Procjena informacija o američkim vojnim operacijama izazvala je veliki politički incident u martu 2025. godine. Sigurnosni istraživački tank smatra šta CISOS mogu naučiti iz ove potencijalno fatalne greške.
Od
- Aditya K Soud, Aryaka
Objavljeno: 06. maja 2025. godine
Incident curenja signala u kojem je novinar nenamjerno dodao u grupni razgovor koji raspravlja o klasificiranim američkim vojnim operacijama – podvlači hladnoću istinu: čak i najsigurnije platforme su ranjive na ljudsku grešku. Ovo nije bio slom za šifriranje ili nulta eksploata. Bila je to jednostavna, sve-previše ljudska greška sa potencijalno pogubnim posljedicama; Stark podsjetnik na visoke uloge uključene u cyber sigurnost.
Da li su šifrirane platforme poput sigurnosnog signala?
S obzirom na dizajn aplikacije za razmjenu poruka signala i svojstvene sigurnosne kontrole, odgovor je da. Šifrirane platforme za razmjenu poruka tehnički su zvučni, nudeći vrhunsku enkripciju krajnjeg do kraja. Međutim, šifriranje nije zamjena za prosudbu ili proces. Ovi alati su ranjivi na zloupotrebu i zloupotrebu ako nedostaju kontekstualno upravljanje i korisnička disciplina. Pretpostavka koja osigurava alati osiguravaju sigurnu komunikaciju opasno zabludu. Ljudska greška – misadreziranje poruka, mismonacioni pristup ili nerazumijevanje konteksta – može u potpunosti podnijeti čak i najjače sigurnosne okvire. Čak i najbolji primjeri sigurnog dizajna mogu propasti kada dodate ljude. Alati se rijetko razbijaju, ali povjerenje i kontrola oko njih često rade.
Razmislite o ovom slučaju studij oprez i poziv na akciju. Greške su neizbježne, ali sustavi se mogu dizajnirati da otkrije i minimiziraju utjecaj tih grešaka. Sigurnost komunikacije mora biti prezračena kao izazov usmjerena na ljudsku sredinu, gdje se tehničke kontrole nadopunjuju kulturnim promjenama i operativnim mjerama zaštite. Profesionalci cyber sigurnosti koji žele oblikovati pristup sigurnost u središtu sigurnost trebali bi imati na umu sljedeće načele.
- Ljudska greška uvijek trube enkripciju: Bez obzira na to koliko je snažan kriptografski protokoli ili kako osigurati platformu za razmjenu poruka, jedan pogrešan tester – poput dodavanja pogrešnog sudionika osjetljive grupne chat-mogu učiniti sve tehničke zaštitne mjere beskorisne. Šifriranje osigurava podatke u mirovanju i u tranzitu, ali ne može spriječiti korisnika od nenamjernog dijeljenja podataka s neovlaštenom osobom. Najslabija veza nije algoritam, već čovjek koji ga upravlja.
- Sigurna platforma ne odgovara sigurnom provođenju politike: Koristeći sigurnu platformu poput signala ne izjednačava se sa sigurnom komunikacijskom politikom – platforma ≠ politika. Iako signal pruža snažne značajke šifriranja i privatnosti, ne može provesti organizacijska pravila, upravljati osjetljivošću na informaciju ili spriječiti zloupotrebu pouzdanih korisnika. Sigurnost nije ugrađena u alat, ali u tome kako se koristi, upravlja i nadgleda. Bez jasnih politika u vezi sa upravljanjem grupnim upravljanjem, povezivanjem sudionika, klasifikacija diskusije i odgovornosti korisnika, čak i najsigurnije platforme mogu postati vektori za slučajne ili zlonamjerne curenja.
- Metapodaci je skriveni rizik: Čak i kada je sadržaj poruke šifriran, metapodaci su još uvijek važni – i mogu biti opasno otkrivajući. Metapodaci uključuju ko komunicira, kada, koliko često i odakle. U kontekstu curenja signala, dok su poruke možda zaštićene, specifični obrasci sudionika u komunikaciji mogu imati izložene osjetljive operativne uvide. Negativači mogu iskoristiti metapodatke za mape mreže, zaključivanje odnosa, pronalaženja aktivnosti aktivnosti ili vremenski osjetljive radnje bez dešifriranja jedne riječi.
- Nula-Trust se odnosi i na komunikacije: Zero-Trust se često primjenjuje na mreže, identitete i krajnje točke, ali u današnjem prijetnjoj pejzažu također se mora proširiti i na komunikacije. Samo zato što se poruka šalje unutar šifrirane aplikacije ne znači da je primalac verificiran, prikladan ili čak ovlašten za primanje te informacije. U slučaju curenja signala, kršenje se nije dogodilo tehničkim kompromisom – dogodilo se jer je pretpostavljeno povjerenje pogrešno postavljeno. Primjena principa nula povjerenja u komunikacije znači provjeru sigurnosnog položaja u svakom sigurnosnom položaju učesnika, kontrolirajući pristup dinamički, revizijsku grupu aktivnosti i kontinuirano provjeru identiteta i konteksta.
Postavljanje praktičnih granica
Sigurnost se ne zaustavlja u algoritmu; Mora obuhvaćati ponašanje, politiku i granice povjerenja. Postoje praktični koraci, Cisow može poduzeti za ublažavanje ljudskih faktora:
- Implementirajte interne komunikacijske aplikacije ili učvršćene verzije aplikacija sličnih signala pod kontroliranom infrastrukturom
- Segment komunikacije po nivou klasifikacije, poput operativnog, strateškog ili povjerljivog, za ograničavanje vlasnika grupe da dodaju učesnike izvan provjerenog korisničkog imenika
- Koristite AI nadgledanje za otkrivanje anomalija u grupnoj formiranju ili protoku poruke
- Provedite obuku koja ugradi “poverenje, ali potvrđuje” navike simulirajući kršenjem za poboljšanje ponašanja pod stresom
- Usvojiti kontrole koje minimiziraju izloženost metapodataka, ograničenje grupne vidljivosti i anonimni ili obuzdavanje komunikacijskih obrazaca kad god je to moguće.
Cisos se moraju premjestiti iz osiguranja alata za osiguranje ponašanja. Izgradnja tehničkog povjerenja je korak, a stvaranje kulture sigurno komunikacije sada je korak nula. Dodavanje ovog koraka je ključ za ublažavanje ljudskih sretnih rizika u platformi za razmjenu poruka.
Aditya K Sood je potpredsjednik sigurnosnog inženjerstva i AI strategije u ARYAKA.