“चांगल्या, अडथळामुक्त सुरक्षेची गुरुकिल्ली म्हणजे व्यवसायाच्या गरजा आणि ऑपरेशन्स समजून घेणे, जेणेकरून त्यांच्याभोवती कार्यक्षमतेने नियंत्रणे तयार करता येतील. सुरक्षा ही मूळ प्रक्रियेतच अंतर्भूत असली पाहिजे, ती वरवरची नसावी.”
सीनियर सिक्युरिटी इंजिनिअर - डॅन पेरी
इन्फोसेक (Infosec) म्हणजे काय?
माहिती जोखीम व्यवस्थापनाचा (information risk management) एक भाग असलेली, माहिती सुरक्षा (Information Security - ज्याला अनेकदा 'Infosec' म्हटले जाते) ही अनधिकृत प्रवेश, वापर, प्रकटीकरण, व्यत्यय, हटवणे, भ्रष्टाचार, बदल, तपासणी किंवा रेकॉर्डिंगचा धोका कमी करण्याची आणि काढून टाकण्याची प्रक्रिया आहे.
माहितीचे आणि आजच्या काळात मोठ्या प्रमाणावर असलेल्या वैयक्तिक डेटाचे संरक्षण करण्यासाठी, व्यवसायांनी त्यांच्या डेटा स्टोरेजचे उत्तम प्रकारे व्यवस्थापन करण्यासाठी या तत्त्वांचे पालन केले पाहिजे:
गोपनीयता (Confidentiality)
गोपनीयतेच्या तत्त्वाचा उद्देश हा आहे की खाजगी माहिती खाजगीच राहील आणि ती केवळ अशाच व्यक्तींना पाहता किंवा ॲक्सेस करता येईल ज्यांना त्यांचे काम पूर्ण करण्यासाठी त्या माहितीची आवश्यकता आहे.
अखंडता (Integrity)
अखंडतेचे तत्त्व हे सुनिश्चित करण्यासाठी डिझाइन केले आहे की डेटा अचूक असल्याचा विश्वास ठेवता येईल आणि त्यात कोणताही अयोग्य बदल केलेला नाही.
उपलब्धता (Availability)
सपोर्ट सिस्टीमच्या कार्यक्षमतेचे रक्षण करणे आणि वापरकर्त्यांना जेव्हा डेटाची आवश्यकता असेल तेव्हा तो पूर्णपणे उपलब्ध असल्याची खात्री करणे. उपलब्धतेचा उद्देश हा आहे की निर्णय घेण्यासाठी जेव्हा डेटाची आवश्यकता असते तेव्हा तो वापरण्यासाठी उपलब्ध असावा.
या ब्लॉगच्या शेवटी Purple ची माहिती सुरक्षा पात्रता (Information Security Qualifications) पहा!
“प्रतिष्ठा निर्माण करण्यासाठी २० वर्षे लागतात आणि ती नष्ट करण्यासाठी सायबर घटनेची काही मिनिटे पुरेशी असतात.”
सुरक्षा भंगाचे (Security breaches) प्रकार
मॅन-इन-द-मिडल (MitM)
MitM हल्ला तेव्हा होतो जेव्हा एखादा हॅकर गुप्तपणे दोन पक्षांमधील संवाद प्रसारित करतो आणि शक्यतो त्यात बदल करतो, ज्यांना असे वाटत असते की ते एकमेकांशी थेट संवाद साधत आहेत.
MITM हल्ल्याचे एक उदाहरण म्हणजे सक्रिय 'इव्हजड्रॉपिंग' (eavesdropping), ज्यामध्ये हल्लेखोर बळी पडलेल्यांसोबत स्वतंत्र कनेक्शन्स बनवतो आणि त्यांच्यात संदेश प्रसारित करतो जेणेकरून त्यांना असे वाटेल की ते खाजगी कनेक्शनवर एकमेकांशी थेट बोलत आहेत.
फिशिंग (Phishing)
फिशिंग म्हणजे जेव्हा हल्लेखोर वापरकर्त्यांना 'चुकीची गोष्ट' करण्यासाठी फसवण्याचा प्रयत्न करतात, जसे की मालवेअर डाउनलोड करणाऱ्या खराब लिंकवर क्लिक करणे किंवा त्यांना संशयास्पद वेबसाइटवर निर्देशित करणे.
फिशिंग टेक्स्ट मेसेज, सोशल मीडिया किंवा फोनद्वारे केले जाऊ शकते, परंतु 'फिशिंग' हा शब्द प्रामुख्याने ईमेलद्वारे येणाऱ्या हल्ल्यांचे वर्णन करण्यासाठी वापरला जातो.
डिनायल-ऑफ-सर्व्हिस (DoS)
डिनायल-ऑफ-सर्व्हिस (DoS) हल्ला हा मशीन किंवा नेटवर्क बंद करण्यासाठी केलेला हल्ला आहे, ज्यामुळे ते त्याच्या इच्छित वापरकर्त्यांसाठी प्रवेशयोग्य राहत नाही. DoS हल्ले लक्ष्याला ट्रॅफिकने भरून किंवा क्रॅश ट्रिगर करणारी माहिती पाठवून हे साध्य करतात. दोन्ही प्रकरणांमध्ये, DoS हल्ला कायदेशीर वापरकर्त्यांना (उदा. कर्मचारी, सदस्य किंवा खातेधारक) त्यांना अपेक्षित असलेल्या सेवेपासून किंवा संसाधनापासून वंचित ठेवतो.
DoS हल्ल्यांचे बळी अनेकदा बँकिंग, वाणिज्य आणि मीडिया कंपन्या किंवा सरकारी आणि व्यापार संस्थांसारख्या हाय-प्रोफाइल संस्थांचे वेब सर्व्हर्स असतात. जरी DoS हल्ल्यांमुळे सामान्यतः महत्त्वपूर्ण माहिती किंवा इतर मालमत्तेची चोरी किंवा नुकसान होत नसले तरी, ते हाताळण्यासाठी बळी पडलेल्यांचा बराच वेळ आणि पैसा खर्च होऊ शकतो.
“सुरक्षा ही अशी गोष्ट नाही जी तुम्ही विकत घेता, ती अशी गोष्ट आहे जी तुम्ही करता, आणि ती योग्य प्रकारे करण्यासाठी प्रतिभावान लोकांची आवश्यकता असते.”
सुरक्षा भंगाचे परिणाम
महसुलाचे नुकसान
हा परिणाम हॅकरने निवडलेल्या सायबर हल्ल्याच्या प्रकारावर मोठ्या प्रमाणावर अवलंबून असू शकतो, तथापि, डेटा लीक झाल्यामुळे अतिरिक्त सुरक्षा खर्च, मार्केट शेअर मूल्याचे नुकसान, तसेच प्रभावित ग्राहकांना भरपाई देण्याचा खर्च वाढेल.
प्रतिष्ठा
जरी व्यवसायाच्या महसुलाला बसलेला अल्पकालीन फटका फारसा हानिकारक वाटत नसला तरी, खरी किंमत कालांतराने मोजावी लागते. एकदा सुरक्षा भंगाची बातमी पसरली की, भागीदार आणि संभाव्य/विद्यमान ग्राहक कंपनी सोडून जाण्यापूर्वी दोनदा विचार करणार नाहीत, ज्यामुळे कंपनीच्या उत्पन्नाचा आणखी मोठा हिस्सा कमी होईल.
कायदेशीर कारवाई
दंड, दंड आणि आणखी दंड.
जगभरात असे अनेक नियम आहेत ज्यांचे व्यवसायांनी पालन केले पाहिजे, उदाहरणार्थ:
- युरोप - GDPR (GDPR हा EU चा नियम आहे आणि तो आता UK ला लागू होत नाही )
- UK - डेटा प्रोटेक्शन ॲक्ट (Data Protection Act)
- चीन - वैयक्तिक माहिती संरक्षण कायदा (Personal Information Protection Law)
UK GDPR आणि DPA अंतर्गत, आकारला जाणारा कमाल दंड £17.5m किंवा वार्षिक जागतिक उलाढालीच्या 4% - यापैकी जे जास्त असेल तो आहे. तथापि, EU GDPR आणि DPA अंतर्गत कार्यरत असलेल्या व्यवसायांना जास्तीत जास्त €20 (£18m) चा दंड आकारला जाऊ शकतो.
ऑपरेशन्समध्ये व्यत्यय
कोणत्याही प्रयत्नामुळे किंवा यशस्वी भंगामुळे, सर्व व्यवसायांच्या ऑपरेशन्सवर परिणाम होईल कारण नुकसान, कारण आणि स्रोत शोधण्यासाठी विस्तृत तपासणी केली जाते.
काही प्रकरणांमध्ये, डॅमेज कंट्रोल आणि रिकव्हरी प्लॅन तयार करण्यासाठी व्यवसाय पूर्णपणे थांबतात आणि या काळात वरील सर्व मुद्दे अधिकच बिघडतात.
२१ व्या शतकातील सर्वात मोठा डेटा भंग
२० १३ मध्ये Adobe हॅक झाले होते आणि एन्क्रिप्टेड आयडी, पासवर्ड आणि डेबिट व क्रेडिट कार्ड माहितीसह १५३ दशलक्षाहून अधिक वापरकर्त्यांचे रेकॉर्ड मिळवले गेले होते.
Adobe ला कायदेशीर शुल्कापोटी $१.१ दशलक्ष भरावे लागले आणि नोव्हेंबर २०१६ मध्ये, ग्राहकांना दिलेली रक्कम $१ दशलक्ष असल्याचे नोंदवले गेले.
https://www.youtube.com/watch?v=zYfx4cdFCVA
“जर तुम्हाला सुरक्षा परवडत नसेल, तर तुम्हाला सुरक्षा भंगही परवडणार नाही.”
Purple चे इन्फोसेक सर्टिफिकेशन
ISO/IEC 27001
वैयक्तिक डेटा हाताळण्यासाठी आणि साठवण्यासाठी क्लाउड-आधारित WiFi सॉफ्टवेअरच्या डिझाइन आणि विकासासाठी Purple हे ISO/IEC 27001 कंप्लायंट आहे. आमचे ISO सर्टिफिकेशन आम्ही अनेक वर्षांपासून राखले आहे आणि आमच्या ग्राहकांसाठी आणि त्यांच्या डेटा सब्जेक्ट्ससाठी असलेल्या आमच्या जबाबदाऱ्यांनुसार आमच्या उत्पादनाची सुरक्षित डिलिव्हरी सुनिश्चित करण्यासाठी आमच्याकडे योग्य प्रक्रिया, लोक आणि तंत्रज्ञान असल्याची खात्री केली आहे. ISO 27001 ने संपूर्ण व्यवसायात पसरलेल्या नियंत्रणांची एक फ्रेमवर्क निश्चित केली आहे, ज्यामध्ये आम्ही आमची मानवी संसाधने कशी व्यवस्थापित करतो यापासून ते क्रिप्टोग्राफीपर्यंत सर्व गोष्टींचा समावेश आहे.
ही बेसलाइन घेऊन आणि आमची व्यावसायिक उद्दिष्टे (अंतर्गत आवश्यकता) आणि आमच्या ग्राहकांच्या अपेक्षा (बाह्य आवश्यकता) पूर्ण करण्यासाठी तिचा विस्तार करून, आम्ही कार्य करण्याचा एक सुरक्षित आणि पुनरावृत्ती करण्यायोग्य मार्ग तयार केला आहे जो उद्देशासाठी योग्य आहे.
CyberEssentials+
सायबर एसेन्शियल्स (Cyber Essentials) योजना ही UK सरकार आणि NCSC द्वारे समर्थित एक तुलनेने नवीन योजना आहे जिचा उद्देश SMEs (लहान ते मध्यम उद्योग) ला त्यांच्या ग्राहकांना सुरक्षा बेसलाइन सुनिश्चित करण्याचा एक मार्ग म्हणून सक्षम करणे आणि त्यांना सरकारी खरेदी प्रक्रियांसाठी अर्ज करण्यास सक्षम करणे हा आहे.
सायबर एसेन्शियल्स सर्टिफिकेशन हे एक स्व-मूल्यांकन साधन आहे, तथापि, आमच्या नियंत्रणांवरील विश्वासामुळे, विशेषतः आधीच अधिक मजबूत ISO 27001 फ्रेमवर्क लागू केल्यामुळे, आम्ही हे एक पाऊल पुढे नेले आणि एका स्वतंत्र मान्यताप्राप्त CE+ सुरक्षा भागीदाराकडून आमची नियंत्रणे प्रमाणित करून सायबर एसेन्शियल्स प्लस (Cyber Essentials Plus) सर्टिफिकेशन प्राप्त केले.
अधिक जाणून घेण्यास उत्सुक आहात? तुमचा व्यवसाय ऑनलाइन सुरक्षित कसा ठेवायचा - हे जाणून घ्या येथे वाचा
