Procjena informacija o američkim vojnim operacijama izazvala je veliki politički incident u martu 2025. godine. Sigurnosni istraživački tank smatra šta CISOS mogu naučiti iz ove potencijalno fatalne greške.
Od
- Mike Gillespie i Ellie Hurst, Advent im
Objavljeno: 29. maja 2025. godine
Nedavno curenje osjetljivih američkih vojnih operacija putem platforme za razmjenu signalnih poruka, pokrenuto slučajno uključivanje novinara u grupni chat, naglašava temeljnu i često zanemarivu ranjivost u mnogim organizacijama: ljudi. Konkretno, pojedinci koji djeluju unutar ili susjedni u organizaciju, ali spadaju izvan standardnih procesa na brodu i obuku.
To je posebno istinito u javnom sektoru, gdje nađete širok niz pojedinaca s visokim pristupom osjetljivim podacima: zastupnici, lokalne vlasti, povjerenika i službenici središnje vlade, koji se često ne tretiraju kao tradicionalni zaposlenici. Kao rezultat toga, često su isključeni iz formalnog ugrađenih i programa podizanja svijesti. Još jedna grupa u riziku uključuje privremene radnike, izvođače i stažiste, koji mogu imati legitimni pristup, ali ograničeno sigurnosno obrazovanje.
Lako je reći da bi oni na položajima moći, poput državnih sekretara, trebali “znati bolje”. Ali to pretpostavlja da su u prvom redu imali bilo kakvu obuku o sigurnosti podataka o informaciji. Političari, na kraju krajeva, nisu cyber sigurnosni stručnjaci; Oni su javne ličnosti koji su postigli položaje utjecaja, često bez strukturirane izloženosti riziku. Pa ipak, oni redovno rješavaju neke od najosjetljivijih i visokih podataka.
Pored toga, razmotrite nedavni slučaj univerzitetskog studenta na plasmanu na GCHQ, koji se krivio krivim za prenošenje osjetljivih dokumenata na lične uređaje i potencijalno izlaganje tajne nacionalne sigurnosti. Uprkos provedbi procesu provjere, student je nedostajao potpuni shvatanje operativnih granica i protokola za rukovanje informacijama koji se očekuju u takvom okruženju. Ovo ogledalo je pitanje istaknuto u curenju signala: da pojedinci izvan standardnih struktura za zapošljavanje poput stažista, izvođača, zastupnika i poverenika, često djeluju u sivim zonama kada su u pitanju upravljanje informacijskom sigurnošću. Oni mogu imati legitimni pristup, ali bez prilagođenog obrazovanja i kontekstualne smjernice, mogu nehotice postati insajderne prijetnje.
Izazov za Cisos, tada je jasan: Kako ugradite kulturu sigurnosne svijesti ljudi koji su teško doći do tradicionalnih ruta za obuku?
Odgovor leži na jeziku i relevantnosti. Stariji čelnici su loše i vođeni i gol. Ako su sigurnosne poruke da se odjeknu, moraju biti prilagođeni poslovnim uvjetima, uokvirenim oko rizika, reputacije i odgovornosti za liderstvo, a ne za kontrolne liste za usklađivanje i žargon. Sigurnost treba biti postavljena kao to pitanje, već kao vođstvo imperativ.
Još jedna ključna kažnjavanje iz curenja signala je uzaludnost zabrambene komunikacijske alate. Platforme poput Whatsapp, signala i telegrama nisu inherentno nesigurne; U stvari, oni nude robusnu šifriranje i široku upotrebljivost. Problem nije alat, već upravljanje oko njene upotrebe.
Umjesto da se bori protiv gubitne bitke za uklanjanje ovih alata, organizacije ih trebaju prihvatiti kao dio modernih komunikacijskih krajolika i integrirati ih u formalne politike COMS-a. To znači da je na osnovu odobrenja korištenja, primjena revizijske i zadržavanje politike u kojima je izvedivo i jasno definiranje koje vrste informacija mogu, a ne mogu se podijeliti na takve platforme.
U konačnici, najbolja praksa sada znači da prihvataju alate koje ljudi zapravo koriste, dok ih se omotavaju u upravljanju, obrazovanje i odgovornost. Također znači proširenje sigurnosnog perimetra kako bi se uključio sve dionike sa pristupom osjetljivim podacima – ne samo zaposleni sa punim radnim vremenom.
Propuštanje signala je Stark podsjetnik da čak i najsigurnije platforme mogu postati ranjivosti kada se zanemaruju ljudski faktori. Za Cisos, ovaj incident bi trebao biti katalizator za ponovno procijenjenost na brodu, obrazovanju i komunikacijskim protokolima, posebno za one na samom vrhu.