“একটি ভালো ও বাধাহীন সিকিউরিটির মূল চাবিকাঠি হলো ব্যবসার প্রয়োজনীয়তা এবং কার্যক্রমগুলো বোঝা, যাতে সেগুলোর চারপাশে দক্ষতার সাথে নিয়ন্ত্রণ ব্যবস্থা গড়ে তোলা যায়। সিকিউরিটি একেবারে ভিত্তিমূলে থাকা উচিত, কেবল ওপর দিয়ে প্রলেপ দেওয়া নয়।”
সিনিয়র সিকিউরিটি ইঞ্জিনিয়ার - ড্যান পেরি
ইনফোসেক (Infosec) কী?
ইনফরমেশন রিস্ক ম্যানেজমেন্টের একটি সাধারণ অংশ হলো ইনফরমেশন সিকিউরিটি (যাকে সংক্ষেপে 'Infosec' বলা হয়)। এটি মূলত অননুমোদিত অ্যাক্সেস, ব্যবহার, প্রকাশ, ব্যাঘাত, মুছে ফেলা, দুর্নীতি, পরিবর্তন, পরিদর্শন বা রেকর্ডিংয়ের ঝুঁকি কমানো এবং দূর করার একটি প্রক্রিয়া।
তথ্য সুরক্ষিত রাখতে এবং বর্তমান প্রেক্ষাপটে বিপুল পরিমাণ ব্যক্তিগত ডেটা সুরক্ষার জন্য, ডেটা স্টোরেজ সর্বোত্তমভাবে পরিচালনা করতে ব্যবসাগুলোকে অবশ্যই এই নীতিগুলো অনুসরণ করতে হবে:
গোপনীয়তা (Confidentiality)
গোপনীয়তার নীতিটি নিশ্চিত করে যে ব্যক্তিগত তথ্য ব্যক্তিগতই থাকবে এবং এটি কেবল সেই ব্যক্তিদের দ্বারাই দেখা বা অ্যাক্সেস করা যাবে যাদের কাজের দায়িত্ব পালনের জন্য ওই তথ্যের প্রয়োজন।
অখণ্ডতা (Integrity)
অখণ্ডতার নীতিটি এমনভাবে ডিজাইন করা হয়েছে যাতে ডেটার নির্ভুলতার ওপর আস্থা রাখা যায় এবং এটি নিশ্চিত করা যায় যে ডেটাটি অনুপযুক্তভাবে পরিবর্তন করা হয়নি।
প্রাপ্যতা (Availability)
সাপোর্ট সিস্টেমগুলোর কার্যকারিতা রক্ষা করা এবং ব্যবহারকারীদের যখন প্রয়োজন তখন (বা নির্দিষ্ট সময়ের প্রয়োজনে) ডেটা সম্পূর্ণভাবে উপলব্ধ থাকা নিশ্চিত করা। প্রাপ্যতার উদ্দেশ্য হলো সিদ্ধান্ত নেওয়ার সময় প্রয়োজনীয় ডেটা যেন ব্যবহারের জন্য প্রস্তুত থাকে তা নিশ্চিত করা।
এই ব্লগের শেষে Purple-এর ইনফরমেশন সিকিউরিটি যোগ্যতাগুলো দেখুন!
“একটি সুনাম অর্জন করতে ২০ বছর সময় লাগে, আর একটি সাইবার ঘটনা তা নষ্ট করতে মাত্র কয়েক মিনিট সময় নেয়।”
সিকিউরিটি ব্রিচ বা নিরাপত্তা লঙ্ঘনের ধরন
ম্যান-ইন-দ্য-মিডল (MitM)
একটি MitM আক্রমণ তখন ঘটে যখন কোনো হ্যাকার গোপনে দুই পক্ষের মধ্যে যোগাযোগ রিলে করে এবং সম্ভবত তা পরিবর্তন করে, যেখানে ওই দুই পক্ষ বিশ্বাস করে যে তারা সরাসরি একে অপরের সাথে যোগাযোগ করছে।
MITM আক্রমণের একটি উদাহরণ হলো সক্রিয় 'আড়িপাতা' (eavesdropping), যেখানে আক্রমণকারী শিকারদের সাথে স্বাধীন সংযোগ স্থাপন করে এবং তাদের মধ্যে মেসেজ আদান-প্রদান করে তাদের বিশ্বাস করায় যে তারা একটি ব্যক্তিগত সংযোগের মাধ্যমে সরাসরি একে অপরের সাথে কথা বলছে।
ফিশিং (Phishing)
ফিশিং হলো যখন আক্রমণকারীরা ব্যবহারকারীদের 'ভুল কাজ' করতে প্ররোচিত করার চেষ্টা করে, যেমন কোনো ক্ষতিকারক লিঙ্কে ক্লিক করা যা ম্যালওয়্যার ডাউনলোড করবে, অথবা তাদের কোনো সন্দেহজনক ওয়েবসাইটে নিয়ে যাবে।
ফিশিং টেক্সট মেসেজ, সোশ্যাল মিডিয়া বা ফোনের মাধ্যমে পরিচালিত হতে পারে, তবে 'ফিশিং' শব্দটি মূলত ইমেলের মাধ্যমে আসা আক্রমণগুলোকে বোঝাতে ব্যবহৃত হয়।
ডিনায়াল-অফ-সার্ভিস (DoS)
একটি ডিনায়াল-অফ-সার্ভিস (DoS) আক্রমণ হলো এমন একটি আক্রমণ যার উদ্দেশ্য কোনো মেশিন বা নেটওয়ার্ক বন্ধ করে দেওয়া, যাতে এটি এর প্রকৃত ব্যবহারকারীদের কাছে অ্যাক্সেসযোগ্য না থাকে। DoS আক্রমণগুলো টার্গেটকে ট্রাফিক দিয়ে প্লাবিত করে বা এমন তথ্য পাঠিয়ে এটি সম্পন্ন করে যা ক্র্যাশ ঘটায়। উভয় ক্ষেত্রেই, DoS আক্রমণ বৈধ ব্যবহারকারীদের (যেমন- কর্মী, সদস্য বা অ্যাকাউন্ট হোল্ডার) তাদের প্রত্যাশিত পরিষেবা বা রিসোর্স থেকে বঞ্চিত করে।
DoS আক্রমণের শিকার সাধারণত হাই-প্রোফাইল সংস্থাগুলোর ওয়েব সার্ভার হয়ে থাকে, যেমন ব্যাংকিং, কমার্স এবং মিডিয়া কোম্পানি, অথবা সরকারি ও বাণিজ্য সংস্থাগুলো। যদিও DoS আক্রমণের ফলে সাধারণত উল্লেখযোগ্য তথ্য বা অন্যান্য সম্পদের চুরি বা ক্ষতি হয় না, তবে এগুলো সামলাতে ভুক্তভোগীর প্রচুর সময় এবং অর্থ ব্যয় হতে পারে।
“সিকিউরিটি এমন কিছু নয় যা আপনি কেনেন, এটি এমন কিছু যা আপনি করেন, এবং এটি সঠিকভাবে করার জন্য মেধাবী মানুষের প্রয়োজন।”
সিকিউরিটি ব্রিচের পরিণতি
রাজস্ব ক্ষতি
এই পরিণতিটি হ্যাকার কোন ধরনের সাইবার আক্রমণ বেছে নিয়েছে তার ওপর ব্যাপকভাবে নির্ভর করতে পারে, তবে ডেটা ফাঁসের ফলে অতিরিক্ত সিকিউরিটি খরচ, মার্কেট শেয়ারের মূল্য হ্রাস, সেইসাথে ক্ষতিগ্রস্ত গ্রাহকদের ক্ষতিপূরণ দেওয়ার খরচ বৃদ্ধি পাবে।
সুনাম
যদিও কোনো ব্যবসার রাজস্বের ওপর স্বল্পমেয়াদী আঘাত খুব একটা ক্ষতিকর মনে নাও হতে পারে, তবে আসল ক্ষতিটা সময়ের সাথে সাথে দেখা যায়। একবার সিকিউরিটি ব্রিচের খবর ছড়িয়ে পড়লে, পার্টনার এবং সম্ভাব্য/বিদ্যমান গ্রাহকরা কোম্পানি ছেড়ে যেতে দ্বিতীয়বার ভাববেন না, যা কোম্পানির আয়ের একটি বড় অংশ কেড়ে নেবে।
আইনি ব্যবস্থা
জরিমানা, জরিমানা এবং আরও জরিমানা।
বিশ্বজুড়ে অসংখ্য নিয়মকানুন রয়েছে যা ব্যবসাগুলোকে অবশ্যই মেনে চলতে হয়, উদাহরণস্বরূপ:
- ইউরোপ - GDPR (GDPR একটি ইইউ রেগুলেশন এবং এটি যুক্তরাজ্যের জন্য আর প্রযোজ্য নয় )
- যুক্তরাজ্য - ডেটা প্রোটেকশন অ্যাক্ট
- চীন - পার্সোনাল ইনফরমেশন প্রোটেকশন ল
ইউকে GDPR এবং DPA-এর অধীনে, সর্বোচ্চ জরিমানার পরিমাণ হলো ১৭.৫ মিলিয়ন পাউন্ড অথবা বার্ষিক গ্লোবাল টার্নওভারের ৪% - যেটি বেশি হয়। তবে ইইউ GDPR এবং DPA-এর অধীনে পরিচালিত ব্যবসাগুলোকে সর্বোচ্চ ২০ মিলিয়ন ইউরো (১৮ মিলিয়ন পাউন্ড) জরিমানা করা হতে পারে।
কার্যক্রমে ব্যাঘাত
যেকোনো প্রচেষ্টা বা সফল ব্রিচের ক্ষেত্রে, সমস্ত ব্যবসাই তাদের কার্যক্রমে প্রভাবের সম্মুখীন হবে কারণ ক্ষতির পরিমাণ, কারণ এবং উৎস খুঁজে বের করার জন্য ব্যাপক তদন্তের প্রয়োজন হয়।
কিছু ক্ষেত্রে, ড্যামেজ কন্ট্রোল এবং রিকভারি প্ল্যান তৈরি করার জন্য ব্যবসাগুলো সম্পূর্ণভাবে বন্ধ হয়ে যায়, এবং এই সময়ে ওপরের সমস্ত বিষয়গুলো আরও খারাপ রূপ নেয়।
একুশ শতকের সবচেয়ে বড় ডেটা ব্রিচ
২০ ১৩ সালে Adobe হ্যাক হয়েছিল এবং এনক্রিপ্ট করা আইডি, পাসওয়ার্ড এবং ডেবিট ও ক্রেডিট কার্ডের তথ্যসহ ১৫৩ মিলিয়নেরও বেশি ব্যবহারকারীর রেকর্ড হাতিয়ে নেওয়া হয়েছিল।
Adobe-কে আইনি ফি হিসেবে ১.১ মিলিয়ন ডলার দিতে ���য়েছিল এবং ২০১৬ সালের নভেম্বরে, গ্রাহকদের দেওয়া অর্থের পরিমাণ ১ মিলিয়ন ডলার বলে রিপোর্ট করা হয়েছিল।
https://www.youtube.com/watch?v=zYfx4cdFCVA
“আপনি যদি সিকিউরিটির ব্যয় বহন করতে না পারেন, তবে আপনি একটি ব্রিচের ক্ষতিও সামলাতে পারবেন না।”
Purple-এর ইনফোসেক সার্টিফিকেশন
ISO/IEC 27001
ব্যক্তিগত ডেটা পরিচালনা এবং স্টোরেজের জন্য ক্লাউড-ভিত্তিক WiFi সফটওয়্যার ডিজাইন এবং ডেভেলপমেন্টের ক্ষেত্রে Purple হলো ISO/IEC 27001 কমপ্লায়েন্ট। আমাদের ISO সার্টিফিকেশন এমন একটি বিষয় যা আমরা বেশ কয়েক বছর ধরে বজায় রেখেছি এবং এটি নিশ্চিত করেছে যে আমাদের গ্রাহক এবং তাদের ডেটা সাবজেক্টদের প্রতি আমাদের বাধ্যবাধকতার সাথে সামঞ্জস্য রেখে আমাদের প্রোডাক্টের নিরাপদ ডেলিভারি নিশ্চিত করার জন্য আমাদের কাছে সঠিক প্রক্রিয়া, কর্মী এবং প্রযুক্তি রয়েছে। ISO 27001 এমন একটি কন্ট্রোল ফ্রেমওয়ার্ক নির্ধারণ করেছে যা হিউম্যান রিসোর্স পরিচালনা থেকে শুরু করে ক্রিপ্টোগ্রাফি পর্যন্ত পুরো ব্যবসাজুড়ে বিস্তৃত।
এই বেসলাইনটি গ্রহণ করে এবং আমাদের ব্যবসায়িক লক্ষ্য (অভ্যন্তরীণ প্রয়োজনীয়তা) এবং আমাদের গ্রাহকদের প্রত্যাশা (বাহ্যিক প্রয়োজনীয়তা) পূরণের জন্য এটিকে প্রসারিত করে, আমরা কাজ করার একটি নিরাপদ এবং পুনরাবৃত্তিযোগ্য উপায় তৈরি করেছি যা উদ্দেশ্যের জন্য উপযুক্ত।
CyberEssentials+
সাইবার এসেনশিয়ালস স্কিমটি ইউকে সরকার এবং NCSC দ্বারা সমর্থিত একটি অপেক্ষাকৃত নতুন স্কিম, যার লক্ষ্য হলো SME-দের (ক্ষুদ্র ও মাঝারি উদ্যোগ) তাদের গ্রাহকদের কাছে একটি সিকিউরিটি বেসলাইন নিশ্চিত করার উপায় হিসেবে সক্ষম করা এবং তাদের সরকারি প্রকিউরমেন্ট প্রক্রিয়ার জন্য আবেদন করতে সক্ষম করা।
সাইবার এসেনশিয়ালস সার্টিফিকেশন হলো একটি সেলফ-অ্যাসেসমেন্ট টুল, তবে, আমাদের কন্ট্রোলগুলোর ওপর আস্থার কারণে, বিশেষ করে ইতিমধ্যে আরও শক্তিশালী ISO 27001 ফ্রেমওয়ার্ক বাস্তবায়ন করার ফলে, আমরা এটিকে এক ধাপ এগিয়ে নিয়েছি এবং একটি স্বাধীন স্বীকৃত CE+ সিকিউরিটি পার্টনারের মাধ্যমে আমাদের কন্ট্রোলগুলো যাচাই করে সাইবার এসেনশিয়ালস প্লাস সার্টিফিকেশন অর্জন করেছি।
আরও জানতে আগ্রহী? জেনে নিন কীভাবে আপনার ব্যবসাকে অনলাইনে নিরাপদ রাখবেন - এখানে পড়ুন
