সাইবার জগতে অভ্যন্তরীণ আক্রমনে ক্ষতির পরিমান আনুমানিক ২০ লক্ষ ডলার
by CIRT Team
সাইবার জগতে অভ্যন্তরীণ আক্রমণ একটি ভয়ানক হুমকির নাম। প্রতিষ্ঠানে চাকুরীরত কর্মকর্তা-কর্মচারীদের কোন একজনের অবহেলা বা অসতর্কভাবে ডিজিটাল ডিভাইস বা যন্ত্রপাতির ব্যবহার বা ক্ষতিকারক (ম্যালিশিয়াস) কর্মকানন্ডের প্রেক্ষিতে প্রতিষ্ঠানকে সাইবার আক্রমনের স্বীকার হতে হয় এবং সমূহ ক্ষতির সম্মুখীন হতে হয়। বিটগ্লাস কর্তৃক সম্পাদিত একটি জরিপ প্রতিবেদন অনুযায়ী বিগত ১২ মাসে বিভিন্ন প্রতিষ্ঠানে সংঘটিত সাইবার আক্রমণগুলোর আনুমানিক ৬১% এর সাথে সেই প্রতিষ্ঠানেরই আভ্যন্তরীণ কর্মকর্তা-কর্মচারী জড়িত ছিলেন।
আভ্যন্তরীণ হুমকিগুলোর ভয়াবহতা
বর্তমান সময়ে ব্যবসায়ীক প্রতিষ্ঠানগুলো প্রতিনিয়ত নতুন এক পরিবর্তনের দিকে এগিয়ে যাচ্ছে। এর প্রেক্ষিতে প্রতিষ্ঠানে চাকুরীরত কর্মকর্তা-কর্মচারীদেরও এর সাথে মানিয়ে নিতে হচ্ছে। বর্তমানে প্রতিষ্ঠানগুলো অনেকগুলো নতুন নতুন পলিসি গ্রহণ করেছে যেমন, নিজস্ব ডাটা সেন্টার ব্যহারের পরিবর্তে ক্লাউড ডাটা-সেন্টারের ব্যবহার, অফিসে না এসে রিমোটলি কাজ করার সুযোগ এবং অফিসে নিজস্ব ডিভাইস এনে কাজ করা যা Bring your own device (BYOD) হিসেবে পরিচিত – এ ধরনের একাধিক পলিসি। এই পলিসিগুলোকে সচল রাখতে গিয়ে যে জায়গাটাতে সবচেয়ে বেশি চ্যালেঞ্জের সম্মুখীন হতে হচ্ছে তা হল আভ্যন্তরীণ হুমকি মোকাবেলায় সিকিউরিটি নিশ্চিতকরণ।
সাইবার আক্রমনের ফলশ্রুতিতে বেশিরভাগ ক্ষেত্রেই প্রতিষ্ঠানের আর্থিক ক্ষতি ও মর্জাদাহানী ঘটে। কিন্তু বেশিরভাগ ক্ষেত্রেই প্রতিষ্ঠানগুলো এর অভ্যন্তরীণ হুমকিগুলো চিহ্নিত করতে সক্ষম হয়না। হুমকিগুলোর শ্রেনিবিন্যাস করলে দেখা যাবে এর ৮২% ব্যক্তিগত ডিভাইস বা ৫০% ক্লাউডের মাধ্যমে সংঘটিত হয়েছে যা কি না মূলত অভ্যন্তরীণ আক্রমণ। এর মধ্যে ৮১% ক্ষেত্রে এসব হুমকি ও হামলার প্রেক্ষিতে প্রতিষ্ঠানের সংঘটিত আর্থিক ক্ষতির পূর্বমূল্যায়ন করা সম্ভব হয়নি।
প্রতিষ্ঠানগুলোতে পৃথক পৃথক স্তরের সুরক্ষা নিশ্চিত করার লক্ষে একাধিক প্রকারের সরঞ্জাম ব্যবহার করা হয়ে থাকে। আপাত দৃষ্টিতে এগুলো বেশ অগুছালো বা বিক্ষিপ্ত ভাবে সাজানো মনে হয়। সিকিউরিটি প্রোফেশনাল যারা রয়েছেন তাদেরকে এসব সরঞ্জাম বা ডিভাইস বা সিস্টেম ম্যানেজ বা পরিচালনা করার জন্য প্রচুর পরিমান সময় ব্যয় করতে হয়। এই প্রসঙ্গে ৪৯% অংশগ্রহণকারী জানিয়েছেন যে আভ্যন্তরীণ হামলাকারী ব্যক্তি বা কোড সনাক্ত করতেই ৭ দিনের বেশি সময় অতিবাহিত হয়ে যায়। এমনকি ৪৪% অংশগ্রহণকারী এমন বলেছেন যে প্রতিষ্ঠানকে এই আক্রমণগুলো থেকে পুনরুদ্ধার করে স্বাভাবিক অবস্থায় ফিরিয়ে আনতে আরও একটি সপ্তাহ শেষ হয়ে যায়।
সাইবার সুরক্ষা খাতে আর্থিক বরাদ্দ সংকট
পৃথিবীজুড়ে প্রতিষ্ঠানগুলোর বাজেটের দিকে লক্ষ করলে দেখা যাবে আইটি খাতে আর্থিক বরাদ্দের পরিমান সবসময় বেশ সীমিত। আর আইটি সুরক্ষা বা সাইবার সুরক্ষার ক্ষেত্রে বরাদ্দের হার আরও কম। বিশ্বব্যাপী এই মহামারীর সময়ে সাইবার সুরক্ষাখাত জোরদারে বেশি করে আর্থিক বরাদ্দ না দিয়ে বরং তা কমিয়ে দিয়েছে বেশিরভাগ প্রতিষ্ঠান। বিভিন্ন সমীক্ষায় দেখা যায় বর্তমানে কাজের চাপ ও পরিধি আগের তুলনায় অনেক বেশি। তবুও আগামী বছরের অর্থ বরাদ্দের ক্ষেত্রে আনুমানিক ৭৩% প্রতিষ্ঠান সাইবার সুরক্ষা খাতে বরাদ্দ কমিয়ে দিয়েছে অথবা বর্তমানটাই বহাল রেখেছে। এ ধরনের আর্থিক বরাদ্দ সংকটের প্রেক্ষিতে নতুন টেকনোলজি নিয়ে কাজ করা বা অভিজ্ঞতাসম্পন্ন সিকিউরিটি প্রোফেশনাল নিয়োগ দেয়ার বেশ অনিশ্চিত একটা বেপার।
বিটগ্লাস প্রতিষ্ঠানের সিটিওর মতে, কোন প্রতিষ্ঠানের সংবেদনশীল তথ্য চুরি বা হারিয়ে যাওয়া বা নষ্ট হয়ে যাওয়া এবং স্বাভাবিক ব্যবসায়িক কর্মকান্ড বাধাগ্রস্ত হওয়াটাই আভ্যন্তরীণ সাইবার হামলার সবচেয়ে বড় ঝুঁকি।
প্রতিষ্ঠান ও পণ্যের ব্র্যান্ডের ক্ষতি, সাইবার হামলা প্রতিকারের ব্যয়, আইনি দায়বদ্ধতা এবং বাৎসরিক রেভিনিউ ক্ষতি এসবকিছুই সংঘটিত হচ্ছে অভ্যন্তরীণ সাইবার আক্রমনের সুবাদে যা কি আমাদের প্রতিহত করা উচিৎ। প্রতিষ্ঠানগুলোকে বিভিন্ন স্তরে স্তরে বহুপক্ষী সুরক্ষা ব্যবস্থা গ্রহণ করতে হবে, যা কি না প্রতিষ্ঠানে কর্মরত ব্যক্তিদের আচরণ পর্যবেক্ষনের কাজ করবে এবং ব্যক্তিগত ব্যবহৃত ডিভাইসগুলোর সুরক্ষা প্রদান করবে। এর পাশাপাশি একই সুরক্ষা ব্যবস্থার মাধ্যমে সর্বাধিক কার্যকরী ও নিরবচ্ছিন্ন সেবা প্রদান, সীমিত আর্থিক খরচ এবং তথ্য পাচার ও অখন্ডতা (integrity) রোধে নিশ্ছিদ্র সুরক্ষা ব্যবস্থা নিশ্চিত করতে হবে।
রুবাইয়াত বিন মোদাচ্ছের
ডিজিটাল ফরেনসিক এনালিস্ট
বিজিডি ই-গভ সার্ট
বাংলাদেশ কম্পিউটার কাউন্সিল
রেফারেন্সঃ
https://www.helpnetsecurity.com/2020/09/03/enterprise-cost-insider-attack/