Siber güvenlik profesyonelleri olarak, bir gazeteci yanlışlıkla üst düzey bir grup sohbetine eklendikten sonra Amerikan askeri operasyonlarının sınıflandırılmış detayları sinyal yoluyla sızdırıldığı için geçen ay kolektif korku izledik.
Ama bu aksilikleri incelemeden önce, hemen bir şeyi temizleyelim – sinyal başarısız olmadı. Şifreleme mükemmel çalıştı. Güvenlik özellikleri tam olarak tasarlandığı gibi gerçekleştirildi. Bu teknik bir ihlal değildi – klasik bir insan hatası durumuydu.
Güvenlik sahte pasının anatomisi
Üst düzey bir hükümet yetkilisi, hassas operasyonları tartışmak için bir sinyal grubu oluşturur. Katılımcıları eklerken yanlış teması seçerler – bir subay yerine bir gazeteci. Yaklaşık 18 saat boyunca, sınıflandırılmış bilgiler herkes fark etmeden önce serbestçe akar. O zamana kadar, ekran görüntüleri alınır ve meşhur kedi sadece çanta dışında değil, aynı zamanda manşetler yapıyor.
Bu olay, hiçbiri Signal’ın gerçek güvenlik yeteneklerini içermeyen mükemmel bir güvenlik başarısızlığı fırtınası sergiliyor. Sanki birisi halka açık bir parkta çok gizli bir toplantıya ev sahipliği yapmaya karar verdi çünkü konferans salonu çok uzaktı.
CISOS için Dersler: Kendi SignalGate’inizden Kaçınma
1. Gölge Kurumsal dünyanın sonucudur.
Her zaman geri dönecek. Güvenli sistemleriniz bir tuğla duvar kadar kullanıcı dostu ise, insanlar genellikle güvenlik kontrolleri üzerinde kullanılabilirliğe öncelik veren tüketici sınıfı araçları içeren geçici çözümler bulacaktır.
2. Cihaz ayrımı: Artık sadece hapishaneler için değil.
Kişisel cihazlar ve sınıflandırılmış bilgiler mümkün olduğunca uzak olmalıdır. Kurumsal cihazlarda katı kontroller uygulayın. Bu sadece veri sızıntısını önlemekle ilgili değil; Farklı güvenlik alanları arasında net sınırları korumakla ilgilidir.
3. Kullanıcı Arayüzü (UI): Güzel düğmelerden daha fazlası.
Kullanıcı arayüzü tehlikeli eylemleri zorlaştırmalı ve net görsel farklılaşma sağlamalıdır. Hükümet sistemleri genellikle bir nedenden dolayı tıknaz görünüyor – onay ekranları ve görsel ipuçları yoluyla hataları önlemek için tasarlanmıştır. Sistemlerinizin tıknaz olması gerekmez, ancak anlamlı afişler veya müdahaleler eklemek ihtiyacınız olan şey olabilir. Bir okul bölgesinde hız çarpmalarına sahip olmak gibi; Bazen insanları yavaşlatmak mesele.
4. Eğitim: “Neden” “ne” kadar önemlidir.
İnsanlara gizli operasyonları kişisel cihazlardaki tartışmamalarını açıkça söylemek yeterli değildir. İnsanların eylemlerinin potansiyel sonuçlarını anlamaları gerekir. Birine sıcak bir sobaya dokunmamasını söylemek ve neden acı vereceğini açıklamak arasındaki farktır. Unutmayın, insanların farkında oldukları için, umursadıkları anlamına gelmez.
Sinyal hala güvenli mi?
Kesinlikle. Sinyal, mevcut en güvenli mesajlaşma platformlarından biri olmaya devam etmektedir. Sorun sinyal değildi; Nasıl kullanılıyordu. Bir ferrari’ye bir karavan otostop gibi – teknik olarak mümkün, ama noktayı tamamen kaçırmak.
Güvenli iletişim için en iyi uygulamalar
Son derece hassas iletişim için:
1. Tüketici uygulamaları değil, amaca yönelik sistemleri kullanın.
2. Resmi erişim kontrolleri uygulayın.
3. Özel cihazları dağıtın.
4. Görsel farklılaşma ve zamanında müdahaleler yaratın.
5. Yeni katılımcılar eklemek için onay prosedürlerini uygulayın.
Genel iş iletişimi için:
1. Araç kullanımı hakkında açık politikalar oluşturun.
2. Net adlandırma kurallarına sahip farklı gruplar oluşturun.
3. Düzenli güvenlik denetimleri uygulayın.
4. Mesajlaşma platformlarının kurumsal sürümlerini kullanın.
5. Kullanıcıları güvenli iletişim uygulamaları konusunda düzenli olarak eğitin.
İnsan faktörünü yönetmek
Bu olay hakkında özellikle sinir bozucu olan, ne kadar öngörülebilir olduğudur. Güvenlik uzmanları yıllardır bu senaryolar hakkında uyarı yapıyorlar. On yıldır yapım aşamasında olan yavaş çekimli bir araba kazasını izlemek gibi.
Unutmayın, güvenlik sadece mükemmel bir teknoloji değil; Bu, insan davranışını anlamak ve onunla birlikte çalışan sistemleri tasarlamakla ilgilidir. Bu olay sinyalin güvensiz olmasından kaynaklanmadı. İnsanların insan olmasından, iş için yanlış araçların kullanılması ve güvenlik konusunda rahatlık önceliklendiren bir kültürden kaynaklanmıştır.
Sonunda, dünyanın en sofistike güvenlik sistemi insan hatasıyla geri alınabilir. Bu yüzden teknolojiyi, süreçleri ve insan doğasıyla çalışma arzusunu harmanlayan katmanlı bir yaklaşıma ihtiyaç vardır – buna karşı değil.
Javvad Malik, Knowbe4’te Baş Güvenlik Farkındalık Avukatı