ગયા વર્ષે ઓળખવામાં આવેલા સાતમાંથી છ સાયબર ધમકીઓ હવે સક્રિય છે: BFSI રિપોર્ટ | ભારતના સમાચાર

ગયા વર્ષે ઓળખવામાં આવેલા સાતમાંથી છ સાયબર ધમકીઓ હવે સક્રિય છે: BFSI રિપોર્ટ | ભારતના સમાચાર

ગયા વર્ષે ઓળખવામાં આવેલા સાતમાંથી છ સાયબર ધમકીઓ હવે સક્રિય છે: BFSI રિપોર્ટ | ભારતના સમાચાર

નવી દિલ્હી: બેંકો અને નાણાકીય સંસ્થાઓ માટેના સાત ઉભરતા સાયબર જોખમોમાંથી એક વર્ષ પહેલાં જ આગાહી કરવામાં આવી હતી, છ પહેલાથી જ સંપૂર્ણ સ્તરે સાકાર થઈ ચૂક્યા છે, જેમાં આર્ટિફિશિયલ ઈન્ટેલિજન્સ, ચોરાયેલી ઓળખ અને મેનિપ્યુલેટેડ પેમેન્ટ વર્કફ્લો વધુને વધુ કાયદેસર પ્રવૃત્તિ સાથે મળતા આવતા હુમલાને સક્ષમ કરે છે, BFSI સેક્ટર માટે ભારતનો બીજો ડિજિટલ ધમકી અહેવાલ યુદ્ધગ્રસ્ત છે.ઈલેક્ટ્રોનિક્સ અને આઈટી સેક્રેટરી એસ કૃષ્ણન દ્વારા જાહેર કરવામાં આવેલ ડિજિટલ થ્રેટ રિપોર્ટ 2025-26માં જણાવ્યું હતું કે સાયબર ધમકીની પરંપરાગત પ્રગતિ – સંશોધન અને પ્રયોગોથી લઈને મોટા પાયે શોષણ સુધી – તૂટી રહી છે. ધમકીઓ હવે મહિનાઓ અથવા અઠવાડિયામાં ચલાવવામાં આવી રહી છે, જે હુમલાખોરોને ઘણી નાણાકીય સંસ્થાઓ કરતાં વધુ ઝડપથી નવીનતા, સ્કેલ અને મુદ્રીકરણ કરવાની મંજૂરી આપે છે.CERT-In, CSIRT-Fin અને સાયબર સિક્યોરિટી ફર્મ SISA દ્વારા સંયુક્ત રીતે તૈયાર કરાયેલા રિપોર્ટમાં કહેવામાં આવ્યું છે કે સામાજિક એન્જિનિયરિંગ, ઓળખપત્રની ચોરી, સપ્લાય-ચેઈન કોમ્પ્રોમાઈઝ અને ક્લાઉડ એક્સપ્લોયટેશન, જે અગાઉના વર્ઝનમાં ઉભરતા અથવા સંબંધિત જોખમો તરીકે ગણવામાં આવતા હતા, તે હવે સ્થાપિત હુમલા પદ્ધતિઓ છે. સાત આગાહીઓમાંથી, માત્ર ક્વોન્ટમ જોખમ પૂર્ણ-સ્કેલ અનુભૂતિ સુધી પહોંચી શક્યું નથી, જો કે “હવે લણણી કરો, પછી ડિક્રિપ્ટ કરો” વ્યૂહરચનાઓ પહેલેથી જ સક્રિય છે.તેની મુખ્ય ચિંતા એ છે કે સૌથી વધુ નુકસાનકારક સાયબર હુમલાઓ હવે ભંગ જેવા દેખાશે નહીં. તેઓ અધિકૃત વપરાશકર્તા સત્રો, મંજૂર ચુકવણીઓ, નિયમિત એકાઉન્ટ પ્રવૃત્તિ, સમાધાનકારી વિક્રેતા ક્રિયાઓ અથવા દેખીતી રીતે સામાન્ય વ્યવસાય વર્કફ્લોનું સ્વરૂપ લઈ શકે છે જે નુકસાન થાય ત્યાં સુધી વાસ્તવિક વ્યવહારોથી અસ્પષ્ટ રહે છે.અહેવાલ ત્રણ વ્યાપક જૂથોમાં ઉભરતા જોખમોને વિભાજિત કરે છે – AI અને માનવ છેતરપિંડી, સોફ્ટવેર અને સિસ્ટમ્સ અને ઈન્ફ્રાસ્ટ્રક્ચર અને અર્થતંત્ર.AI અને માનવ છેતરપિંડી હેઠળ, તે ઔદ્યોગિક-સ્કેલ ડીપફેક્સ, સિન્થેટિક ઓળખ, AI-જનરેટેડ ફિશિંગ, બિઝનેસ ઈમેઈલ સમાધાન, ઓળખપત્રની ચોરી અને સત્ર હાઇજેકિંગને ચિહ્નિત કરે છે. તે કહે છે કે હુમલાખોરો હવે મેન્યુઅલી સ્કેમ્સ બનાવતા નથી, પરંતુ મશીનની ઝડપે તેને જનરેટ, પરીક્ષણ અને તૈનાત કરી રહ્યા છે, વ્યક્તિ જે જુએ છે અથવા સાંભળે છે તેના પર આધાર રાખે છે તે ઓળખ તપાસને નબળી પાડે છે.અહેવાલમાં “AI અસમપ્રમાણતા” ને નિર્ધારિત જોખમ તરીકે પણ ઓળખવામાં આવે છે, ચેતવણી આપે છે કે નબળાઈ શોધ, શોષણ જનરેશન અને હુમલો ઓર્કેસ્ટ્રેશન જેવી ક્ષમતાઓ, જેને અગાઉ નિષ્ણાત ટીમો અને અઠવાડિયાના કામની જરૂર હતી, તુલનાત્મક રીતે ઓછા સંસાધનો ધરાવતા અભિનેતાઓ માટે વધુને વધુ ઉપલબ્ધ થઈ રહી છે. તે જ સમયે, ધિરાણ, છેતરપિંડી શોધ, કેવાયસી અને ઓનબોર્ડિંગ માટે ઉપયોગમાં લેવાતા AI મોડેલો ત્વરિત ઇન્જેક્શન, મોડલ તપાસ અને પ્રતિકૂળ મેનીપ્યુલેશન દ્વારા હુમલાની સપાટી બની રહ્યા છે.ક્રિષ્નને જણાવ્યું હતું કે, “સાયબર સિક્યુરિટી એ સૌથી મહત્વની ચિંતાઓ પૈકીની એક છે જેને આપણે સંબોધવાની જરૂર છે જો આપણે ડિજિટલાઇઝેશનથી મેળવેલા તમામ લાભોને જાળવી રાખવા હોય.” તેમણે કહ્યું કે હુમલાઓ સાયબર ક્રાઈમ દ્વારા વ્યક્તિઓને અસર કરી શકે છે, રેન્સમવેર દ્વારા સંસ્થાઓને અપંગ બનાવી શકે છે અને, તેમના ઉચ્ચ સ્તરે, રાષ્ટ્રીય સ્તરે વિક્ષેપ લાવી શકે છે.“અમે સાયબર સુરક્ષાને એન્ટરપ્રાઇઝ-વ્યાપી પ્રણાલીગત જોખમ તરીકે ગણવાની જરૂર છે જેની સામે સંસ્થાઓએ સતત બચાવ કરવાની જરૂર છે,” તેમણે ઉમેર્યું હતું કે, એઆઈ ગવર્નન્સ સહિત ડિજિટલ ગવર્નન્સે સાયબર સુરક્ષા અને ઓપરેશનલ સ્થિતિસ્થાપકતાને પ્રાથમિકતા આપવી જોઈએ. ક્રિષ્નને ઘરેલું ટેકનિકલ ક્ષમતા બનાવવાની, ઓળખ અને એકાઉન્ટ એક્સેસ સિસ્ટમને મજબૂત કરવાની અને ડિફેન્ડર્સને વધુ ઝડપથી કાર્ય કરવા સક્ષમ બનાવવા માટે વધુ અસરકારક રીતે AIનો ઉપયોગ કરવાની જરૂરિયાત પર પણ ભાર મૂક્યો હતો.સૉફ્ટવેર અને સિસ્ટમ્સ પર, રિપોર્ટમાં સપ્લાય-ચેઇન સમાધાન, ઝેરી સૉફ્ટવેર અવલંબન, ક્લાઉડ ખોટી ગોઠવણી, અસુરક્ષિત વિકાસ પાઇપલાઇન્સ અને ચુકવણીઓ અને API બિઝનેસ લોજિકની હેરફેરની ચેતવણી આપવામાં આવી છે. તે કહે છે કે હુમલાઓ માલવેરનો ઉપયોગ કર્યા વિના અથવા નેટવર્ક પરિમિતિનો ભંગ કર્યા વિના OTP રેસની સ્થિતિ, સમાંતર ટ્રાન્ઝેક્શન ટ્રિગરિંગ, ઑબ્જેક્ટ-લેવલ અધિકૃતતા નિષ્ફળતા અને અપવાદ માર્ગોનું શોષણ કરી શકે છે.ત્રીજા ક્લસ્ટરમાં રેન્સમવેર, ક્રિપ્ટો-સક્ષમ મુદ્રીકરણ, ફર્મવેર અને IoT સમાધાન, અને ક્વોન્ટમ કમ્પ્યુટિંગથી એનક્રિપ્ટેડ ડેટા માટે લાંબા ગાળાના જોખમો સહિત નાણાકીય માળખાના પ્રણાલીગત જોખમોને આવરી લેવામાં આવ્યા છે.એક મુખ્ય શોધ એ છે જેને અહેવાલ “અનુપાલન-સુરક્ષા અનુવાદ તફાવત” કહે છે. સંગઠનો સમયાંતરે મૂલ્યાંકન પસાર કરી શકે છે જ્યારે હજુ પણ ખુલ્લું રહે છે કારણ કે નિયંત્રણો તેમના મૂળ ઉદ્દેશ્યથી વિચલિત થાય છે, વાસ્તવિક હુમલાની સપાટીના માત્ર એક ભાગને આવરી લે છે અથવા ક્લાઉડ, AI, કન્ટેનર અને મશીન-ઓળખના જોખમો સાથે ગતિ જાળવી રાખવામાં નિષ્ફળ જાય છે.ભંગ કેવી રીતે વધે છે તે સમજાવવા માટે, રિપોર્ટમાં ડિઝાઇન, અમલીકરણ, સિગ્નલિંગ અને રિસ્પોન્સ ગેપ્સને આવરી લેતું ચાર-સ્તર “સાયબર નિષ્ફળતાની એનાટોમી” ફ્રેમવર્ક રજૂ કરવામાં આવ્યું છે. તે ચાર પુનરાવર્તિત નિષ્ફળતા સાંકળોને ઓળખે છે – વિશ્વસનીય પ્રવેશ ભંગ, વિશેષાધિકાર વૃદ્ધિ, તર્કનો દુરુપયોગ અને સંસ્થાની ટેલિમેટ્રીની બહાર કાર્યરત અદ્રશ્ય હુમલાઓ.રિપોર્ટમાં 18 મહિનાનો રોડમેપ આપવામાં આવ્યો છે. પ્રથમ છ મહિના દરમિયાન, સંસ્થાઓએ ઉચ્ચ-જોખમ ખાતાઓ માટે ફિશિંગ વિરોધી પ્રમાણીકરણ ગોઠવવું જોઈએ, સેવા અને મશીન ઓળખની ઓળખ કરવી જોઈએ, પ્રતિકૂળ મેનીપ્યુલેશન સામે ચુકવણી વર્કફ્લોનું પરીક્ષણ કરવું જોઈએ, રહસ્યો અને એન્ક્રિપ્શન-કી મેનેજમેન્ટને મજબૂત બનાવવું જોઈએ અને ઘટના નિવારણને સ્વચાલિત કરવું જોઈએ.છ થી 12 મહિનામાં, તેઓએ સતત સત્ર ખાતરી, વર્તણૂક વ્યવહાર મોનિટરિંગ, ક્લાઉડ ઓળખ નિયંત્રણો, રનટાઇમ સોફ્ટવેર માન્યતા અને ત્રિમાસિક પોસ્ટ-ઓડિટ હુમલા સિમ્યુલેશન રજૂ કરવા જોઈએ. અંતિમ તબક્કામાં પાસવર્ડ રહિત વિશેષાધિકૃત ઍક્સેસ, AI-મોડેલ અને તાલીમ-ડેટા સપ્લાય ચેન પર નિયંત્રણ, વિક્રેતાઓના વિક્રેતાઓનું મજબૂત નિરીક્ષણ, રનટાઇમ અખંડિતતા ચકાસણી અને પોસ્ટ-ક્વોન્ટમ ક્રિપ્ટોગ્રાફી સ્થળાંતર આયોજનની જરૂર છે.રિપોર્ટનો સંદેશ એ છે કે નાણાકીય સંસ્થાઓએ સમયાંતરે સાબિત કરવું જોઈએ કે તેઓ વાસ્તવિક હુમલાની પરિસ્થિતિઓમાં કામ કરે છે તે સતત સાબિત કરવા માટે સુરક્ષા નિયંત્રણો કાર્યરત છે.

Zeen Subscribe
A customizable subscription slide-in box to promote your newsletter
[mc4wp_form id="314"]