Kao stručnjaci Cyber sigurnosti, gledali smo u kolektivnom hororu prošlog mjeseca kao klasificirani detalji američke vojne operacije procurile su putem signala nakon što je novinar pogrešno dodao grupni chat na visokoj razini.
Ali prije nego što se osetimo ovaj mishap, hajde da očisti nešto odmah – signal nije propao. Šifriranje je savršeno funkcioniralo. Sigurnosne karakteristike izvedene su točno tako dizajnirane. To nije bilo tehničko kršenje – bio je to klasičan slučaj ljudske greške.
Anatomija sigurnosti Faux Pas
Vladin zvaničnik na visokom nivou stvara signalnu grupu za raspravu o osjetljivim operacijama. Kada dodajete učesnike, oni odaberu pogrešan kontakt – novinara umjesto kolege. Već skoro 18 sati, klasificirani podaci slobodno teku prije nego što bilo ko bilježe. Do tada uzimaju se snimke zaslona, a poslovična mačka nije samo iz torbe – izrađuje naslove.
Ovaj incident prikazuje savršenu oluju neuspjeha sigurnosti, od kojih nijedna ne uključuje stvarne sigurnosne mogućnosti signala. Kao da je netko odlučio da u javnom parku bude domaćin u javnom parku, jer je konferencijska sala bila predaleko.
Lekcije za Cisos: Izbjegavanje vlastiti signalgate
1. Sjena, to je terminator korporativnog svijeta.
Uvek će se vratiti. Ako su vaši sigurni sustavi kao korisni korisnike kao zid od opeke, ljudi će pronaći Wallrounds – obično uključuju alate za potrošačke razrede koji daju prioritet upotrebljivost zbog sigurnosnih kontrola.
2. Segregacija uređaja: ne samo za zatvore.
Osobni uređaji i klasificirane informacije trebaju biti što se više mogu više razdvojiti. Provedite stroge kontrole na korporativnim uređajima. Ne radi se samo o sprečavanju curenja podataka; Riječ je o održavanju jasnih granica između različitih sigurnosnih domena.
3. Korisničko sučelje (UI): više od lijepih tipki.
Ui bi trebalo teško napraviti opasne radnje i pružiti jasnu vizuelnu diferencijaciju. Vladini sustavi često izgledaju zbunjujuće s razlogom – dizajnirani su za sprečavanje grešaka putem ekrana za potvrdu i vizualne znakove. Vaši sustavi ne moraju biti zvani, ali dodavanje smislenih banera ili intervencija mogu biti ono što vam treba. To je poput brzine udara u školskoj zoni; Ponekad je usporavanje ljudi dolje.
4. Obuka: “Zašto” je važan kao i “šta”.
Jednostavno govoreći ljudima da ne razgovaraju o klasificiranim operacijama na ličnim uređajima jasno nije dovoljno. Ljudi trebaju razumjeti potencijalne posljedice svojih postupaka. To je razlika između nekom da netko ne dira vruću štednjaku i objašnjava zašto će povrijediti. Zapamtite, samo zato što su ljudi svjesni, ne znači da im je stalo.
Je li signal još uvijek siguran?
Apsolutno. Signal ostaje jedna od najsigurnijih dostupnih platformi za razmjenu poruka. Problem nije bio signal; Kako se to koristilo. To je poput spajanja karavana do Ferrarija – tehnički je moguć, ali u potpunosti nedostaje poantu.
Najbolje prakse za sigurne komunikacije
Za visoko osetljive komunikacije:
1 Koristite namjenu izgrađene sisteme, a ne potrošačke aplikacije.
2. Provedite formalne kontrole pristupa.
3. Instalirajte namjenske uređaje.
4. Stvorite vizuelnu diferencijaciju i pravovremene intervencije.
5. Implementirati potvrdne postupke za dodavanje novih sudionika.
Za opće poslovne komunikacije:
1. Uspostavite jasne politike o korištenju alata.
2. Stvorite različite grupe sa jasnim konvencijama za imenovanje.
3. Implementirajte redovne sigurnosne revizije.
4 Koristite verzije poduzeća platformi za razmjenu poruka.
5. Trenirajte korisnike redovno o sigurnim komunikacijskim praksama.
Upravljanje ljudskim faktorom
Ono što posebno frustriraju u ovom incidentu je to kako je to predvidljivo. Sigurnosni profesionalci upozoravaju na ove scenarije godinama. To je poput gledanja u sudara za usporenu kretanju koji je u izradi decenije.
Zapamtite, sigurnost nije samo savršena tehnologija; Radi se o razumijevanju ljudskih ponašanja i dizajniranja sistema koji rade s tim, a ne protiv njega. Ovaj incident nije bio uzrokovan nesigurnom signalom. Natjerali su ga ljudi koji su ljudski, koristeći pogrešne alate za posao i kulturu koja je prioritetno praktičnost nad sigurnošću.
Na kraju, najsofisticiraniji sigurnosni sustav na svijetu može se poništiti po ljudskoj grešci. Zbog čega je potreban slojeviti pristup koji spaja tehnologiju, procese i želju za radom s ljudskom prirodom – ne protiv njega.
Javvad Malik je vodeći zagovor o sigurnosnoj svijesti o tome na knowbe4