[ad_1]
নয়া দিল্লি: মাত্র এক বছর আগে ব্যাঙ্ক এবং আর্থিক প্রতিষ্ঠানগুলির জন্য ভবিষ্যদ্বাণী করা সাতটি উদীয়মান সাইবার হুমকির মধ্যে ছয়টি ইতিমধ্যেই পূর্ণ মাত্রায় উপলব্ধিতে পৌঁছেছে, কৃত্রিম বুদ্ধিমত্তা, চুরি করা পরিচয় এবং ম্যানিপুলেটেড পেমেন্ট ওয়ার্কফ্লো সহ আক্রমণগুলিকে সক্ষম করে যা ক্রমবর্ধমান বৈধ কার্যকলাপের সাথে সাদৃশ্যপূর্ণ, ভারতের দ্বিতীয় ডিজিটাল থ্রেট সেক্টর বিএফএসআইপোর্টের জন্য।ইলেক্ট্রনিক্স এবং আইটি সেক্রেটারি এস কৃষ্ণান কর্তৃক প্রকাশিত ডিজিটাল থ্রেট রিপোর্ট 2025-26, বলছে যে একটি সাইবার হুমকির প্রথাগত অগ্রগতি – গবেষণা এবং পরীক্ষা থেকে বড় আকারের শোষণ – ভেঙ্গে যাচ্ছে। হুমকিগুলি এখন মাস বা সপ্তাহের মধ্যে কার্যকর করা হচ্ছে, আক্রমণকারীদের অনেক আর্থিক প্রতিষ্ঠানের প্রতিক্রিয়ার চেয়ে দ্রুত উদ্ভাবন, স্কেল এবং নগদীকরণের অনুমতি দেয়।CERT-In, CSIRT-Fin এবং সাইবারসিকিউরিটি ফার্ম SISA দ্বারা যৌথভাবে প্রস্তুত করা প্রতিবেদনে বলা হয়েছে, সোশ্যাল ইঞ্জিনিয়ারিং, শংসাপত্র চুরি, সাপ্লাই-চেইন আপস এবং ক্লাউড শোষণ, যা আগের সংস্করণে উদীয়মান বা এপিসোডিক ঝুঁকি হিসাবে বিবেচিত হয়েছিল, এখন আক্রমণের পদ্ধতিগুলি প্রতিষ্ঠিত। সাতটি ভবিষ্যদ্বাণীর মধ্যে শুধুমাত্র কোয়ান্টাম ঝুঁকি পূর্ণ মাত্রায় উপলব্ধি করতে পারেনি, যদিও “এখন ফসল কাটা, পরে ডিক্রিপ্ট” কৌশলগুলি ইতিমধ্যে সক্রিয়।এর কেন্দ্রীয় উদ্বেগ হল সবচেয়ে ক্ষতিকারক সাইবার আক্রমণগুলি আর লঙ্ঘনের মতো দেখাতে পারে না। তারা প্রমাণীকৃত ব্যবহারকারীর সেশন, অনুমোদিত অর্থপ্রদান, রুটিন অ্যাকাউন্ট কার্যকলাপ, আপোসকৃত বিক্রেতা ক্রিয়া বা দৃশ্যত স্বাভাবিক ব্যবসায়িক কর্মপ্রবাহ হিসাবে উপস্থিত হতে পারে, ক্ষতি না হওয়া পর্যন্ত প্রকৃত লেনদেন থেকে আলাদা করা যায় না।প্রতিবেদনটি ক্রমবর্ধমান ঝুঁকিগুলিকে তিনটি বিস্তৃত ক্লাস্টারে গোষ্ঠীভুক্ত করেছে – এআই এবং মানব প্রতারণা, সফ্টওয়্যার এবং সিস্টেম এবং অবকাঠামো এবং অর্থনীতি।এআই এবং মানব প্রতারণার অধীনে, এটি শিল্প-স্কেল ডিপফেক, সিন্থেটিক আইডেন্টিটি, এআই-জেনারেটেড ফিশিং, ব্যবসায়িক ইমেল সমঝোতা, শংসাপত্র চুরি এবং সেশন হাইজ্যাকিংকে চিহ্নিত করে। এটি বলে যে আক্রমণকারীরা আর স্ক্যামগুলি ম্যানুয়ালি তৈরি করছে না কিন্তু মেশিনের গতিতে সেগুলি তৈরি করছে, পরীক্ষা করছে এবং স্থাপন করছে, একজন ব্যক্তি যা দেখে বা শোনে তার উপর নির্ভর করে পরিচয় পরীক্ষাকে দুর্বল করে।প্রতিবেদনটি “এআই অসামঞ্জস্য” একটি সংজ্ঞায়িত ঝুঁকি হিসাবে চিহ্নিত করে, সতর্ক করে যে দুর্বলতা আবিষ্কার, শোষণ প্রজন্ম এবং আক্রমণ অর্কেস্ট্রেশনের মতো ক্ষমতা, যার জন্য আগে বিশেষজ্ঞ দল এবং সপ্তাহের কাজ প্রয়োজন, তুলনামূলকভাবে স্বল্প-সম্পদ অভিনেতাদের জন্য ক্রমবর্ধমানভাবে উপলব্ধ। একই সময়ে, ক্রেডিট, জালিয়াতি সনাক্তকরণ, KYC এবং অনবোর্ডিং-এর জন্য ব্যবহৃত AI মডেলগুলি প্রম্পট ইনজেকশন, মডেল প্রোবিং এবং প্রতিপক্ষের ম্যানিপুলেশনের মাধ্যমে আক্রমণের সারফেস হয়ে উঠছে।“সাইবার নিরাপত্তা হল সবচেয়ে গুরুত্বপূর্ণ উদ্বেগের মধ্যে একটি যা আমাদের সমাধান করতে হবে যদি আমাদের ডিজিটালাইজেশন থেকে প্রাপ্ত সমস্ত সুবিধা সংরক্ষণ করতে হয়,” কৃষ্ণান বলেছিলেন। তিনি বলেছিলেন যে আক্রমণগুলি সাইবার ক্রাইমের মাধ্যমে ব্যক্তিদের প্রভাবিত করতে পারে, র্যানসমওয়্যারের মাধ্যমে সংস্থাগুলিকে পঙ্গু করে দিতে পারে এবং তাদের সর্বোচ্চ স্তরে, জাতীয় স্তরে ব্যাঘাত সৃষ্টি করতে পারে।“আমাদের সাইবার নিরাপত্তাকে একটি এন্টারপ্রাইজ-ব্যাপী সিস্টেমিক ঝুঁকি হিসাবে বিবেচনা করতে হবে যার বিরুদ্ধে প্রতিষ্ঠানগুলিকে ক্রমাগত রক্ষা করতে হবে,” তিনি বলেন, এআই গভর্নেন্স সহ ডিজিটাল গভর্নেন্সকে অবশ্যই সাইবার নিরাপত্তা এবং অপারেশনাল স্থিতিস্থাপকতাকে প্রাধান্য দিতে হবে। কৃষ্ণান গার্হস্থ্য প্রযুক্তিগত ক্ষমতা তৈরি করার, পরিচয় এবং অ্যাকাউন্ট অ্যাক্সেস সিস্টেমকে শক্তিশালী করার এবং ডিফেন্ডারদের দ্রুত কাজ করতে সক্ষম করার জন্য আরও কার্যকরভাবে AI ব্যবহার করার প্রয়োজনীয়তার উপর জোর দিয়েছেন।সফ্টওয়্যার এবং সিস্টেমে, রিপোর্টে সাপ্লাই-চেইন আপস, বিষাক্ত সফ্টওয়্যার নির্ভরতা, ক্লাউড মিসকনফিগারেশন, অনিরাপদ ডেভেলপমেন্ট পাইপলাইন এবং পেমেন্ট এবং API ব্যবসায়িক যুক্তির হেরফের সম্পর্কে সতর্ক করা হয়েছে। এটি বলে যে আক্রমণগুলি ম্যালওয়্যার ব্যবহার না করে বা নেটওয়ার্ক পরিধি লঙ্ঘন না করে ওটিপি রেস অবস্থা, সমান্তরাল লেনদেন ট্রিগারিং, অবজেক্ট-লেভেল অনুমোদন ব্যর্থতা এবং ব্যতিক্রম পথগুলিকে কাজে লাগাতে পারে।তৃতীয় ক্লাস্টারে র্যানসমওয়্যার, ক্রিপ্টো-সক্ষম নগদীকরণ, ফার্মওয়্যার এবং আইওটি সমঝোতা এবং কোয়ান্টাম কম্পিউটিং থেকে এনক্রিপ্ট করা ডেটার দীর্ঘমেয়াদী হুমকি সহ আর্থিক অবকাঠামোর সিস্টেমিক ঝুঁকিগুলি কভার করে।একটি প্রধান অনুসন্ধান হল রিপোর্ট যাকে “সম্মতি-নিরাপত্তা অনুবাদের ফাঁক” বলে। প্রতিষ্ঠানগুলি উন্মুক্ত থাকা অবস্থায় পর্যায়ক্রমিক মূল্যায়ন পাস করতে পারে কারণ নিয়ন্ত্রণগুলি তাদের মূল অভিপ্রায় থেকে সরে যায়, প্রকৃত আক্রমণের পৃষ্ঠের শুধুমাত্র অংশকে আবৃত করে বা ক্লাউড, এআই, ধারক এবং মেশিন-পরিচয় ঝুঁকির সাথে তাল মিলিয়ে চলতে ব্যর্থ হয়।লঙ্ঘনগুলি কীভাবে বৃদ্ধি পায় তা ব্যাখ্যা করার জন্য, প্রতিবেদনে একটি চার-স্তর “সাইবার ব্যর্থতার শারীরস্থান” কাঠামোর নকশা, প্রয়োগ, সংকেত এবং প্রতিক্রিয়া ব্যবধান কভার করে। এটি চারটি পুনরাবৃত্ত ব্যর্থতা শৃঙ্খল চিহ্নিত করে — বিশ্বস্ত প্রবেশ লঙ্ঘন, বিশেষাধিকার বৃদ্ধি, যুক্তির অপব্যবহার এবং একটি প্রতিষ্ঠানের টেলিমেট্রির বাইরে অপারেট করা অদৃশ্য আক্রমণ।প্রতিবেদনে 18 মাসের রোডম্যাপ দেওয়া হয়েছে। প্রথম ছয় মাসে, প্রতিষ্ঠানগুলিকে উচ্চ-ঝুঁকিপূর্ণ অ্যাকাউন্টগুলির জন্য ফিশিং-প্রতিরোধী প্রমাণীকরণ স্থাপন করা উচিত, পরিষেবা এবং মেশিনের পরিচয় সনাক্ত করা, প্রতিপক্ষের ম্যানিপুলেশনের বিরুদ্ধে অর্থপ্রদানের কার্যপ্রবাহ পরীক্ষা করা, গোপনীয়তা এবং এনক্রিপশন-কী ব্যবস্থাপনাকে শক্তিশালী করা এবং স্বয়ংক্রিয় ঘটনা নিয়ন্ত্রণ করা।ছয় থেকে 12 মাসের মধ্যে, তাদের অবিচ্ছিন্ন সেশন আশ্বাস, আচরণগত লেনদেন পর্যবেক্ষণ, ক্লাউড আইডেন্টিটি কন্ট্রোল, রানটাইম সফ্টওয়্যার বৈধতা এবং ত্রৈমাসিক পোস্ট-অডিট অ্যাটাক সিমুলেশন চালু করা উচিত। চূড়ান্ত পর্যায়ে পাসওয়ার্ডবিহীন সুবিধাপ্রাপ্ত অ্যাক্সেস, এআই-মডেল এবং প্রশিক্ষণ-ডেটা সাপ্লাই চেইনের উপর নিয়ন্ত্রণ, বিক্রেতাদের বিক্রেতাদের শক্তিশালী তদারকি, রানটাইম অখণ্ডতা প্রমাণীকরণ এবং পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফি মাইগ্রেশন পরিকল্পনার জন্য আহ্বান জানানো হয়েছে।প্রতিবেদনের বার্তাটি হল যে আর্থিক প্রতিষ্ঠানগুলিকে পর্যায়ক্রমে প্রমাণ করতে হবে যে নিরাপত্তা নিয়ন্ত্রণগুলি বিদ্যমান থেকে ক্রমাগত প্রমাণ করতে হবে যে তারা প্রকৃত আক্রমণের পরিস্থিতিতে কাজ করে।
[ad_2]
Source link