निरंतर निगरानी: आपूर्तिकर्ता जोखिम प्रबंधन में सुरक्षा अंतराल को भरना

आपूर्ति श्रृंखलाएं वैश्विक अर्थव्यवस्था को एक साथ रखने वाले गोंद हैं। वे साइबर से संबंधित व्यावसायिक जोखिम का एक महत्वपूर्ण स्रोत भी हैं। 2021 और 2024 के बीच आपूर्तिकर्ताओं पर हमले 431% बढ़ गए, और उनके बढ़ने की उम्मीद है। यह उन उद्यमों के लिए बुरी खबर है जिनके साथ वे व्यवसाय करते हैं। आईबीएम अनुमान करता है कि तीसरे पक्ष के विक्रेता समझौता डेटा उल्लंघन की लागत के बीच सबसे अधिक लिंक किया गया है: प्रति उल्लंघन $4.9m।

जोखिम और साइबर नेताओं के लिए चुनौती यह है कि मौजूदा जोखिम प्रबंधन तंत्र अपूर्ण हैं। वे धीमे, संसाधन-गहन और अंधे धब्बे से भरे हो सकते हैं। सच्चा आपूर्तिकर्ता जोखिम प्रबंधन निरंतर पर्यवेक्षण और नियंत्रण से आता है।

आपूर्ति श्रृंखलाओं की अपरिहार्य वृद्धि

जटिल, खंडित आपूर्ति श्रृंखलाएं वैश्विक वाणिज्य के लिए भुगतान की जाने वाली कीमत हैं। पिछले एक दशक या उससे अधिक समय से, वे उपभोक्ता मांगों के लिए अधिक विकल्प और कम लागत का समर्थन करने के लिए बढ़ी हैं, जो ऑनलाइन शॉपिंग में विस्फोट के कारण है। उसी समय, डिजिटल आपूर्ति श्रृंखलाओं ने भी सॉफ्टवेयर के रूप में सेवा (सास), प्रबंधित सेवा प्रदाताओं (एमएसपी) और व्यवसायों की अधिक अभिनव, कुशल तरीके से काम करने की मांग के कारण भी जबरदस्त वृद्धि की है।

परिणाम? जहां अंतर्दृष्टि होनी चाहिए, वहां अस्पष्टता, और व्यावसायिक जोखिम के बढ़ते स्तर जो लाभ और कड़ी मेहनत से अर्जित ग्राहक वफादारी को खतरे में डाल सकते हैं। एक अनुमान के अनुसार, यहां तक कि औसत एसएमबी के पास 800 आपूर्तिकर्ता हैं। जब आपूर्तिकर्ताओं के आपूर्तिकर्ताओं की गणना की जाती है, तो आंकड़े जल्द ही हजारों व्यवसायों में पहुंच जाते हैं।

एक जोखिम भरा व्यवसाय

यह सीआईएसओ और उनकी टीमों के लिए बुरी खबर है, जिन्हें व्यापक आपूर्ति श्रृंखलाओं से आने वाले अपरिहार्य साइबर सुरक्षा जोखिमों का प्रबंधन करने का तरीका खोजना होगा। विक्रेता और आपूर्ति श्रृंखला समझौता पिछले साल डेटा उल्लंघनों के 15% के लिए जिम्मेदार था, आईबीएम के अनुसार। वरीज़ोन दावा करता है कि यह आंकड़ा वास्तव में पिछले साल 30% तक पहुंच गया है। जो भी वास्तविक गिनती है, यह स्पष्ट है कि वास्तविक दुनिया की घटनाओं से होने वाली क्षति का प्रकार।

आउटसोर्सर और पेशेवर सेवा फर्म जैसे तीसरे पक्ष अपने ग्राहक संगठनों के लिए अत्यधिक संवेदनशील पहुंच क्रेडेंशियल और अन्य डेटा संग्रहीत कर सकते हैं। यह ग्राहकों और कर्मचारियों पर उच्च नियामक व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) हो सकती है। या आईपी, व्यापार रहस्य या गैर-सार्वजनिक वित्तीय डेटा। जो सभी डिजिटल उत्पीड़नकारियों के लिए एक बड़ा आकर्षण हैं, जो इसे चोरी कर सकते हैं और/या एन्क्रिप्ट कर सकते हैं और भुगतान करने के लिए मजबूर कर सकते हैं। तीसरे पक्ष के उल्लंघनों ने 2024 में रैंसमवेयर हमलों के दो-पांचवें (41%) हिस्से के लिए जिम्मेदार थे, एक अध्ययन के अनुसार।

जैसे ही आपूर्तिकर्ता बढ़ते हैं, व्यवसायिक धोखाधड़ी का जोखिम, जैसे कि व्यवसाय ईमेल समझौते (बीईसी) के माध्यम से, भी बढ़ जाता है। खतरा अभिनेता वित्त टीम के एक सदस्य, या यहां तक कि एक वरिष्ठ कार्यकारी, को एक गैर-मौजूद चालान के लिए भुगतान का अनुरोध करने वाला एक फ़िशिंग ईमेल भेज सकते हैं। वे अपने हमलों को सफलता की अधिक संभावना बनाने के लिए क्लाइंट/आपूर्तिकर्ता ईमेल खातों को हैक करके संचार की निगरानी कर सकते हैं और समझ सकते हैं कि चालान क्या दिखते हैं। बीईसी नुकसान एफबीआई को रिपोर्ट किए गए लगभग $2.8bn तक पहुंच गए, जो दूसरा सबसे बड़ा साइबर अपराध प्रकार बन गया।

फिर भी आपूर्तिकर्ताओं के आपूर्तिकर्ता हैं। 2023 की एक रिपोर्ट का दावा है कि अध्ययन किए गए संगठनों में से आधे में कम से कम 200 चौथे पक्षों के साथ अप्रत्यक्ष संबंध थे जिन्हें पिछले दो वर्षों में उल्लंघन का सामना करना पड़ा था। जितना छोटा आपूर्तिकर्ता होगा, उतने ही कम संसाधन उन्हें सर्वोत्तम अभ्यास साइबर सुरक्षा पर खर्च करने के लिए हो सकते हैं।

एआई हैकर्स के लिए एक उपहार

एआई प्रौद्योगिकी का उपयोग साइबर अपराधियों द्वारा अपनी सफलता दर में सुधार करने के लिए किया जा रहा है। वास्तव में, ब्रिटिश सरकार के विशेषज्ञों चेतावनी दी है कि प्रौद्योगिकी “साइबर आक्रमण के कुछ तत्वों को अधिक प्रभावी और कुशल बनाने के लिए निश्चित रूप से जारी रहेगी।”

हम इसे देख सकते हैं कि कैसे उत्पादक एआई प्राकृतिक, त्रुटिहीन स्थानीय भाषाओं में फ़िशिंग अभियानों के निर्माण को सक्षम बनाता है। जिस तरह यह खतरा अभिनेताओं को प्रणाली की कमजोरियों के लिए जांच करने में मदद कर सकता है और अपने लक्ष्यों का चयन कर सकता है। और जिस तरह यह मैलवेयर और शोषण के निर्माण में भी मदद कर सकता है। यही कारण है कि एआई “साइबर खतरों की आवृत्ति और तीव्रता में वृद्धि” का कारण बनेगा, रिपोर्ट चेतावनी देती है।

सुरक्षा घटना के प्रकार और सीमा के आधार पर, एक उल्लंघन वाले आपूर्तिकर्ता के ग्राहकों के लिए प्रभाव वित्तीय और प्रतिष्ठात्मक क्षति से लेकर नियामक जोखिम और संचालन में व्यवधान तक हो सकता है। जितना अधिक समय घटना का पता लगाने में लगता है, उतना ही अधिक समय खतरा अभिनेताओं को नेटवर्क में रहता है, और अंततः, इसका साफ़ करने और पुनर्प्राप्त करने के लिए अधिक खर्च होगा। दुर्भाग्य से, आपूर्ति श्रृंखला समझौते को हल करने में सबसे लंबा समय लगता है, आईबीएम के अनुसार।

एक मामला हाल ही में बहु-मिलियन डॉलर राजस्व बीपीओ आपूर्तिकर्ता कंड्यूएंट में एक प्रमुख रैंसमवेयर उल्लंघन का खुलासा है। 11 मिलियन अमेरिकियों के पास उनके सोशल सिक्योरिटी नंबर, स्वास्थ्य बीमा विवरण और चिकित्सा जानकारी उजागर हो सकती है, रिपोर्ट के अनुसार। और हालांकि वे नवंबर 2025 तक केवल सूचित किए जा रहे थे, कंपनी के पर्यावरण को अक्टूबर 2024 के रूप में समझौता किया जाता है।

निरंतर निगरानी क्यों मायने रखती है

सौभाग्य से, एआई भी आपूर्तिकर्ता साइबर जोखिम प्रबंधन के साथ आने वाली सामान्य चुनौतियों को पार करने में अच्छे लोगों की मदद कर सकता है। बहुत से संगठन धीमे, मैनुअल प्रक्रियाओं और लंबे प्रश्नावली से जूझते हैं जो देरी पैदा करते हैं और दृश्यता के अंधे धब्बे बनाते हैं। असंगत आपूर्तिकर्ता प्रलेखन यह समझने में मुश्किल बनाता है कि पारिस्थितिकी तंत्र में जोखिम स्कोर की तुलना कैसे करें और यह क्या मायने रखता है व्यवसाय के लिए।

इसके बजाय, एक डेटा और एआई-केंद्रित दृष्टिकोण के साथ, संगठन ऑनबोर्डिंग और उसके बाद दोनों में स्वचालन को भारी उठाने के लिए प्राप्त कर सकते हैं। बाद वाला महत्वपूर्ण है क्योंकि जोखिम एक बार आपूर्तिकर्ता को मंजूरी देने के बाद बंद नहीं होता है। यह घंटे या दैनिक आधार पर विकसित होता रहता है, प्रत्येक नए सॉफ्टवेयर कमजोरियों, डेटा उल्लंघन या गलत तरीके से कॉन्फ़िगर किए गए खाते के साथ। आपूर्तिकर्ता नई बुनियादी ढांचे में निवेश कर सकते हैं, जिससे उनकी साइबर हमले की सतह बढ़ जाती है। वे अपने आपूर्तिकर्ताओं को जोड़ सकते हैं, जोखिम एक्सपोजर को बदल सकते हैं। और उन्हें नए खतरा अभिनेता अभियानों द्वारा लक्षित किया जा सकता है।

जो सभी एक अधिक सक्रिय दृष्टिकोण की मांग करते हैं तीसरे पक्ष के जोखिम प्रबंधन, जो आपूर्तिकर्ता सर्वेक्षण और प्रलेखन को इकट्ठा करने और संसाधित करने से परे है। यह वास्तविक समय में जोखिम की पहचान पर केंद्रित होना चाहिए, ताकि संगठन किसी भी नुकसान होने से पहले तेजी से कार्रवाई कर सके।

एआई के साथ शुरुआत

आपूर्तिकर्ता साइबर जोखिम में इस तरह के 360-डिग्री, निरंतर अंतर्दृष्टि प्राप्त करने के लिए बहुत सारे डेटा और जोखिम पैटर्न को झंडा देने के लिए बुद्धिमान एल्गोरिदम की आवश्यकता होगी। जितना अधिक उच्च गुणवत्ता वाला डेटा, उतनी बेहतर दृश्यता। यह डार्क वेब फोरम में साइबर हमलों के पहले संकेतों की तलाश में खतरा खुफिया फीड शामिल कर सकता है। या आपूर्तिकर्ता एस्टेट में लापता सुरक्षा अपडेट को उजागर करने वाली कमजोरियों की निगरानी। यह आपूर्तिकर्ता वित्त विभागों के बीच ईमेल समझौते के साक्ष्य को भी ट्रैक कर सकता है, जो आगामी बीईसी हमलों का संकेत दे सकता है। या यहां तक कि उन आपूर्तिकर्ताओं के साथ लेनदेन के संदिग्ध पैटर्न को भी ट्रैक कर सकता है।

एआई का उपयोग वास्तविक समय में महत्वपूर्ण जोखिमों की पहचान करने और तुरंत कार्रवाई करने के लिए किया जा सकता है। और प्रत्येक आपूर्तिकर्ता के लिए एक निरंतर अद्यतन जोखिम स्कोर स्वचालित रूप से सौंपा जा सकता है, जो क्लाइंट नीतियों, मुद्रा और व्यवसाय के लिए महत्वपूर्णता के अनुसार भारित होता है।

एजेंटिक एआई आपूर्तिकर्ता प्रलेखन जैसे एसओसी 2 रिपोर्ट और इन-हाउस सुरक्षा नीतियों को स्वायत्त रूप से पचाने और विश्लेषण करने में एक शक्तिशाली सहयोगी हो सकता है, और नियंत्रणों को स्थापित फ्रेमवर्क जैसे एनआईएसटी सीएसएफ या आईएसओ 27001 के लिए मैप करने में मदद कर सकता है। यह केवल कुछ मिनटों में अनुपालन दृश्यता प्रदान कर सकता है, घंटों की नहीं, जो सुरक्षा और जोखिम टीमों को उच्च मूल्य वाले कार्यों पर काम करने के लिए समय देता है। परिपक्व संगठनों में, एआई एजेंट भी स्वतंत्र रूप से काम कर सकते हैं नियमित मुद्दों का समाधान और उपचार करने के लिए – या कम से कम उन्हें सही टीम के सदस्य को त्वरित ध्यान देने के लिए मार्गदर्शन करने के लिए।

सब कुछ एक साथ लाना

मुख्य बात यह सुनिश्चित करना है कि आपूर्तिकर्ता साइबर जोखिम प्रबंधन के लिए कोई भी प्रणाली एकीकृत है, ताकि जोखिम डेटा सिलो में न हो और उपयोगी न हो। आदर्श रूप से, एक ही मंच अन्य प्रकार के आपूर्तिकर्ता जोखिम प्रबंधन को भी सक्षम करेगा, जैसे कि अनुपालन, स्थिरता, वित्त और संचालन के क्षेत्र में। यह व्यवसायिक निर्णय लेने के लिए जिस प्रकार की जानकारी प्रदान करनी चाहिए।

सबसे ऊपर, याद रखें कि साइबर जोखिम मूल रूप से व्यावसायिक जोखिम है। इसे कभी भी समाप्त नहीं किया जा सकता है। लेकिन इसे अधिक प्रभावी ढंग से प्रबंधित किया जा सकता है।