Skip to content

डेटा ब्रीच क्लॉक कब शुरू होनी चाहिए?

एंटरप्राइज़ साइबर सुरक्षा में सबसे कठिन मुद्दों में से एक — कुछ अमेरिकी प्रतिभूति और विनिमय आयोग अब खुले तौर पर संघर्ष कर रहा है — एक उद्यम को डेटा उल्लंघन की रिपोर्ट कब करनी चाहिए?

आसान हिस्सा यह है, “उद्यम को उल्लंघन के बारे में पता चलने के कितने समय बाद उसे खुलासा करना चाहिए?” अलग-अलग अनुपालन व्यवस्थाएं अलग-अलग संख्या में आती हैं, लेकिन वे जीडीपीआर के 72 घंटों से लेकर तक अपेक्षाकृत करीब हैं एसईसी के शुरुआती चार दिन.

मुश्किल हिस्सा परिभाषित कर रहा है जब कोई कॉर्पोरेट इकाई वास्तव में “जानती” है कि कुछ हुआ है। वॉलमार्ट या एक्सॉनमोबिल किस सटीक क्षण में कुछ भी जानता है? (यदि भाषा में कहा गया है “जब उद्यम का सीएफओ आश्वस्त हो जाता है कि डेटा उल्लंघन हुआ है,” तो यह कहीं अधिक सीधा होगा।)

इस जागरूकता मुद्दे का पता लगाने के लिए, हमें पहले इसे दो अलग-अलग तत्वों में विभाजित करना होगा:

  1. डेटा उल्लंघन का उचित सबूत क्या है?
  2. किसी उद्यम के लिए डेटा उल्लंघन का निर्णय किसे लेना चाहिए? सुरक्षा संचालन केंद्र (एसओसी) के प्रमुख? सीआईएसओ? सीआईओ? सीईओ? बोर्ड का एक सबसेट? पूरा बोर्ड? शायद सिर्फ बोर्ड की कुर्सी?

आइए पहले तत्व से शुरू करें। स्पष्ट हमलों के अपवाद के साथ – जैसे रैंसमवेयर हमला जहां घुसपैठ के सबूत के साथ फिरौती प्राप्त हुई है – अधिकांश हमले खुद को धीरे-धीरे पेश करते हैं। एसओसी में कोई व्यक्ति एक विसंगति या कुछ और संदिग्ध का पता लगाता है। क्या यह रिपोर्ट करने के लिए पर्याप्त है? लगभग निश्चित रूप से नहीं। फिर एसओसी में कोई और वरिष्ठ शामिल हो जाता है।

अगर चीजें अभी भी खराब दिखती हैं, तो इसकी सूचना CISO या CSO को दी जाती है। वह कार्यकारी कह सकता है, “तुमने मुझे बेच दिया है। मुझे इसकी तुरंत सीआईओ, सीएफओ और शायद सीईओ को रिपोर्ट करने की जरूरत है।” यदि हां, तो वह अभी भी प्रकटीकरण चरण तक नहीं पहुंचा है। उन अन्य निष्पादनों को तौलना होगा।

अधिक संभावना है, हालांकि, CISO/CSO कुछ ऐसा कहते हुए पीछे हटेंगे, “आप लोगों ने अभी तक इसे कम नहीं किया है। यह अभी भी सौ अलग-अलग चीजों में से कोई एक हो सकता है। कुछ बैकअप देखें, तुलना करें, किसी भी पुष्टि के लिए डार्कवेब की जांच करें। जांच करते रहो।”

क्या घड़ी अभी शुरू होती है? फिर, शायद नहीं। एक उद्यम हर एक साइबर सुरक्षा जांच की रिपोर्ट नहीं कर सकता है। सार्वजनिक प्रकटीकरण की योग्यता के लिए आवश्यक प्रमाण का स्तर उच्च है। आखिरकार, उस गरीब कार्यपालिका पर दया आती है जो एक उल्लंघन की रिपोर्ट करता है जो बाद में कुछ भी नहीं निकला।

एक अन्य कारक: अधिकांश साइबर चोर और साइबर आतंकवादी अपने ट्रैक को छिपाने और भ्रामक सुराग छोड़ने दोनों में उत्कृष्ट हैं। लॉग के साथ बंदर करना आम बात है, जिसका अर्थ है कि आईटी सुरक्षा केवल अब तक के लॉग पर ही भरोसा कर सकती है – कम से कम शुरुआत में। याद रखें कि पहली फोरेंसिक रिपोर्ट कितनी बार दूसरी फोरेंसिक रिपोर्ट से भौतिक रूप से भिन्न होती है। अनुभवी फोरेंसिक जांचकर्ताओं के लिए भी, हमलावरों द्वारा छोड़ी गई भ्रामक चीज़ों से सच्चाई को अलग करने में बस समय लगता है।

दूसरे के लिए, कौन तय करता है कि डेटाब्रीच के लिए अंतिम निर्णायक कौन होना चाहिए? शीर्ष साइबर सुरक्षा विशेषज्ञ (संभवतः सीआईएसओ/सीएसओ) या उद्यम (सीईओ या बोर्ड) के लिए सबसे अधिक जिम्मेदार लोगों के लिए एक तर्क दिया जा सकता है, लेकिन कुछ उद्यमों के लिए, मुख्य जोखिम अधिकारी एक अच्छा उम्मीदवार हो सकता है।

क्या हर उद्यम अपने लिए चुनता है? क्या नियामकों को फैसला करना चाहिए? या क्या नियामकों को प्रत्येक उद्यम को अपने आप तय करने देना चाहिए कि बिंदु व्यक्ति कौन होगा और उस शीर्षक को नियामकों को रिपोर्ट करना चाहिए?

साइबर सुरक्षा विक्रेता SecurID के मुख्य उत्पाद अधिकारी जिम टेलर का तर्क है कि SOC में ट्रिगर वहीं होना चाहिए। “अपने बाड़ को पिंग करने के लिए कुछ ट्रिगर नहीं है। शायद यह वरिष्ठ विश्लेषक है, शायद यह एसओसी प्रबंधक है,” टेलर ने कहा। “इन चीजों के लिए दोषी, जिम्मेदारी होने की जरूरत है।”

लेकिन जल्दबाजी में कोई फैसला लेना आपके लिए परेशानी का सबब बन सकता है। समय से पहले उल्लंघन की रिपोर्ट करें और आप मुश्किल में हैं। उल्लंघन की बहुत देर से रिपोर्ट करें और आप मुश्किल में हैं। “यदि आप करते हैं तो आप शापित हैं और यदि आप नहीं करते हैं तो शापित हैं,” टेलर ने कहा।

सच तो यह है कि यह सामान कठिन है और यह चाहिए कठोर बनो। हर उल्लंघन अलग होता है, हर उद्यम अलग होता है, और कठोर निश्चित नियम उनके हल करने की तुलना में अधिक समस्याएं पैदा करेंगे।

एक अन्य साइबर सुरक्षा फर्म, क्रिप्टोवायर के सीटीओ एलेक्स लिस्ले ने कहा, “जिस तरह से उल्लंघन हुआ, उसकी प्रकृति इसका खुलासा करने में एक जबरदस्त कारक है।” “यदि आप फोरेंसिक टीम को बनाए रखने के लिए इसके बारे में पर्याप्त सोच रहे हैं, तो आपको इसकी रिपोर्ट करने के बारे में गंभीरता से सोचना चाहिए।”

पुराने ‘स्क्रब्स’ टीवी शो में एक बड़ी लाइन थी, जहां एक परीक्षण प्रयोगशाला के प्रभारी डॉक्टर किसी ऐसे व्यक्ति से पूछते हैं, जो परीक्षण फिर से करना चाहता है, “क्या आपको लगता है कि मैं गलत था या आप उम्मीद कर रहे हैं कि मैं गलत था?” यह लाइन अक्सर चलन में आ सकती है क्योंकि विभिन्न लोग यह निर्धारित करने की कोशिश कर रहे हैं कि क्या वास्तव में उद्यम पर हमला किया गया था। क्या टीम किसी प्रकार की/प्रकार की है? जानना कि उन पर हमला किया गया है और उम्मीद कर रहे हैं कि इस तरह की आगे की जांच से इसका खंडन होगा? या टीम वास्तव में नहीं जानती है?

यही वह जगह है जहां उल्लंघन निर्धारण के एक नियुक्त प्रमुख को अनुभव के आधार पर और ईमानदारी से, एक मजबूत आंत की भावना के आधार पर कदम उठाने की जरूरत है। साइबर सुरक्षा के कुछ हिस्से शुद्ध विज्ञान हैं। डेटा वास्तव में छुआ गया है या नहीं, इस बारे में बहुत जल्दी निर्णय लेना अक्सर नहीं होता है।

कॉपीराइट © 2022 आईडीजी कम्युनिकेशंस, इंक।

Source

Top News Today भारत में ओमाइक्रोन मामले लक्ष्य सेन बैडमिंटन प्लेयर की आयु , माँ , गर्लफ्रेंड प्लास्टिक सर्जरी के दौरान गई इस अभिनेत्री की जान