Bir eon önce gibi görünüyor, ancak en iyi ABD savunma yetkilileri, yaklaşan bir ABD askeri operasyonu hakkında iletişim kurmak için sinyal mesajlaşma platformunu kullandıktan ve grup sohbetine yanlışlıkla bir gazeteci ekledikten sonra sadece birkaç hafta geçti. Ve daha sonra ABD Savunma Sekreteri’nin karısı, erkek kardeşi ve kişisel avukatı ile hassas askeri bilgileri paylaşmak için sinyal kullanmış olabileceği konusunda haber verdi. Cisos bu potansiyel olarak ölümcül hatadan ne öğrenebilir ve iletişimi güvence altına alırken en iyi uygulama nasıl görünüyor?
Olaylar, veri güvenliğinin önemini vurguladı: hassas bilgileri güvenli ve kötü aktörlerin elinden uzak tutmak, özellikle çok tehlikede olduğunda. Veri güvenliği ilk prensiplerini takip etmenin önemini göstermektedir. Temel Veri Güvenliği Birinci İlkeler gizlilik (verileri yetkisiz açıklamadan korumak), bütünlük (yetkisiz değişiklikten elde edilen verileri korumak) ve kullanılabilirliktir (gerektiğinde verilerin yetkili kullanıcılar için kullanılabilir olmasını sağlamak). Gizlilikten veri kaybı önleme ve içeriden gelen riske girerek, temel sorun “verileri tutmaktır”.
Veriler “Signalgate” bölümünde çıktı ve haberler, korunan bilgilerin neyin korunması gereken olayı ortaya çıkardı; Askeri sırlar ve operasyonel detaylar, görev güvenliğini tehlikeye atabilir ve hizmet üyelerinin yaşamlarını riske atabilir. CISO bakış açısından, bir yöneticiden çok farklı olmayan bir veri sızıntısı olayını, yanlışlıkla, fikri mülkiyet, yaklaşan finansal sonuçlar veya bekleyen birleşme veya satın alma işlemine değinen bir elektronik konuşma da dahil olmak üzere gizli bilgilere, gelir elde edilen alıcıların dışında paylaşılırsa yansıtmalara sahip olmayı da temsil eder.
CISO için, hassas veri kaybı bölümleri itibar, finansal, yasal ve düzenleyici sonuçlara sahip olabilir. CISOS’un veri sızıntısı savunmalarına ve içeriden gelen risk koruma programlarına sahip olması gerekir, böylece “Bu uzlaşmayı neden durdurmadık?” Sorusunu cevaplayabilirler.
Açık politikalar ve iyi güvenlik farkındalığı eğitimi oluşturmak ve uygulamak
ABD Savunma Bakanlığı’nın sinyali kullanma konusunda kuralları vardır (TLDR: DoD Memo, hassas bilgileri içeren resmi işler için kişisel hesapların veya uygulamaların kullanılmasını yasaklar), ancak görünüşe göre Savunma Sekreteri kendisine sunulan güvenli iletişim araçlarından birini kullanmamaya karar verdi. Ayrıca, sohbetteki bazı katılımcıların seyahat ettikleri ve farklı ağlar kullanırken getirebileceği maruziyetler de dahil olmak üzere bazı risklerinden habersiz olabilir.
Kuruluşların, bu politikaları teyit etmek için açık politikalar oluşturması, en üstten iletişim kurması ve ekiplerin politikaları emdiğinden ve siber güvenlik risklerini tanıması ve gezinmesinden emin olmak için güvenlik bilinci eğitimini dahil etmeleri gerekir.
Güvenlik politikaları oluşturmanın büyük bir nedeni, veri sızıntısını önlemektir. Geçirgen kurumsal ağ çevreleri ve işçiler tarafından kullanılan çeşitli cihazlar göz önüne alındığında, işletmelerin veri güvenliği politikaları oluşturması ve uygulanması gerekir.
Sağlıklı bir güvenlik kültürü geliştirmek
Herkesin neyin uygun ve uygunsuz olduğunu bilmesini sağlamak için politikalara ihtiyaç vardır, ancak liderliğin bu politikaları günlük olarak güçlendirmesi gerekir. Eğer bir lider konuşmayı yürümezse, bu, politikaları ciddiye almaları gerekmediğini organizasyona işaret eder (pun’u affedin). Ortaya çıkan eksik güvenlik kültürü, bilgi güvenliğine gevşek yaklaşım hassas verilerin kaybına yol açtığında bir kuruluşa mal olacak.
II. Dünya Savaşı sırasında ABD’de “gevşek dudaklar lavabo gemileri” propaganda kampanyası savunma endüstrileri için bir güvenlik kültürü kurdu ve sürdürdü. İnsanlar sağlıklı bir güvenlik kültürü nedeniyle ciddiye aldı. Liderlik görmüyorlarsa, çalışanların dahili veri güvenliği kampanyaları ve politikalarında sırıtmaları muhtemeldir.
Mevcut ve ortaya çıkan potansiyel veri kaybı vektörleri arasında DLP
Güvenlik ekiplerinin veri kaybı önleme stratejileri aracılığıyla düşünmeleri ve çevrelerine uygun kontrolleri dağıtmaları gerekir. Bu genellikle e -posta, uç noktalar ve mesajlaşma uygulamaları (Slack, ekipler, vb.) Ve üretken AI (Genai) altyapısı gibi vektörler arasındaki çözümler anlamına gelir. Bu vektörlerin bazıları iyi bilinse de, Genai Uygulamaları ve Ajan AI gibi diğerleri hala ortaya çıkmaktadır.
CISOS, Genai’nin büyük dil modelleri (LLM’ler) ve gelişmekte olan ajanik AI dağıtımları ile gelen yeni kayıp vektörlerini dikkate almalıdır. Hassas işletme verileri, potansiyel bir veri sızıntısıyla sonuçlanan bir modeli yanlışlıkla eğitebilir veya bir çalışan bir genai isteminde hassas verileri kullanabilir. Ve yeterli güvenlik kontrolleri olmadan, yeni bir AI ajanı veri kaybı ve sahtekarlık için bir vektör olabilir.
CISOS, bazı yeni Genai uygulamalarını ve AI ajanlarının güvenli bir şekilde sunulmasını sağlamak için iş kollarıyla işbirliği yaparak oyunun önüne geçmelidir.
Signal gibi şifreli platformlar güvenli midir?
Her platformun güvenlik nüansları vardır, ancak sinyal kendini mobil cihazlar için sağlam, uçtan uca şifreli bir iletişim platformu olduğunu göstermiştir. Sinyal ekibi, platformlarının güvenliğini sağlamada gayretli olmuştur. Sinyal kişisel iletişim içindir ve sinyal için DLP çözümü yoktur. Bir uç nokta güvenlik açısından, mesaj gönderme veya alma uç nokta tehlikeye atılırsa, iletişim tehlikeye girebilir. Ve eğer birisi yanlışlıkla bir sohbette yanlış partiyi içeriyorsa, bu iletişim de tehlikeye girer (yukarıdaki Signalgate yorumlarına bakın).
Kendi ‘Signalgate’ bölümlerinde gezinen Cisos, mevcut politikalar ve teknolojiler göz önüne alındığında veri kaybı ve içeriden gelen risk programları üzerindeki sınırlamaları iletmelidir. Yöneticiler (veya işgücünün diğer üyeleri) kişisel cihazlarında DLP teknolojilerine izin vermiyorsa, aşağı yönlü uzlaşma riski artar.