوتے ہیں۔ فائر والز، فشنگ فلٹرز، اور اینٹی وائرس سافٹ ویئر اہم ہیں، لیکن ایک افرادی قوت میں سائبرسیکیوریٹی کی اچھی تعلیم اور مہارتوں کی موجودگی ڈیٹا کی سنگین خلاف ورزی کے خلاف دفاع کی ایک اہم لائن ہے جس کی وجہ سے لاکھوں ڈالر کا نقصان ہوتا ہے۔

اگرچہ وہیلنگ جیسے حملوں کو آسان بنانے کے لیے استعمال ہونے والے ٹولز نفیس ہوسکتے ہیں، لیکن کچھ آسان لیکن انتہائی موثر عمل ہیں جن میں افراد کو وہیل اور دیگر قسم کے سائبر حملوں سے کاروبار کی حفاظت کے لیے تربیت دی جا سکتی ہے۔

سائبر سیکیورٹی کی مہارتیں سب کے لیے

ڈیجیٹل خواندگی کسی بھی کردار کے لیے ایک شرط ہے جس میں ٹیک کے ساتھ کام کرنا شامل ہے، جو مالیاتی خدمات میں زیادہ تر عہدوں کا احاطہ کرتا ہے۔ سائبرسیکیوریٹی بیداری اس کا ایک اہم حصہ ہے۔ کاروبار بڑے پیمانے پر اعلیٰ سطح کے سائبرسیکیوریٹی سسٹم کی ضرورت سے آگاہ ہیں، لیکن ایک محفوظ ڈیجیٹل ماحولیاتی نظام کو برقرار رکھنے میں افراد کی ڈیجیٹل صلاحیتوں کے کردار کو اکثر نظر انداز کرتے ہیں۔

لہذا سائبرسیکیوریٹی کو ٹیک ڈیپارٹمنٹ کی واحد ذمہ داری کے تحت اسٹینڈ اکیلے فنکشن کے طور پر نہیں دیکھا جانا چاہئے، بلکہ ایک مہارت کا سیٹ جو پورے ادارے میں موجود ہونا چاہیے۔ ملازمین کو پروٹوکول کے ساتھ اپ ٹو ڈیٹ رکھنے اور ممکنہ خطرات اور بہترین طریقوں کے بارے میں کمپنی بھر میں آگاہی کو یقینی بنانے کے لیے عملے کو سائبر سیکیورٹی کی باقاعدگی سے تربیت دی جانی چاہیے۔

مثال کے طور پر، دھوکہ دہی والے ای میل پتوں کی شناخت کرنے کا طریقہ جاننا، غیر منقولہ اٹیچمنٹ کو نہ کھولنے میں مستعد رہنا، اور مشتبہ حملوں کی اطلاع دینے کے لیے مناسب چینلز کو جاننا بنیادی لیکن اعلیٰ اثر والی مہارتیں ہیں جن میں تمام ملازمین کو تربیت دی جانی چاہیے۔ یہ بھی ضروری ہے کہ تمام ملازمین انہیں فوری طور پر ان اقدامات کی تربیت دی جاتی ہے جو انہیں اٹھانے چاہئیں اگر ان کے آلات میلویئر سے متاثر ہوئے ہیں یا کوئی جعلی ای میل اس بات کو یقینی بنانے میں کامیاب رہی ہے کہ حملے کے اثرات کو ممکنہ حد تک کم کیا جائے۔

بورڈ بھر میں مستعدی

وہیلرز کی طاقت مستند ایڈریس سے ایک حرف دور ای میل ایڈریس، مستند بھیجنے والے کی مخصوص آواز کے مطابق زبان، اور حقیقی سودوں یا واقعات کی تفصیلات جو ہدف سے واقف ہیں، کا استعمال کرتے ہوئے ملازم کی قریب سے نقل کرنے کی صلاحیت میں مضمر ہے۔ چاہے مواصلات کا مسودہ AI کے ذریعے تیار کیا گیا ہو یا کسی شخص کے ذریعے، وہیلنگ نقل کرنے کے لیے ماخذ ڈیٹا پر انحصار کرتی ہے۔

سوشل میڈیا پروفائلز سے حاصل کی گئی سالگرہ اور مشاغل جیسی ذاتی معلومات جھوٹی بات چیت میں قائل کرنے والی تفصیلات کا اضافہ کر سکتی ہیں، اور ہیکرز کو یہاں تک جانا جاتا ہے کہ وہ مسترد شدہ دستاویزات سے شیڈول ڈیٹا کا استعمال کرتے ہیں تاکہ کسی شکار سے رابطہ کرنے سے بچ سکیں جب وہ کسی فرد کے ساتھ میٹنگ میں ہوں جب وہ نقالی کیے جا رہے ہوں۔

جاری سائبرسیکیوریٹی اسکلنگ آپریشنل سیکورٹی بیداری کے کلچر کو قائم کرنے کی بنیاد ہونی چاہیے۔ اس بات کا احساس پیدا کرنا کہ کون سی معلومات خطرے کا باعث بن سکتی ہیں اور معلومات کو صحیح طریقے سے محفوظ کرنے کا طریقہ جاننا اس بات کو یقینی بنائے گا کہ لوگ بظاہر بے ضرر سرگرمی کی شناخت اور روک سکتے ہیں جو ہیکرز کو ایندھن فراہم کرتی ہے۔ ٹیم کے اراکین کو اس بات کی تربیت دی جانی چاہیے کہ وہ کس طرح یقینی بنائیں کہ ان کی ذاتی آن لائن موجودگی ہیکرز کو پرائیویسی سیٹنگز پر مہارت حاصل کرنے، فائر والز ترتیب دینے، اینٹی وائرس سافٹ ویئر، اور انکرپشن کے استعمال کے ذریعے فعال نہیں کرتی ہے۔

دو ایک جادوئی نمبر ہے۔

اگرچہ تمام افرادی قوت میں سائبرسیکیوریٹی بیداری کو نافذ کرنا بہت سے ہیکس کے خلاف ایک طاقتور ڈھال فراہم کر سکتا ہے، لیکن کسی بھی حساس کارروائی کی تصدیق کے لیے دوسرا فلٹر، جیسے کہ فنڈز یا ڈیٹا کی منتقلی، بھی ضروری ہے۔

وہیلنگ کے حملوں کا بہت زیادہ انحصار اس شخص کے اختیار پر ہوتا ہے جسے نشانہ بنایا جاتا ہے۔ حتیٰ کہ اعلیٰ سطح کے ایگزیکٹوز کے لیے بھی، کسی بھی فرد کو ثانوی وضاحت کے بغیر کسی کارروائی کی تصدیق کرنے سے روکنے کے لیے پروٹوکول موجود ہونا چاہیے۔

دو قدمی توثیق کمپنی کے سافٹ ویئر یا مینوئل پراسیس میں شامل ایک خودکار عمل ہو سکتا ہے۔ چاہے توثیق کا دوسرا مرحلہ ایک الگ فرد سے ہو یا اسی شخص کی طرف سے، لیکن ایک مختلف پلیٹ فارم پر، کاروبار کو یقینی بنانا چاہیے کہ عملہ دو قدمی تصدیق کے لیے مناسب مشق پر مکمل طور پر ہنر مند ہے، اور سائبر سیکیورٹی کی باقاعدہ تربیت اس عمل کو معمول بناتی ہے۔  

سائبرسیکیوریٹی کی مہارتیں عیش و عشرت نہیں ہیں۔

یہاں تک کہ سب سے مضبوط خودکار سائبرسیکیوریٹی سسٹمز کو بھی ہیکرز بے کار بنا سکتے ہیں جو کسی تنظیم کے لوگوں کو ان کے خلاف متحرک کر سکتے ہیں۔ جاری کوششیں اور محفوظ طریقوں پر تازہ ترین تعلیم وہیلنگ اور سائبر حملوں کی دیگر اقسام کو روکنے کے لیے مرکزی حیثیت رکھتی ہے۔

کاروباری اداروں کو اپنے سائبر سیکیورٹی کے بنیادی ڈھانچے، پالیسیوں، اور اپنی افرادی قوت کی مہارتوں کے بارے میں باقاعدگی سے جائزہ لینا چاہیے تاکہ یہ یقینی بنایا جا سکے کہ تمام ممکنہ حملوں کے خلاف مؤثر طریقے سے کام کر رہے ہیں۔ اس کے لیے لوگوں کو ان جائزوں کو صحیح طریقے سے انجام دینے اور بہترین عمل کو برقرار رکھنے کے لیے تربیت حاصل کرنے کی ضرورت ہے، یا فرم بیرونی سائبر سیکیورٹی سپورٹ میں سرمایہ کاری کرنے کی کوشش کر سکتی ہیں۔

سائبرسیکیوریٹی کی مہارتوں میں سرمایہ کاری کوئی عیش و عشرت نہیں بلکہ ایک ضرورت ہے، اور جو لوگ ہیکرز کے خلاف دفاع کے لیے سسٹمز اور پروٹوکول کو درست طریقے سے ترتیب دینے اور برقرار رکھنے میں ناکام رہتے ہیں وہ خود کو دھوکہ دہی یا ڈیٹا کی خلاف ورزیوں کے لیے کھلا چھوڑ دیتے ہیں۔ ریگولیٹرز اور سرکاری اداروں کی جانب سے مالیاتی خدمات کے شعبے کے سائبر حملوں کے خطرے پر خاص طور پر گہری توجہ دینے کے ساتھ، یہ ایک ایسا مسئلہ ہے جس کا انتظار نہیں کیا جا سکتا۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹوآئ اسٹریم۔ ویب 3 ڈیٹا انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ایڈریین ایشلے کے ساتھ مستقبل کا نقشہ بنانا۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.finextra.com/blogposting/24165/fending-off-the-fraudsters-how-organisations-can-protect-themselves-from-cyberattacks?utm_medium=rssfinextra&utm_source=finextrablogs