NIST Framework: আইটি সিস্টেমের সাইবার ঝুঁকি নিরসনে NIST ফ্রেমওয়ার্কের প্রয়োগ!

NIST Cybersecurity Framework একটি ঐচ্ছিক কাঠামো যা প্রতিষ্ঠানগুলোকে সাইবার ঝুঁকি বুঝতে, ব্যবস্থাপনা করতে এবং কমাতে সহায়তা করে। ২০১৪ সালে প্রথম প্রকাশিত হওয়ার পর থেকে এটি বেশ কয়েকবার আপডেট হয়েছে, এবং সর্বশেষ NIST CSF 2.0 সংস্করণে আরও বিস্তৃত পরিসর যুক্ত হয়েছে।

ফ্রেমওয়ার্কটি তিনটি মূল অংশে বিভক্ত: Framework Core, Implementation Tiers, এবং Framework Profiles। Framework Core এমন একটি কাঠামো প্রদান করে যেখানে নির্দিষ্ট কার্যক্রম, কাঙ্ক্ষিত ফলাফল এবং প্রযোজ্য রেফারেন্স উল্লেখ থাকে। Implementation Tiers প্রতিষ্ঠানের ঝুঁকি ব্যবস্থাপনা পদ্ধতির পরিপক্কতা মাপে, যা Tier 1 (Partial) থেকে Tier 4 (Adaptive) পর্যন্ত বিস্তৃত। Framework Profiles হলো প্রতিষ্ঠানের বর্তমান ও কাঙ্ক্ষিত অবস্থার বর্ণনা।

NIST CSF 2.0 এর কেন্দ্রবিন্দু হলো ছয়টি ফাংশন: Govern, Identify, Protect, Detect, Respond, এবং Recover। পূর্বে পাঁচটি ফাংশন ছিল, কিন্তু নতুন সংস্করণে Govern ফাংশন যোগ করে সাইবার নিরাপত্তা গভর্ন্যান্সের গুরুত্ব আরও স্পষ্ট করা হয়েছে।

Govern ফাংশন প্রতিষ্ঠানের সাইবার নিরাপত্তা কৌশল, প্রত্যাশা এবং নীতিমালা প্রতিষ্ঠা ও পর্যবেক্ষণের সাথে সম্পর্কিত। এটি নিশ্চিত করে যে সাইবার নিরাপত্তা সিদ্ধান্তগুলো ব্যবসায়িক লক্ষ্যের সাথে সঙ্গতিপূর্ণ।

Identify ফাংশন প্রতিষ্ঠানের সিস্টেম, সম্পদ, ডেটা এবং সক্ষমতার ঝুঁকি ব্যবস্থাপনা বুঝতে সাহায্য করে। এতে রয়েছে Asset Management, Business Environment, Governance, Risk Assessment এবং Risk Management Strategy।

Protect ফাংশন গুরুত্বপূর্ণ অবকাঠামো সেবা প্রদানের জন্য যথাযথ সুরক্ষা ব্যবস্থা গ্রহণ করে। Access Control, Awareness Training, Data Security, Information Protection Processes, Maintenance এবং Protective Technology এই ফাংশনের অন্তর্ভুক্ত।

Detect ফাংশন সাইবার নিরাপত্তা ঘটনা শনাক্তকরণের জন্য যথাযথ কার্যক্রম নিশ্চিত করে। Anomalies and Events, Security Continuous Monitoring এবং Detection Processes এর মূল উপাদান।

Respond ফাংশন শনাক্তকৃত সাইবার নিরাপত্তা ঘটনার ক্ষেত্রে যথাযথ পদক্ষেপ গ্রহণ করে। Response Planning, Communications, Analysis, Mitigation এবং Improvements এর আওতাভুক্ত।

Recover ফাংশন সাইবার নিরাপত্তা ঘটনার কারণে ক্ষতিগ্রস্ত সক্ষমতা পুনরুদ্ধারের জন্য Resilience Planning বাস্তবায়ন করে।

NIST Framework এর বাস্তব প্রয়োগ বোঝার জন্য কয়েকটি বাস্তব উদাহরণ দেখা যেতে পারে। ২০১৭ সালে Equifax এর কুখ্যাত ডেটা ব্রিচের পর প্রতিষ্ঠানটি NIST CSF গ্রহণ করে তাদের সাইবার নিরাপত্তা কাঠামো পুনর্গঠন করে। তারা প্রথমে একটি Current Profile তৈরি করে যা তাদের তৎকালীন অবস্থা প্রতিফলিত করে, তারপর Target Profile নির্ধারণ করে যা তাদের কাঙ্ক্ষিত নিরাপত্তা পরিপক্কতা স্তর নির্দেশ করে। এই দুই Profile এর মধ্যে Gap Analysis করে তারা একটি Roadmap তৈরি করে।

মার্কিন যুক্তরাষ্ট্রের একটি বৃহৎ আর্থিক প্রতিষ্ঠান JPMorgan Chase NIST Framework ব্যবহার করে তাদের সাইবার ঝুঁকি ব্যবস্থাপনা কাঠামো গড়ে তুলেছে। তারা Identify ফাংশনের আওতায় Continuous Asset Discovery বাস্তবায়ন করেছে, যেখানে প্রতিদিন নতুন সংযুক্ত ডিভাইস স্বয়ংক্রিয়ভাবে শনাক্ত ও শ্রেণীবদ্ধ করা হয়। Protect ফাংশনের অধীনে Zero Trust Architecture প্রতিষ্ঠা করেছে।

বাংলাদেশের প্রেক্ষাপটে চিন্তা করলে, একটি স্থানীয় ব্যাংক NIST Framework কীভাবে প্রয়োগ করতে পারে তা দেখা যাক। প্রথমে Govern ফাংশনের আওতায় বোর্ড অফ ডিরেক্টরসের অনুমোদিত একটি Cybersecurity Policy তৈরি করা হবে। তারপর Identify ফাংশনে সমস্ত Critical Systems যেমন Core Banking System, Mobile Banking Application, ATM Network ইত্যাদির Asset Inventory প্রস্তুত করা হবে।

Protect ফাংশনে Multi-Factor Authentication, Endpoint Detection and Response (EDR), Network Segmentation এবং Data Encryption প্রয়োগ করা হবে। Detect ফাংশনে Security Information and Event Management (SIEM) সিস্টেম মোতায়েন করা হবে যা ২৪/৭ পর্যবেক্ষণ নিশ্চিত করবে।

Respond ফাংশনে একটি Computer Security Incident Response Team (CSIRT) গঠন করা হবে এবং নিয়মিত Tabletop Exercise পরিচালনা করা হবে। Recover ফাংশনে Disaster Recovery Site এবং Business Continuity Plan সক্রিয় রাখা হবে।

Healthcare খাতে NIST Framework এর প্রয়োগ আরও জটিল। যুক্তরাষ্ট্রের Anthem Inc. ৭৮ মিলিয়ন রোগীর ডেটা ব্রিচের পর NIST CSF গ্রহণ করে তাদের নিরাপত্তা ব্যবস্থা পুনর্গঠন করে। তারা HIPAA এর সাথে NIST CSF কে সমন্বিত করে একটি সম্মিলিত কাঠামো তৈরি করেছে।

Manufacturing সেক্টরেও NIST Framework ব্যাপকভাবে প্রয়োগ হচ্ছে। Operational Technology (OT) এবং Information Technology (IT) এর সংযোগস্থলে যে ঝুঁকি তৈরি হয়, NIST CSF সেগুলো ব্যবস্থাপনায় কার্যকর। NIST SP 800-82 বিশেষভাবে Industrial Control Systems এর জন্য নির্দেশনা প্রদান করে।

Cloud Computing পরিবেশে NIST Framework প্রয়োগের জন্য NIST SP 800-144 এবং NIST SP 800-145 অতিরিক্ত নির্দেশনা প্রদান করে। AWS, Azure এবং Google Cloud তিনটি ক্লাউড প্রোভাইডারই NIST CSF এর সাথে তাদের সেবা মানানসই করেছে।

NIST Framework এর সফল বাস্তবায়নের জন্য একটি ধাপে ধাপে পদ্ধতি অনুসরণ করা প্রয়োজন। প্রথম ধাপ হলো Prioritize and Scope, যেখানে প্রতিষ্ঠান তার ব্যবসায়িক উদ্দেশ্য এবং উচ্চ-স্তরের সাংগঠনিক অগ্রাধিকার চিহ্নিত করে। কোন সিস্টেম এবং সম্পদ ফ্রেমওয়ার্কের আওতাভুক্ত হবে তা নির্ধারণ করা হয়।

দ্বিতীয় ধাপ Orient এ প্রতিষ্ঠান নিয়ন্ত্রক প্রয়োজনীয়তা, সামগ্রিক ঝুঁকি পদ্ধতি এবং হুমকির পরিবেশ সম্পর্কে সচেতন হয়। তৃতীয় ধাপে Create a Current Profile তৈরি করা হয়, যা প্রতিষ্ঠানের বর্তমান সাইবার নিরাপত্তা অবস্থা প্রতিফলিত করে।

চতুর্থ ধাপে Conduct a Risk Assessment করা হয়। এখানে NIST SP 800-30 এর নির্দেশনা অনুসরণ করে Threat, Vulnerability এবং Likelihood বিশ্লেষণ করা হয়। Risk Matrix ব্যবহার করে প্রতিটি ঝুঁকি High, Medium বা Low হিসেবে শ্রেণীবদ্ধ করা হয়।

পঞ্চম ধাপে Create a Target Profile তৈরি করা হয়। এটি প্রতিষ্ঠানের কাঙ্ক্ষিত সাইবার নিরাপত্তা অবস্থা নির্দেশ করে। ষষ্ঠ ধাপে Determine, Analyze, and Prioritize Gaps করা হয়, যেখানে Current এবং Target Profile এর মধ্যে পার্থক্য বিশ্লেষণ করা হয়।

সপ্তম ও সর্বশেষ ধাপে Implement Action Plan বাস্তবায়ন করা হয়। এই পরিকল্পনায় নির্দিষ্ট সময়সীমা, দায়িত্বশীল ব্যক্তি এবং প্রয়োজনীয় সম্পদ উল্লেখ থাকে।

Implementation Tiers এর সঠিক ব্যবহার অত্যন্ত গুরুত্বপূর্ণ। Tier 1 (Partial) এ ঝুঁকি ব্যবস্থাপনা অপ্রাতিষ্ঠানিক এবং কেস-ভিত্তিক। Tier 2 (Risk Informed) এ ঝুঁকি ব্যবস্থাপনা অনুমোদিত কিন্তু প্রাতিষ্ঠানিকভাবে প্রতিষ্ঠিত নয়। Tier 3 (Repeatable) এ আনুষ্ঠানিক নীতি এবং প্রক্রিয়া রয়েছে। Tier 4 (Adaptive) এ প্রতিষ্ঠান অতীত ঘটনা থেকে শিখে এবং ক্রমাগত উন্নতি করে।

প্রতিষ্ঠানগুলোর জন্য কিছু গুরুত্বপূর্ণ পরামর্শ রয়েছে। প্রথমত, সিনিয়র ম্যানেজমেন্টের সক্রিয় সমর্থন অপরিহার্য। CEO এবং Board of Directors এর জড়িত থাকা ফ্রেমওয়ার্কের সফলতা নিশ্চিত করে।

দ্বিতীয়ত, একটি ক্রস-ফাংশনাল টিম গঠন করতে হবে যেখানে IT, Security, Legal, HR, Finance এবং Business Operations এর প্রতিনিধি থাকবে। সাইবার নিরাপত্তা শুধু IT এর দায়িত্ব নয়, এটি একটি প্রাতিষ্ঠানিক বিষয়।

তৃতীয়ত, Continuous Improvement এর মানসিকতা গড়ে তুলতে হবে। NIST CSF একটি স্ট্যাটিক চেকলিস্ট নয়, বরং একটি গতিশীল কাঠামো যা পরিবর্তনশীল হুমকির সাথে মানিয়ে চলে।

চতুর্থত, প্রশিক্ষণ এবং সচেতনতার উপর জোর দিতে হবে। কর্মীরা সাইবার নিরাপত্তার সবচেয়ে দুর্বল লিংক হতে পারে। নিয়মিত Awareness Training এবং Simulated Phishing Exercise কার্যকর।

পঞ্চমত, Metrics এবং Key Performance Indicators (KPI) নির্ধারণ করতে হবে। Mean Time to Detect (MTTD), Mean Time to Respond (MTTR), Number of Incidents, Patch Compliance Rate ইত্যাদি মেট্রিক ব্যবহার করে কর্মক্ষমতা পরিমাপ করা যায়।

ষষ্ঠত, Third-Party Risk Management এর উপর বিশেষ মনোযোগ দিতে হবে। Supply Chain Attack এর সংখ্যা দিন দিন বাড়ছে। NIST SP 800-161 এ Supply Chain Risk Management এর বিস্তারিত নির্দেশনা রয়েছে।

সপ্তমত, Documentation এবং Evidence সংরক্ষণ করতে হবে। Audit এবং Compliance এর সময় এই ডকুমেন্টেশন অত্যন্ত প্রয়োজনীয়।

NIST Framework কে অন্যান্য মানদণ্ডের সাথে সমন্বয় করা যেতে পারে। ISO 27001, COBIT, CIS Controls এর সাথে NIST CSF এর সমন্বয় বেশ ভালো। NIST নিজেই Informative References প্রদান করে যা এই সমন্বয় সহজ করে।

ছোট ও মাঝারি প্রতিষ্ঠানের জন্য NIST IR 7621 (Small Business Information Security: The Fundamentals) একটি সরলীকৃত গাইড প্রদান করে। সম্পূর্ণ NIST CSF বাস্তবায়ন না করেও মৌলিক নিরাপত্তা স্তর অর্জন করা সম্ভব।

বাংলাদেশের প্রেক্ষাপটে Bangladesh Bank এর Guidelines on ICT Security এর সাথে NIST CSF এর অনেক মিল রয়েছে। উভয়ই Risk-Based Approach অনুসরণ করে। বাংলাদেশী আর্থিক প্রতিষ্ঠানগুলো NIST CSF বাস্তবায়ন করে স্থানীয় নিয়ন্ত্রক প্রয়োজনীয়তা পূরণের পাশাপাশি আন্তর্জাতিক মানদণ্ড অর্জন করতে পারে।

স্বয়ংক্রিয়করণ NIST CSF বাস্তবায়নের একটি গুরুত্বপূর্ণ দিক। বিভিন্ন Governance, Risk, and Compliance (GRC) প্ল্যাটফর্ম যেমন RSA Archer, ServiceNow GRC, MetricStream NIST CSF এর সাথে পূর্ব-কনফিগার্ড টেমপ্লেট প্রদান করে।