بہت سی کمپنیاں اب مکمل طور پر اپنے نیٹ ورک سرورز، پی سی، لیپ ٹاپ، موبائل ڈیوائسز یا کلاؤڈ پر محفوظ کردہ ڈیٹا پر انحصار کر رہی ہیں۔ اس میں سے کچھ ڈیٹا میں یا تو ذاتی معلومات اور/یا کمپنی کی خفیہ معلومات ہونے کا امکان ہے۔.
یہاں ہم آپ کے کمپیوٹر سسٹمز کی سیکیورٹی کا جائزہ لیتے وقت غور کرنے کے لیے کچھ مسائل کو دیکھتے ہیں، اور ڈیٹا کے ضائع ہونے کے خطرات کو کیسے کم کیا جائے۔ ہمارے پاس ایک متعلقہ فیکٹ شیٹ ہے جو کلاؤڈ میں ڈیٹا رکھنے والے یا آؤٹ سورسنگ کی کسی قسم کا استعمال کرنے والوں کے لیے کچھ اضافی تحفظات کا احاطہ کرتی ہے۔.
ڈیٹا ضائع ہونے کے بہت سے ہائی پروفائل واقعات ہوئے ہیں جہاں بڑی تعداد میں ذاتی معلومات عوامی ڈومین میں داخل ہو گئی ہیں۔ ان میں صحت کا ریکارڈ، مالیاتی ریکارڈ اور ملازمین کی تفصیلات شامل ہیں۔.
ایک تجارتی تنظیم کو کسی مدمقابل سے ڈیٹا کے ضائع ہونے کے اضافی خطرے کا بھی سامنا ہے۔.
ظاہر ہے، سرکاری محکموں اور کارپوریشنوں سے ڈیٹا کے بڑے نقصانات نے سرخیوں کو نشانہ بنایا ہے۔ تاہم، کوئی بھی کمپنی، چاہے اس کے سائز سے قطع نظر، ڈیٹا کے نقصان کا شکار ہو سکتی ہے جب تک کہ سمجھدار احتیاط نہ برتی جائے۔.
ڈپارٹمنٹ فار کلچر، میڈیا اینڈ اسپورٹ (DCMS) کی جانب سے کی گئی تحقیق کے مطابق، 2021 کے دوران برطانیہ کے تقریباً 39 فیصد کاروباروں کو کسی نہ کسی طرح کی سیکورٹی کی خلاف ورزی یا سائبر حملے کا سامنا کرنا پڑا ہے۔ رپورٹ یہاں دیکھی جا سکتی ہے: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022۔
ذاتی ڈیٹا کے استعمال اور اسٹوریج کا آڈٹ کریں۔
ممکنہ طور پر حساس اور خفیہ ڈیٹا پر غور کریں جو آپ کے کاروبار کے ذریعے محفوظ کیا جاتا ہے:
- عملے کا ریکارڈ جس میں تاریخ پیدائش، طبی معلومات، تنخواہ اور بینک اکاؤنٹ کی تفصیلات وغیرہ شامل ہیں۔
- بینک/کریڈٹ کارڈ اکاؤنٹ کی تفصیلات، پن نمبر، پاس ورڈ، لین دین کی معلومات، معاہدے کی معلومات، چھوٹ اور قیمتوں کے ساتھ صارف اور سپلائر کے ریکارڈ
- مالیاتی اور کارکردگی کا ڈیٹا اور کاروباری منصوبے
- خفیہ ڈیٹا ہمیشہ 'محفوظ' ڈیٹا بیس میں آسانی سے محفوظ نہیں ہوتا ہے۔ اکثر ملازمین کو ایڈہاک رپورٹس بنانے اور گردش کرنے کی ضرورت ہوتی ہے (اسپریڈ شیٹس اور دیگر دستاویزات کا استعمال کرتے ہوئے) جو عام طور پر ڈیٹا بیس میں محفوظ کردہ معلومات کے نچوڑ ہوتے ہیں۔ اس طرح کے ڈیٹا کی بازیافت اکثر ڈیٹا کی حفاظت کی قیمت پر کی جاتی ہے - کیوں کہ ڈیٹا بیس کے پاس ہمیشہ رسائی کے کنٹرول ہوں گے، لیکن یہ ایڈہاک رپورٹس عام طور پر ایسا نہیں کرتی ہیں۔
- معلوم کریں کہ ڈیٹا کے ساتھ کیا ہو رہا ہے اور اس معلومات کے حادثاتی یا جان بوجھ کر نقصان کو روکنے کے لیے کون سے کنٹرولز موجود ہیں۔.
خطرے کا تجزیہ اور خطرے میں کمی
اہم سوال یہ ہے کہ اگر اس میں سے تمام یا کچھ ڈیٹا ضائع ہو جائے تو کس کو اور کیسے نقصان پہنچ سکتا ہے؟
اس سوال کا جواب مل جانے کے بعد، ڈیٹا کے نقصان کے خطرات کو کم کرنے کے لیے اقدامات کیے جانے چاہییں۔ ڈیٹا ضائع ہونے کے خطرے کو کم کرنے کے لیے کچھ اقدامات یہ ہیں:
- باقاعدگی سے بیک اپ لیں اور بیک اپ ڈیٹا کو محفوظ طریقے سے آف سائٹ سے محفوظ کریں۔
- اگر ہائی رسک ڈیٹا کلاؤڈ میں اسٹور کیا جاتا ہے تو سمجھیں کہ سیکیورٹی کے کون سے طریقہ کار موجود ہیں اور اگر ضروری ہو تو آپ اس تمام ڈیٹا کو کیسے بازیافت کرسکتے ہیں۔
- معلومات کی اس قسم کا جائزہ لیں جو ان تمام آلات (بشمول لیپ ٹاپ، موبائل، ٹیبلیٹ وغیرہ) پر محفوظ کی جاتی ہے جو آف سائٹ استعمال ہوتی ہیں۔ اگر اس طرح کی معلومات میں ذاتی اور/یا خفیہ ڈیٹا ہے، تو ڈیٹا کو کم سے کم یا گمنام کرنے کی کوشش کریں۔ اس بات کو یقینی بنائیں کہ اس ڈیٹا پر ڈیٹا سیکیورٹی اور ڈیٹا انکرپشن کی مناسب ترین سطحیں لاگو ہوں۔
- اگر موبائل ڈیوائسز کو کمپنی کی سہولیات استعمال کرنے کی اجازت ہے تو اس بات کو یقینی بنائیں کہ وہاں ایک فعال اپنی اپنی ڈیوائس (BYOD) کی پالیسی موجود ہے۔ اس کے علاوہ، ایسے آلات پر ذخیرہ کیے جانے والے ڈیٹا کی قسم کو محدود کرنے کے لیے مناسب حفاظتی کنٹرول نافذ کریں۔
- اس بات کو یقینی بنائیں کہ کمپنی کی ویب سائٹس جو آن لائن ادائیگیوں پر کارروائی کرتی ہیں ان کے پاس اعلیٰ ترین سطح کی سیکیورٹی دستیاب ہے جیسے کہ ڈیٹا کی ترسیل کے لیے SSL کے تازہ ترین ورژنز کا استعمال۔ اگر آپ ادائیگیوں کے عمل کو ادائیگی کے گیٹ وے سروس کو منتقل نہیں کر رہے ہیں، اور کریڈٹ کارڈ کی کوئی بھی معلومات، یا تو ڈسک پر یا آپ کے اپنے سرورز پر میموری میں محفوظ کر رہے ہیں، آپ کو ادائیگی کارڈ انڈسٹری ڈیٹا سیکیورٹی اسٹینڈرڈ (PCI DSS)
- USB کے استعمال/ دستیابی کا جائزہ لیں، اور دیگر قابل تحریر میڈیا جیسے کمپنی کے اندر آپٹیکل ڈیوائسز اور مناسب حفاظتی ترتیبات، ڈیٹا انکرپشن، اور فزیکل کنٹرولز کے ذریعے ان آلات تک رسائی کو صرف مجاز صارفین تک محدود کرنے کے بارے میں سوچیں۔
- اس بات کو یقینی بنائیں کہ کمپنی کی ویب سائٹس اور نیٹ ورکس کو حملوں سے ہونے والے خطرات کے لیے ٹیسٹ کیا گیا ہے اور آپ کی جانب سے یہ ٹیسٹ کرنے کے لیے پینیٹریشن ٹیسٹنگ فرموں کی خدمات حاصل کرنے پر غور کریں
- حساس معلومات سے نمٹنے کے لیے ایک طریقہ کار ہے اور ایک بار جب ڈیٹا کی مزید ضرورت نہ رہے تو اس میں پرنٹ آؤٹ کو ضائع کرنا بھی شامل ہونا چاہیے۔
- ایک طریقہ کار ہے جس کے ذریعے موبائل آلات پر ذخیرہ کردہ کسی بھی ذاتی/کارپوریٹ ڈیٹا کو حذف یا رسائی کو ہٹایا جا سکتا ہے۔
- عملے کو ان کی ذمہ داریوں، کمپنی کے ڈیٹا کی حفاظت کے طریقہ کار، اور ڈیٹا غائب ہونے کی صورت میں انہیں کیا کرنا چاہیے کی تربیت دیں
- عملے کو بدمعاش ای میلز، رینسم ویئر، مالویئر، اور دیگر ممکنہ خطرات کے ساتھ ساتھ ان طریقہ کار کی نشاندہی کرنے کی تربیت دیں جن پر عمل کیا جانا چاہیے۔.
سیکیورٹی کی خلاف ورزی
خطرے میں کمی کے ساتھ ساتھ، سیکورٹی کی خلاف ورزی ہونے کی صورت میں طریقہ کار کو اپنانا بھی اچھا عمل ہے۔ یہ چار اہم شعبوں پر توجہ مرکوز کرنا چاہئے:
- نقصان کی حد سے نمٹنے کے لیے بحالی کا منصوبہ اور طریقہ کار
- بحالی کے جائزے کا عمل افراد کے لیے ممکنہ منفی نتائج کا اندازہ لگانے کے لیے، یہ کتنے سنگین یا کافی ہیں اور ان کے دوبارہ ہونے کا کتنا امکان ہے۔
- اطلاع کے طریقہ کار - اس میں نہ صرف ان افراد کو مطلع کرنا شامل ہے جو متاثر ہوئے ہیں، یا ممکنہ طور پر متاثر ہو سکتے ہیں۔ اگر سیکیورٹی کی خلاف ورزی میں ذاتی ڈیٹا کا نقصان ہوتا ہے تو انفارمیشن کمشنر (ICO) کو مطلع کیا جانا چاہئے۔ دیگر ریگولیٹری ادارے اور دوسرے تیسرے فریق جیسے پولیس، بینک اور میڈیا ہو سکتے ہیں جنہیں مطلع کرنے کی ضرورت ہے۔
- خلاف ورزی کے بعد - اس بات کو یقینی بنائیں کہ اسی طرح کے واقعات کو روکنے کے لیے مناسب اقدامات کیے جائیں، طریقہ کار کو اپ ڈیٹ کیا جائے اور اس کے مطابق عملے کو تربیت یا دوبارہ تربیت دی جائے۔.
مفید وسیلہ
نیشنل سائبر سیکیورٹی سینٹر (یو کے) - www.ncsc.gov.uk/guidance۔
برطانیہ کے کاروبار کے لیے سائبر خطرہ - www.ncsc.gov.uk/cyberthreat۔
