كمحترفين في الأمن السيبراني ، شاهدنا في الرعب الجماعي الشهر الماضي حيث تم تسريب تفاصيل سرية للعمليات العسكرية الأمريكية عن طريق الإشارة بعد إضافة صحفي عن طريق الخطأ إلى دردشة جماعية رفيعة المستوى.
ولكن قبل تشريح هذا الحادث ، دعنا نلطاء شيئًا ما على الفور – لم تفشل الإشارة. عمل التشفير تماما. ميزات الأمان التي تم تنفيذها بالضبط كما تم تصميمها. لم يكن هذا خرقًا تقنيًا – لقد كانت حالة كلاسيكية من الخطأ البشري.
تشريح الأمن فو PAS
يخلق مسؤول حكومي رفيع المستوى مجموعة إشارة لمناقشة العمليات الحساسة. عند إضافة المشاركين ، يختارون الاتصال الخطأ – صحفي بدلاً من زميل ضابط. لمدة 18 ساعة تقريبًا ، تتدفق المعلومات المصنفة بحرية قبل أن يلاحظ أي شخص. بحلول ذلك الوقت ، يتم التقاط لقطات الشاشة ، والقط المثل ليس فقط خارج الحقيبة – فهي تصدر عناوين الصحف.
يعرض هذا الحادث عاصفة مثالية لفشل الأمن ، لا يتضمن أي منها إمكانيات الأمن الفعلية لـ Signal. يبدو الأمر كما لو أن شخصًا ما قرر استضافة اجتماع سري في حديقة عامة لأن قاعة المؤتمرات كانت بعيدة جدًا.
دروس لـ CISO: تجنب الإشارة الخاصة بك
1. الظل هو المنهي عالم الشركات.
سوف يعود دائما. إذا كانت أنظمتك الآمنة سهلة الاستخدام مثل جدار من الطوب ، فسيجد الأشخاص حلولًا-عادةً ما تتضمن أدوات من فئة المستهلك التي تعطي الأولوية لضوابط الأمان.
2. فصل الجهاز: ليس فقط للسجون بعد الآن.
يجب أن تكون الأجهزة الشخصية والمعلومات المصنفة متباعدة قدر الإمكان. تنفيذ ضوابط صارمة على أجهزة الشركات. لا يتعلق الأمر بمنع تسرب البيانات فقط ؛ يتعلق الأمر بالحفاظ على حدود واضحة بين مجالات الأمان المختلفة.
3. واجهة المستخدم (UI): أكثر من مجرد أزرار جميلة.
يجب أن تجعل واجهة المستخدم أفعالًا خطيرة صعبة وتوفر تمايزًا بصريًا واضحًا. غالبًا ما تبدو الأنظمة الحكومية مجزأة لسبب ما – فهي مصممة لمنع الأخطاء من خلال شاشات التأكيد والإشارات المرئية. لا تحتاج أنظمتك إلى أن تكون صاخبة ، ولكن إضافة لافتات أو تدخلات ذات معنى يمكن أن تكون ما تحتاجه. إنه مثل وجود نتوءات السرعة في منطقة المدرسة ؛ في بعض الأحيان ، فإن إبطاء الناس هو النقطة.
4. التدريب: “لماذا” لا يقل أهمية عن “ماذا”.
ببساطة إخبار الناس بعدم مناقشة العمليات المبوبة على الأجهزة الشخصية بوضوح لا يكفي. يحتاج الناس إلى فهم العواقب المحتملة لأفعالهم. إنه الفرق بين إخبار شخص ما بعدم لمس موقد ساخن وشرح سبب تأذيه. تذكر ، فقط لأن الناس على دراية ، لا يعني أنهم يهتمون.
هل الإشارة لا تزال آمنة؟
قطعاً. تظل الإشارة واحدة من أكثر منصات المراسلة أمانًا المتاحة. المشكلة لم تكن إشارة. كان كيف تم استخدامه. إنه مثل وضع قافلة إلى فيراري – ممكن من الناحية الفنية ، ولكن في عداد المفقودين هذه النقطة تمامًا.
أفضل الممارسات للاتصالات الآمنة
للاتصالات الحساسة للغاية:
1. استخدم الأنظمة المصممة لهذا الغرض ، وليس تطبيقات المستهلك.
2. تنفيذ عناصر التحكم في الوصول الرسمي.
3. نشر الأجهزة المخصصة.
4. إنشاء التمايز البصري والتدخلات في الوقت المناسب.
5. تنفيذ إجراءات التأكيد لإضافة مشاركين جدد.
للاتصالات التجارية العامة:
1. وضع سياسات واضحة حول استخدام الأدوات.
2. إنشاء مجموعات مميزة مع اتفاقيات تسمية واضحة.
3. تنفيذ عمليات تدقيق الأمن العادية.
4. استخدم إصدارات المؤسسة من منصات المراسلة.
5. تدريب المستخدمين بانتظام على ممارسات الاتصال الآمنة.
إدارة العامل البشري
ما هو محبط بشكل خاص في هذا الحادث هو مدى التنبؤ به. لقد تحذر أخصائيو الأمن من هذه السيناريوهات لسنوات. إنه يشبه مشاهدة حادث سيارة بطيئة الحركة كان في وضع العقد.
تذكر أن الأمن لا يتعلق بالتكنولوجيا المثالية فقط ؛ يتعلق الأمر بفهم السلوك البشري وتصميم الأنظمة التي تعمل معها ، وليس ضدها. لم يكن سبب هذا الحادث هو الإشارة غير الآمنة. كان سبب ذلك هو أن يكون البشر إنسانًا ، وذلك باستخدام الأدوات الخاطئة للوظيفة ، وثقافة أعطت أولوية الراحة على الأمن.
في النهاية ، يمكن التراجع عن نظام الأمن الأكثر تطوراً في العالم عن طريق الخطأ البشري. وهذا هو السبب في حاجة إلى نهج الطبقات الذي يمزج بين التكنولوجيا والعمليات والرغبة في العمل مع الطبيعة البشرية – وليس ضدها.
Javvad Malik هو محامي التوعية الأمنية في knowbe4
