Sophos ආයතනයේ 2026 වාර්තාවට අනුව, සමීක්ෂණයට ලක් කළ ආයතනවලින් 71%කටම පසුගිය වසරේදී අවම වශයෙන් එක් වරක් හෝ සයිබර් ප්රහාර එල්ල වී ඇති බව තහවුරු වී ඇත. එමෙන්ම, එල්ල වූ Ransomware දත්ත පැහැරගැනීමේ ප්රහාරවලින් 67%කටම මුල් වී ඇත්තේ ඔවුන්ගේ ගිණුම් හෝ අනන්යතාවන් සොරකම් කිරීමයි. සේවකයින් අතින් සිදුවන වැරදි සහ AI තාක්ෂණයේ දියුණුවත් සමඟ පද්ධති තුළ ස්වයංක්රීයව නිර්මාණය වන ගිණුම් නිසි ලෙස පාලනය නොකිරීම මීට හේතු වී ඇත. මෙම ප්රහාර නිසා පද්ධති යථා තත්ත්වයට පත් කිරීම සඳහා සාමාන්යයෙන් ඇමරිකානු ඩොලර් මිලියන 1.64ක පමණ විශාල පිරිවැයක් දැරීමට සිදු වන බව පවසා සිටියි.
Sophos ආයතනයේ ප්රධාන තොරතුරු ආරක්ෂණ නිලධාරී Ross McKerchar මහතා මේ සම්බන්ධයෙන් අදහස් දක්වමින් පවසා සිටියේ “වත්මන් සයිබර් ආරක්ෂණ ක්ෂේත්රය තුල ප්රහාරකයින්ගේ ප්රධාන ඉලක්කය වන්නේ පරිශීලක ගිණුම් හා අනන්යතාවන් සොරකම් කිරීමයි. බොහෝ ආයතන මේ වන විට සයිබර් ආරක්ෂාව අතින් සුවිසල් පසුබෑමකට ලක්ව සිටින බව මෙම දත්ත වලින් මනාව පෙනී යනවා. මෙහි non-human identity පිළිබඳ ගැටලුව ඉතා විශේෂ වනවා. මෙම තත්වය කලින් හඳුනාගෙන පාලනය කිරීමට අපොහොසත් වන ආයතනවලට හෙට දවසේදී එම ආරක්ෂණ හිඩැස පියවීම සඳහා ඉතා විශාල පිරිවැයක් දැරීමට සිදු වනවා.” යනුවෙනි.
State of dentity Security 2026 වාර්තාවට අනුව, පසුගිය වසරේ ආයතනික අනන්යතා උල්ලංඝනයන්ගෙන් 49%ක් දත්ත සොරකම් කිරීමටත්, 48%ක් රැන්සම්වෙයාර් ප්රහාරවලටත් මග පාදා ඇත. කුඩා ආයතනවලින් 14%කට වැඩි ප්රමාණයක් ප්රහාර හඳුනා ගැනීමට අපොහොසත් වී ඇති අතර, බලශක්ති සහ රාජ්ය අංශ වැඩිම අවදානමකට ලක්ව ඇත.
සිදුවූ සයිබර් ප්රහාරවලින් 43%කටම හේතු වී ඇත්තේ සේවකයින් රවටා ඔවුන්ගේ මුරපද ලබාගැනීම වැනි මිනිස් අතපසුවීම්ය. එසේම, කේතයන් තුළ සුරක්ෂිත නොකර තබා ඇති API keys, වෙනස් නොකරන මුරපද සහ අතහැර දමා ඇති පද්ධති ගිණුම් වැනි orphaned service accounts නිසි ලෙස පාලනය නොකිරීම නිසා 41%ක ප්රහාර සිදු වී ඇත. මෙවැනි දුර්වල භ්යI පාලනයක් ඇති ආයතන, මූල්යමය සොරකම්වලට ලක්වීමේ ප්රවණතාව 22%කින් වැඩි අතර, පද්ධති යථා තත්ත්වයට පත් කිරීම සඳහා සාමාන්ය ආයතනයකට වඩා ඩොලර් 150,000ක් පමණ අමතර මුදලක් වැය කිරීමට සිදු වේ. මෙම NHI පාලන ගැටලුව AI නිසා තවත් දරුණු වෙමින් පවතී. AI පද්ධතිවලට මිනිස් අධීක්ෂණයකින් තොරව ස්වයංක්රීයව Sub-agents සෑදිය හැකි අතර, ඒවාට පද්ධති වෙත පිවිසීමට විශාල බලතල ද හිමි වේ. වත්මන් ආරක්ෂණ ක්රමවේද මෙයට ගැළපෙන සේ සකසා නැති අතර, දැනට ආයතන 3කින් 1ක් පමණක් මෙවැනි ගිණුම් නිරන්තරයෙන් පරීක්ෂා කරනු ලබයි. දිගින් දිගටම මේවා නිරීක්ෂණය කරන්නේ ආයතනවලින් 11%ක් වැනි සුළු පිරිසක් පමණි.
ගිණුම් ආශ්රිත අවදානම් අවම කර ගැනීමට උපදෙස්
මිනිස් හා මිනිස් නොවන අනන්යතාවන් දෙකම ආවරණය වන පරිදි Multi-Factor Authentication ක්රමවේදයක් භාවිත කළ යුතු වේ. ඒ සඳහා සියලු පරිශීලක ගිණුම් සඳහා Multi-Factor Authentication ආරක්ෂණ ක්රම අනිවාර්ය කිරීම, සේවකයකුට හෝ පද්ධතියකට අවශ්ය අවම බලතල පමණක් ලබා දීම, භාවිත නොකරන හෝ අක්රිය ගිණුම් පද්ධතියෙන් ඉවත් කිරීම වැනි දේ සිදු කළ හැකිය.
මිනිස් නොවන ගිණුම් ආරක්ෂා කිරීමට
මේ සඳහා සියලු පද්ධතිමය ගිණුම් ලේඛනගත කර වර්ගීකරණය කිරීම, කෙටි කාලයකින් කල් ඉකුත් වන තාවකාලික මුරපද භාවිත කිරීම, මුරපද සහ කේතයන් ආරක්ෂිතව කළමනාකරණය කිරීමට. ‘Secrets Management’ මෘදුකාංග භාවිත කිරීම සහ ITDR තාක්ෂණය හා ‘Zero Trust’ ආරක්ෂණ ආකෘතියක් භාවිත කිරීම සිදු කළ හැකිය.
