Bir grup sohbetine bir gazetecinin kazara dahil edilmesiyle tetiklenen sinyal mesajlaşma platformu aracılığıyla son zamanlarda hassas ABD askeri operasyonları sızıntısı, birçok kuruluşta temel ve genellikle göz ardı edilen bir kırılganlığın altını çiziyor: insanlar. Özellikle, bir kuruluş içinde veya bitişik ancak standart işe alım ve eğitim süreçlerinin dışında kalan bireyler.
Bu, özellikle geleneksel çalışan olarak muamele görmeyen milletvekilleri, yerel otorite figürleri, mütevelli heyetleri ve merkezi hükümet yetkilileri olan çok çeşitli bireyler bulduğunuz kamu sektöründe geçerlidir. Sonuç olarak, genellikle resmi işe alım ve farkındalık programlarından çıkarılırlar. Bir başka risk altındaki grup, meşru erişime sahip ancak sınırlı bilgi güvenliği eğitimine sahip olabilecek geçici işçiler, yükleniciler ve stajyerleri içerir.
Devlet sekreterleri gibi güç pozisyonlarında olanların “daha iyi bilmesi” gerektiğini söylemek kolaydır. Ancak bu, ilk etapta herhangi bir temel bilgi güvenliği eğitimi aldıklarını varsayar. Sonuçta politikacılar siber güvenlik uzmanları değildir; Bunlar, genellikle riske maruz kalmadan, etki pozisyonlarına ulaşmış halka açık figürlerdir. Ve yine de, düzenli olarak en hassas ve yüksek değerli bilgilerden bazılarını ele alıyorlar.
Buna ek olarak, hassas belgeleri kişisel cihazlara aktarmaktan ve potansiyel olarak ulusal güvenlik sırlarını ortaya çıkarmaktan suçlu bulunan GCHQ’ya yerleştirme konusundaki son bir üniversite öğrencisini düşünün. Bir veterinerlik sürecine girmesine rağmen, öğrenci böyle bir ortamda beklenen operasyonel sınırları ve bilgi işleme protokollerini tam olarak kavradı. Bu, sinyal sızıntısında vurgulanan sorunu yansıtır: stajyerler, yükleniciler, milletvekilleri ve mütevelliler gibi standart istihdam yapılarının dışındaki bireylerin bilgi güvenliği yönetişimi söz konusu olduğunda genellikle gri bölgelerde faaliyet göstermeleri. Meşru erişime sahip olabilirler, ancak özel eğitim ve bağlamsal rehberlik olmadan, yanlışlıkla içeriden tehditler haline gelebilirler.
O halde CISOS için zorluk açıktır: Geleneksel eğitim yollarından ulaşılması zor olan insanlar arasında bir güvenlik bilinci kültürü nasıl yerleştiriyorsunuz?
Cevap dil ve alaka düzeyinde yatmaktadır. Üst düzey liderler zamandan fakir ve gol güdümlüdür. Güvenlik mesajları yankılanacaksa, uyum kontrol listeleri ve jargon yerine risk, itibar ve liderlik sorumluluğu etrafında çerçevelenmiş iş açısından uyarlanmalıdır. Güvenliğin bir BT sorunu olarak değil, liderlik zorunluluğu olarak konumlandırılması gerekir.
Sinyal sızıntısından bir başka önemli paket, iletişim araçlarını açıkça yasaklamanın boşluğudur. WhatsApp, Signal ve Telegram gibi platformlar doğal olarak güvensiz değildir; Aslında, sağlam şifreleme ve yaygın kullanılabilirlik sunarlar. Sorun araç değil, kullanımı etrafındaki yönetişim.
Kuruluşlar, bu araçları ortadan kaldırmak için kaybeden bir savaşla mücadele etmek yerine, bunları modern iletişim manzarasının bir parçası olarak kabul etmeli ve bunları resmi iletişim politikalarına entegre etmelidir. Bu, onaylanmış kullanımı zorunlu kılmak, hangi tür bilgilerin bu tür platformlar üzerinde paylaşılabileceği ve net bir şekilde paylaşılamayacağı ve açık bir şekilde tanımlanamayan denetim ve elde tutma politikalarının uygulanması anlamına gelir.
Nihayetinde, en iyi uygulama şimdi, onları yönetişim, eğitim ve hesap verebilirliğe sararken insanların gerçekte kullandıkları araçları benimsemek anlamına geliyor. Ayrıca, güvenlik çevresini, hassas verilere erişimi olan tüm paydaşları içerecek şekilde genişletmek anlamına gelir-sadece tam zamanlı çalışanlar değil.
Sinyal sızıntısı, insan faktörleri göz ardı edildiğinde en güvenli platformların bile güvenlik açıkları haline gelebileceğini hatırlatır. CISOS için, bu olay, özellikle en üstteki kişiler için yerleşik, eğitim ve iletişim protokollerini yeniden değerlendirmek için bir katalizör olmalıdır.