Siddharth Pai: Arm employees against sophisticated cyberattacks

बिखरे हुए स्पाइडर के रूप में जाना जाने वाला एक हैकर समूह को तीसरे पक्ष के आईटी सेवाओं के ठेकेदार के माध्यम से एम एंड एस के सिस्टम को भंग करने के लिए जांच की जा रही है। हमलावरों ने आंतरिक प्रणालियों के लिए अनधिकृत पहुंच प्राप्त करने के लिए प्रतिरूपण तकनीकों का उपयोग किया हो सकता है, जिसके परिणामस्वरूप ग्राहक डेटा, परिचालन व्यवधान और £ 400 मिलियन से अधिक का अनुमानित वित्तीय हिट हो सकता है।

यह भी पढ़ें: राहुल मैथन: एआई-सक्षम आपराधिक उद्यम की एक लहर के लिए ब्रेस

यह आज के साइबर सुरक्षा उल्लंघनों में एक तेजी से सामान्य विषय को रेखांकित करता है: हार्डवेयर या सॉफ्टवेयर के बजाय मनुष्यों का शोषण। साइबर-सुरक्षा अब आईटी विभाग में छोड़ने के लिए केवल एक तकनीकी मुद्दा नहीं है; यह एक मानवीय मुद्दा है, जो व्यवहार, जागरूकता और तैयारियों में गहराई से अंतर्निहित है।

मानव संसाधन प्रशिक्षण आज के संदर्भ में एक दबाव चुनौती है। संगठनों को साइबर खतरों को विकसित करने के लिए एक हमले का सामना करना पड़ रहा है – रैंसमवेयर हमले, फ़िशिंग घोटाले, डीपफेक प्रतिरूपण, क्रेडेंशियल स्टफिंग और बहुत कुछ। ये केवल बुनियादी ढांचे को लक्षित नहीं करते हैं, बल्कि लोगों को भी। कर्मचारियों को अधिकारियों, विक्रेताओं या सहकर्मियों के रूप में प्रस्तुत करने वाले हमलावरों से ईमेल मिलते हैं। वे दुर्भावनापूर्ण लिंक पर क्लिक करने, लॉगिन क्रेडेंशियल्स को दूर करने या नकली खातों में पैसे स्थानांतरित करने के लिए छल कर रहे हैं। तो फ्रंट-लाइन सर्वर रूम नहीं है, लेकिन सभी का इनबॉक्स है।

एम एंड एस अकेला नहीं था। लगभग उसी समय, प्रमुख सुपरमार्केट के लिए एक लॉजिस्टिक्स आपूर्तिकर्ता पीटर ग्रीन चिल्ड, एक रैंसमवेयर की मांग से टकरा गया था, जिसने ताजा माल देने की अपनी क्षमता को बाधित कर दिया था – एक क्लासिक उदाहरण कि कैसे लैप्स आपूर्ति श्रृंखलाओं में तरंगित हो सकते हैं। प्रत्येक मामले में, हमले का तकनीकी परिष्कार महत्वपूर्ण था, लेकिन जो अक्सर प्रवेश की अनुमति दी गई थी, वह एक पुरानी भेद्यता थी: मानवीय त्रुटि, शालीनता या अज्ञानता।

यह वह जगह है जहां प्रशिक्षण आता है। हालांकि, अन्य कार्यस्थल मॉड्यूल के विपरीत जैसे कि कोड अनुपालन या उत्पीड़न जागरूकता के लिए, साइबर सुरक्षा प्रशिक्षण अद्वितीय चुनौतियों का सामना करता है। एक के लिए, खतरा परिदृश्य लगातार विकसित होता है। छह महीने पहले अत्याधुनिक तकनीकें अब अप्रचलित हो सकती हैं। सोशल इंजीनियरिंग रणनीति बढ़ रही है क्योंकि हमलावर अपने तरीकों को परिष्कृत करने के लिए कर्मचारी व्यवहार का अध्ययन करते हैं, यहां तक ​​कि प्रशिक्षण मॉड्यूल गति को बनाए रखने के लिए संघर्ष करते हैं।

यह भी पढ़ें: डोडी सहयोगी: हम एआई मॉडल के बारे में क्या कर सकते हैं जो मनुष्यों को धता बताते हैं?

फिर सगाई की समस्या है। अधिकांश कर्मचारी इस तरह के प्रशिक्षण के लिए वास्तव में तत्पर नहीं हैं। मात्र उल्लेख पुराने वीडियो, बहुविकल्पीय क्विज़ और अविश्वसनीय शब्दजाल की छवियों को समेटे हुए है। व्यवहार परिवर्तन के लिए, सामग्री को दिन-प्रतिदिन की भूमिकाओं के लिए आकर्षक, यादगार और प्रासंगिक होना चाहिए। प्रशिक्षित उपयोगकर्ताओं को फ़िशिंग प्रयासों के लिए 30% कम होने की संभावना है (bit.ly/4kcylc3)।

Gamification काम कर सकता है। यदि कर्मचारियों को एक नकली इनबॉक्स में फ़िशिंग ईमेल की पहचान करने के लिए चुनौती दी जाती है, या साइबर सुरक्षा ‘एस्केप रूम’ में प्रतिस्पर्धा की जाती है, जिसके लिए उन्हें वास्तविक खतरों के आधार पर पहेलियों को हल करने की आवश्यकता होती है, तो वे सबक को याद करने के लिए बहुत अधिक संभावना हैं। इंटरैक्टिव स्टोरीटेलिंग और प्रोत्साहन काम कर सकते हैं। केस स्टडी, जैसे एम एंड एस का इस्तेमाल किया जा सकता है।

एक अन्य समाधान अनुकूली सीखना है। बड़े भाषा मॉडल द्वारा संचालित उपकरण, जैसे कि जनरल एआई-आधारित सिस्टम, एक कर्मचारी की भूमिका, सीखने की गति और पिछले प्रदर्शन के लिए प्रशिक्षण सामग्री को दर्जी कर सकते हैं। एक विपणन कार्यकारी जो अक्सर ग्राहक डेटा को संभालता है, एक गोदाम पर्यवेक्षक से एक अलग मॉड्यूल की आवश्यकता हो सकती है। इसी तरह, प्रशिक्षण प्रणाली सीखने की चैट के रूप में प्राकृतिक भाषा इंटरैक्शन का उपयोग कर सकती है। यह न केवल समझ को बढ़ाएगा, बल्कि निरंतर सुदृढीकरण की सुविधा भी देगा।

हालांकि, इस तरह के प्रशिक्षण कार्यक्रमों को डिजाइन करना और लागू करना केवल आईटी विभाग की जिम्मेदारी नहीं है। सभी विभागों को हाथ मिलाना चाहिए, एचआर संगठन के सांस्कृतिक ताने -बाने में साइबर जागरूकता को एम्बेड करते हुए और एक मानसिकता को बढ़ावा देता है जहां हर कोई अपनी नौकरी का सुरक्षा हिस्सा बनाता है। जब कर्मचारी समझते हैं कि एक एकल लापरवाह क्लिक मल्टीमिलियन-पाउंड क्षति का कारण बन सकता है, जैसा कि एम एंड एस के मामले में, वे सबक को आंतरिक करने की अधिक संभावना रखते हैं।

साइबर सुरक्षा प्रशिक्षण को बनाए रखने के लिए, इसे रोजमर्रा के वर्कफ़्लोज़ में एम्बेड किया जाना चाहिए। माइक्रो-लर्निंग मॉड्यूल, संक्षिप्त लेकिन लगातार सत्र मोबाइल उपकरणों के माध्यम से दिए गए या उत्पादकता प्लेटफार्मों में रखे गए, ज्ञान को बढ़ा-चढ़ाकर सुदृढ़ कर सकते हैं। इन मॉड्यूल को प्रासंगिक रूप से ट्रिगर किया जा सकता है – उदाहरण के लिए, एक कर्मचारी को एक संदिग्ध ईमेल को आगे बढ़ाने के बाद एक फ़िशिंग रिफ्रेशर प्रदान करना। समय के साथ, इस तरह के कुहनी से आधारित प्रशिक्षण सभी की मांसपेशियों की स्मृति का निर्माण करेगा, जिससे सावधानी बरतने की वृत्ति में बदल जाएगी।

यह भी पढ़ें: राहुल मैथन: डेटा गोपनीयता सुरक्षा उपायों को हमारे खिलाफ काम न करें

दांव अधिक नहीं हो सकता था। दुनिया के सबसे बड़े संगठनों में से 80% से अधिक एक वर्ष में कम से कम एक प्रमुख उल्लंघन की रिपोर्ट करते हैं। यह अब केवल फ़ायरवॉल और एंटीवायरस सॉफ्टवेयर के बारे में नहीं है; यह कॉफी की दुकानों में कर्मचारियों के बारे में, व्यक्तिगत उपकरणों पर, घर के नेटवर्क पर और तृतीय-पक्ष विक्रेता कार्यालयों में है। यह वास्तविकता मांग करती है कि एचआर विकास अनुपालन चेकलिस्ट से परे विकसित होता है और संगठन की साइबर सुरक्षा रणनीति का एक सक्रिय, गतिशील घटक बन जाता है।

अंततः, एक संगठन जो सबसे अच्छा बचाव कर सकता है, वह सॉफ्टवेयर का एक टुकड़ा नहीं है, बल्कि एक संस्कृति है – एक जहां प्रत्येक कर्मचारी डेटा और सिस्टम के संरक्षक के रूप में कार्य करता है। यह अच्छी तरह से डिज़ाइन किए गए, आकर्षक और अनुकूली प्रशिक्षण प्रयासों की मांग करता है जो हमारे सामने आने वाले विरोधियों के साथ तालमेल रखते हैं। साइबर सुरक्षा के खेल में, मनुष्य सिर्फ एक भेद्यता नहीं हैं – वे भी समाधान हैं।

लेखक एक वेंचर फंड मैनेजर, सियाना कैपिटल के सह-संस्थापक हैं।