اے آئی کی دھمکیاں ایک خلفشار ہیں۔ آپ کا اصل مسئلہ گھر کے قریب ہے۔

آئیے ایماندار بنیں: AI سے چلنے والے سائبر حملے ایک خوفناک امکان ہیں۔ لیکن وہ آپ کے کاروبار کے لیے سب سے بڑا خطرہ نہیں ہیں۔

سب سے بڑا خطرہ یہ ہے۔ پریشان وہ تخلیق کرتے ہیں.

15 سالوں سے، میں نے ایک ہی کہانی کو چلتے ہوئے دیکھا ہے۔ قیادت تازہ ترین "AI سپر خطرے" سے خوفزدہ ہو جاتی ہے، جبکہ سیکورٹی ٹیم اب بھی بنیادی سوالات جیسے کہ "ہمارا حساس ترین کسٹمر ڈیٹا کہاں ہے؟" کے جواب دینے کے لیے جدوجہد کر رہی ہے۔ یا "اس نازک نظام کے لیے پیچ کا مالک کون ہے؟" ہم چمکدار نئے ٹولز کا پیچھا کرتے ہیں جب کہ انجینئرز آخری لمحات کی تعمیل کی مشقوں میں شامل ہو جاتے ہیں، اور اہم کمزوریوں کو ترجیح دی جاتی ہے۔

یہ کلاسک ہے "اسکرین کے دروازے پر فینسی لاک" مسئلہ تنظیمیں AI سے چلنے والے دفاع کو متعین کرنے کے لیے جلدی کر رہی ہیں، لیکن حملہ آور عمل، ملکیت اور ثقافت میں بنیادی خلاء کے ذریعے صحیح طریقے سے چلنے کے لیے کم اصولوں اور زیادہ چستی کے ساتھ AI کا استعمال کر رہے ہیں۔ خاص طور پر مڈ مارکیٹ کمپنیوں کے لیے، بنیادی باتوں کو نظر انداز کرنا اگلی احتیاطی کہانی بننے کی دعوت ہے۔

متحرک دنیا میں جامد دفاع کیوں ناکام ہوجاتے ہیں۔

جب میں نے اپنے کیریئر کا آغاز کیا تو سیکیورٹی ایک چیک لسٹ تھی: اینٹی وائرس، پیچ اور مضبوط فائر وال۔ وہ دنیا بہت پہلے چلی گئی ہے۔ آج، پولیمورفک میلویئر دستخطوں سے بچنے کے لیے خود کو دوبارہ لکھتا ہے، اور بوٹنیٹس کسی بھی انسان کے جواب سے زیادہ تیزی سے حملے شروع کرتے ہیں۔

خفیہ کردہ ٹریفک مخالف کی پسندیدہ چھپنے کی جگہ بن گئی ہے۔ Zscaler کی 2024 ThreatLabz رپورٹ میں پتہ چلا ہے۔ تقریباً 90% میلویئر اب انکرپٹڈ چینلز پر ڈیلیور کیا جاتا ہے۔. اس کا مطلب ہے کہ دس میں سے نو خطرات میراثی ٹولز کے لیے پوشیدہ ہیں جو اس ٹریفک کا معائنہ نہیں کر سکتے۔

تاہم، اصل رکاوٹ صرف ٹیکنالوجی نہیں ہے۔ یہ ہے تنظیمی رگڑ. میں نے دیکھا ہے کہ سیکیورٹی کی زبردست ٹیمیں ایک معلوم خلا کو ختم کرنے کے لیے صرف خریداری حاصل کرنے کی کوشش میں ہفتے گزارتی ہیں۔ میٹنگوں کو شیڈول کرنے میں جتنا وقت لگتا ہے، ایک خودکار حملہ آور اندر اور باہر ہو سکتا ہے۔ جامد رہنا اب کوئی آپشن نہیں ہے۔ سیکیورٹی پروگراموں کو سیاق و سباق سے آگاہ ہونا چاہیے اور کاروبار کے تیزی سے آگے بڑھنے والے حصوں پر توجہ مرکوز کرنی چاہیے۔

سائبر کرائم کی صنعتی کاری

یہ کسی کو حیران نہیں ہونا چاہئے. حملہ آور ایک کاروبار چلانے والے کاروباری ہیں۔ وہ اپنے ROI کو بہتر بنانے کے لیے بس نئی ٹیکنالوجی کو اپنا رہے ہیں — بالکل اسی طرح جیسے ہم ہیں۔ AI ان کے کاموں کو صنعتی بنانے میں ان کی مدد کر رہا ہے۔

• فشنگ بطور سروس، سپر چارجڈ: فشنگ ابھی بھی # 1 راستہ ہے۔ FBI اور IBM اسے برسوں سے جاری سرفہرست ابتدائی رسائی ویکٹر کے طور پر رپورٹ کرتے ہیں۔ اب، "فراڈ جی پی ٹی" جیسے تخلیقی AI ٹولز کے ساتھ، مجرم بالکل موزوں، گرائمر سے پاک فشنگ مہمات اس پیمانے پر بنا سکتے ہیں جو ہم نے کبھی نہیں دیکھی۔
• آواز جھوٹ ہے: وائس فشنگ ("وشنگ") پھٹ رہی ہے۔ CrowdStrike دیکھا a 442 فیصد اضافہ جیسا کہ حملہ آور ایگزیکٹوز کی نقالی کرنے اور ملازمین کو وائرنگ فنڈز میں پھنسانے کے لیے AI کلون شدہ آوازوں کا استعمال کرتے ہیں۔ برطانیہ کی ایک توانائی فرم ہار گئی۔ $243,000 اس طرح ایک کال سے۔
• خودکار مخالف کا عروج: CrowdStrike کے خطرے کے شکار کرنے والے اب اختتام سے آخر تک خودکار مہمات دیکھتے ہیں — AI سے تیار کردہ ریزوم سے لے کر ڈیپ فیک ویڈیو انٹرویوز سے لے کر میلویئر سے پاک مداخلت تک جو مکمل طور پر کلاؤڈ میں رہتے ہیں۔

محافظوں کو خطرات کا سامنا ہے جو کم سے کم انسانی نگرانی کے ساتھ موافقت اور برقرار رہتے ہیں۔ حملہ آور برسوں سے خودکار ہو رہے ہیں۔ AI نے ابھی اپنا ورک فلو ہائپر ڈرائیو پر رکھا ہے۔

جاری رکھنے کے لیے، اب وقت آگیا ہے کہ ہم تعمیل اور سائبرسیکیوریٹی کے لیے پرانے، چیک لسٹ پر مبنی طریقوں کو چھوڑ دیں۔ مارکیٹ میں جدید ترین آلے کے ساتھ سلور بلٹ کی تلاش بھی جواب نہیں ہے۔ اس نے کہا، یہ بنیادی باتوں پر واپس جانے کا ایک انوکھا موقع ہے۔

پوچھنا بند کرو "کیا ہم تعمیل کر رہے ہیں؟" پوچھنا شروع کریں "کیا ہم لچکدار ہیں؟"

یہاں تک کہ جب AI زمین کی تزئین کی نئی شکل دیتا ہے، تب بھی زیادہ تر خلاف ورزیاں نظر انداز شدہ بنیادی باتوں کی وجہ سے ہوتی ہیں۔ یقینی طور پر، اس سی ای او کی آواز کو کلون کیا گیا تھا، لیکن اصل ناکامی ممکنہ طور پر ایک ٹوٹا ہوا مالیاتی منظوری کا عمل تھا۔ AI گم شدہ بنیادی باتوں کے سلسلے میں صرف آخری مرحلہ تھا۔

AI کو تلاش کرنے کی ضرورت نہیں ہے۔ صفر دن استحصال جب یہ پانچ سال پرانا غیر پیچ شدہ سرور یا ہر چیز کے منتظم حقوق کے ساتھ ایک ڈویلپر تلاش کر سکتا ہے۔ ایک اور AI سے چلنے والا سیکیورٹی ٹول خریدنے سے ٹوٹی ہوئی ثقافت کو ٹھیک نہیں کیا جائے گا۔ AI کو مضبوط عمل کو مضبوط کرنا چاہیے، ان کا متبادل نہیں۔

یہ وہ جگہ ہے جہاں قیادت اکثر غلط ہو جاتی ہے۔ میں بورڈ رومز میں رہا ہوں جہاں سوال یہ تھا، "کیا ہم تعمیل کرتے ہیں؟" بہتر سوال یہ ہے کہ "کیا ہمارا سیکورٹی پروگرام ہمارے کاروبار کو مضبوط بناتا ہے؟"

تعمیل ایک چیک باکس کی مشق بن جاتی ہے۔ پروڈکٹ ٹیمیں آگے بڑھتی ہیں، انجینئرز کو وسائل کے بغیر حفاظتی فرائض سونپے جاتے ہیں، اور لیڈروں کو صاف آڈٹ کا مطلب ہے کہ کاروبار محفوظ ہے۔ ایسا نہیں ہوتا۔ حل زیادہ اوزار نہیں ہے؛ یہ اوپر سے نیچے تک مضبوط سہاروں والا ہے۔ سیکورٹی کو براہ راست کاروبار کی ترقی اور مصنوعات کی سالمیت سے جوڑا جانا چاہیے۔

AI دور کے لیے ایک عملی پلے بک

فارچیون 500 اس مسئلے پر پیسہ پھینک سکتا ہے۔ مڈ مارکیٹ کمپنیوں کو ہوشیار ہونا پڑے گا۔ تو، آپ اصل میں کیا کرتے ہیں do?

1. پہلے اپنی فاؤنڈیشن ٹھیک کریں۔ کوئی دوسرا ٹول خریدنے سے پہلے، یقینی بنائیں کہ آپ کے پاس اپنے ڈیٹا کی ایک ٹھوس انوینٹری، بلٹ پروف رسائی کنٹرول، اور پیچنگ کا عمل ہے جو حقیقت میں کام کرتا ہے۔
2. AI کو ایجنڈے پر رکھیں۔ AI سے چلنے والے حملوں پر مبنی ٹیبل ٹاپ مشقیں چلائیں۔ اسے بورڈ کی رپورٹنگ کا باقاعدہ حصہ بنائیں تاکہ اسے ایک کاروباری خطرہ سمجھا جائے، نہ کہ IT کا مسئلہ۔
3. رویے پر توجہ مرکوز کریں، نہ صرف جامد سگنل. ایسے ٹولز کو ترجیح دیں جو عجیب و غریب سرگرمی کو دیکھتے ہیں — جیسے کہ صارف کا اکاؤنٹ اچانک کسی ایسے ڈیٹا بیس تک رسائی حاصل کر لیتا ہے جو اسے کبھی نہیں چھوتا — ایسے ٹولز پر جو صرف معلوم میلویئر کی تلاش کرتے ہیں۔

AI دشمن نہیں ہے - مطمئن ہونا

اے آئی دو دھاری تلوار نہیں ہے۔ یہ ایک میگنفائنگ گلاس ہے۔ یہ اچھے عمل کو زیادہ موثر اور برے عمل کو تباہ کن بنا دیتا ہے۔

حملہ آوروں کے پاس ہمیشہ نئے ٹولز ہوں گے۔ اصل سوال یہ ہے کہ آیا آپ کی حفاظتی حکمت عملی لچک کی مضبوط بنیاد پر بنائی گئی ہے یا صرف اگلی چمکدار چیز کا پیچھا کرنا ہے۔ سیٹ اٹ اور فراٹ اٹ سیکورٹی کا دور ختم ہو چکا ہے۔ وہ تنظیمیں جو سلامتی کا کلچر تیار کرتی ہیں اور بنیادی اصولوں کو پورا کرتی ہیں، خود مختار خطرات کے دور میں بھی جیت جائیں گی۔