প্রায় প্রতিটি কোম্পানী ব্যবসা করে — বা তাদের পণ্য ব্যবহার করে — এমন একটি তৃতীয় পক্ষ যে একটি আপস করেছে, এইভাবে তাদের নিরাপত্তা ঝুঁকি বাড়ায়।
এটি ডেটা সায়েন্স ফার্ম সাইনটিয়া ইনস্টিটিউটের মতে, যা একটি বিশ্লেষণ জারি করেছে যা সাইবার নিরাপত্তা ঝুঁকি-ব্যবস্থাপনা সংস্থা সিকিউরিটিস্কোরকার্ড দ্বারা প্রদত্ত 230,000টিরও বেশি সংস্থার নিরাপত্তার বাহ্যিক পরিমাপ অন্তর্ভুক্ত করেছে। এটি দেখা গেছে যে গড় ফার্মের প্রায় 10টি তৃতীয় পক্ষের সম্পর্ক এবং শত শত পরোক্ষ চতুর্থ পক্ষের সম্পর্ক রয়েছে, সাধারণ ফার্মের সাথে তৃতীয় পক্ষের তুলনায় 60 থেকে 90 গুণ বেশি চতুর্থ পক্ষ রয়েছে। প্রায় সব সংস্থার (98%) কমপক্ষে একজন তৃতীয় পক্ষের অংশীদার ছিল যারা লঙ্ঘনের শিকার হয়েছিল, রিপোর্টে বলা হয়েছে।
আইটি সেক্টরে সবচেয়ে বেশি তৃতীয় পক্ষ রয়েছে, গড়ে 25 জন, যেখানে ফিনান্স সেক্টরে সবচেয়ে কম, 6.5। এই সংখ্যাগুলি দ্রুত বেলুন হয়ে যায় যখন চতুর্থ পক্ষের সম্পর্ক অন্তর্ভুক্ত করা হয়, যেমন তাদের ঝুঁকি ছিল। গড় ফার্মের 200টি চতুর্থ পক্ষের সাথে একটি পরোক্ষ সম্পর্ক রয়েছে যা লঙ্ঘন করেছে, বিশ্লেষণে পাওয়া গেছে।
গবেষণাটি কর্পোরেশনগুলির জন্য তৃতীয় এবং চতুর্থ-পক্ষের সম্পর্কের বিস্তৃত প্রকৃতি এবং তারা যে ঝুঁকির কারণ হতে পারে তা নাটকীয়ভাবে বৃদ্ধি করে, সাইনটিয়া ইনস্টিটিউটের প্রতিষ্ঠাতা এবং অংশীদার ওয়েড বেকার বলেছেন।
"ঝুঁকি নিচের দিকে যায়," তিনি বলেছেন। "প্রথম পক্ষের তাদের তৃতীয় পক্ষের তুলনায় ভাল নিরাপত্তা [ঝুঁকি] স্কোর হওয়ার সম্ভাবনা বেশি, এবং চতুর্থ পক্ষের সাথে, সংখ্যাগুলি সত্যিই বিস্ফোরিত হয়৷ আপনার আশা করা উচিত [এই সংস্থাগুলি এবং পণ্যগুলি] নিরাপত্তার জন্য আপনার মান অনুযায়ী হবে না।"
এর কারণ হল অনেক সংস্থা তাদের নিজস্ব সাইবার ঝুঁকির বিষয়ে আরও পরিপক্ক হয়ে উঠেছে, কিছু সংখ্যকই বর্ধিত ঝুঁকি সম্পর্কে সচেতন, Cyentia এবং SecurityScorecard বিশ্লেষণে বলা হয়েছে.
"অনেক সংস্থা এখনও তৃতীয় পক্ষের সম্পর্কের অন্তর্নিহিত নির্ভরতা এবং এক্সপোজার সম্পর্কে অবগত নয়, এবং কেবল তাদের নিজস্ব নিরাপত্তা ভঙ্গি পরিচালনা করার দিকে মনোনিবেশ করে," প্রতিবেদনে বলা হয়েছে। “অন্যরা এই সমস্যাগুলি সম্পর্কে সচেতন, কিন্তু নিরাপত্তার উপর ভিত্তি করে বিক্রেতার সিদ্ধান্ত গ্রহণ করবেন না এবং/অথবা বিক্রেতাদের নির্দিষ্ট মান পূরণ করতে হবে। এমনকি যে সংস্থাগুলি তৃতীয় পক্ষের নিরাপত্তা প্রয়োজনীয়তাগুলি প্রতিষ্ঠা করে তারা ক্রমাগত সম্মতি এবং অগ্রগতি নিরীক্ষণের জন্য সংগ্রাম করতে পারে।"
থার্ড-পার্টি এবং সাপ্লাই-চেইন ঝুঁকি সাম্প্রতিক বছরগুলিতে উল্লেখযোগ্য সমস্যা হয়ে উঠেছে। এবং সিআইএসও তাদের তৃতীয়-পক্ষ প্রদানকারীদের থেকে ক্রমবর্ধমান সতর্ক হয়ে উঠেছে, যখন থেকে একটি HVAC সরবরাহকারীর আপস নেতৃত্বে খুচরা দৈত্য লক্ষ্য লঙ্ঘন.
বিশ্লেষণটি তৃতীয় পক্ষের ঝুঁকির দিকে নজর দিলেও, তৃতীয় পক্ষের সংজ্ঞা শুধুমাত্র বিক্রেতা এবং অংশীদারদের জন্য নয়, কিন্তু সফ্টওয়্যার প্রদানকারী এবং ওপেন সোর্স প্রকল্পগুলির জন্য প্রসারিত। সফ্টওয়্যার সরবরাহকারীদের উপর এখন-কুখ্যাত আক্রমণ যেমন SolarWinds, এবং ব্যাপকভাবে ব্যবহৃত সফ্টওয়্যার উপাদানগুলির দুর্বলতা যেমন Log4J, এই অঙ্গন পোজ যে ঝুঁকি দৃশ্যমানতা উত্থাপিত হয়েছে.
ডেটার মধ্যে তৃতীয় পক্ষের সম্পর্কের মধ্যে অন্তর্ভুক্ত শীর্ষ 5 প্রযুক্তি হল গুগল অ্যানালিটিক্স, গুগল ট্যাগ ম্যানেজার, অ্যামাজন ওয়েব হোস্টিং, পিএইচপি, এবং Facebook পণ্য - যার সবকটি তৃতীয় পক্ষের সম্পর্কের দুই-তৃতীয়াংশ (68%) জড়িত ছিল, প্রতিবেদনে বলা হয়েছে।
"এই তৃতীয় এবং চতুর্থ পক্ষের অনেক সম্পর্ক [আমাদের জড়িত] উভয়ই শুধুমাত্র একটি পণ্য ব্যবহার করার কারণে নির্দিষ্ট নীতি মেনে চলতে সম্মত হয়, এবং এখন আমি নিজেকে একটি নির্দিষ্ট মাত্রার ঝুঁকির জন্য উন্মুক্ত করছি," বেকার বলেছেন।
ঝুঁকি প্রতিটি হপ সঙ্গে বৃদ্ধি
বিশ্লেষণে আরও দেখা গেছে যে তৃতীয় পক্ষের সাধারণত তারা যে কোম্পানিগুলি পরিবেশন করেছিল তার চেয়ে দুর্বল নিরাপত্তা ভঙ্গি করে। সামগ্রিকভাবে, তৃতীয় পক্ষের নিরাপত্তার সমস্যা হওয়ার সম্ভাবনা অনেক বেশি, যার অর্থ কোম্পানিগুলি তাদের সমস্ত তৃতীয় পক্ষ নিরাপত্তার বিষয়ে ততটা পরিশ্রমী বলে অনুমান করতে পারে না।
"আমি এটিকে একইভাবে দেখি যেভাবে আমরা সবাই জেনেছি যে আমাদের অনেক সুবিধা রয়েছে - সাধারণভাবে, লোকেরা তাদের কাজ করার প্রয়োজনের চেয়ে বেশি ডেটা অ্যাক্সেস করতে পারে," বেকার বলেছেন। "তৃতীয় পক্ষের সংখ্যা কমানো ভাল হবে, বিশেষ করে যদি তাদের প্রয়োজন না হয়, এবং আরও একটু বেশি পছন্দ করা হয়।"
ডেটা, যাইহোক, সমস্যা সম্পর্কে আরও সচেতন হওয়ার পাশাপাশি এগিয়ে যাওয়ার একটি পরিষ্কার পথের পরামর্শ দেয় না। বেকার অগত্যা সুপারিশ করেন না, উদাহরণস্বরূপ, সংস্থাগুলি তাদের ব্যবসা থেকে তাদের তৃতীয় পক্ষের নীচের 25% কেটে দেয়। যাইহোক, তাদের আরও ঘনিষ্ঠভাবে বা আরও ঘন ঘন মূল্যায়ন করা আরও বাস্তবসম্মত হতে পারে, তিনি বলেছেন।
"আমরা যদি সত্যিই আমাদের সাপ্লাই চেইন রক্ষা করতে চাই, তাহলে আমাদেরকে দুর্বলতম লিঙ্কটিকে আরও শক্তিশালী করতে হবে," বেকার বলেছেন। "এবং আমি মনে করি বিশ্লেষণটি দেখায় যে তৃতীয় পক্ষ এবং চতুর্থ পক্ষের মধ্যে অনেক দুর্বল লিঙ্ক রয়েছে এবং সেখানেই চ্যালেঞ্জটি রয়েছে।"
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud/nearly-all-firms-have-ties-breached-third-parties
