حادثة تسرب الإشارة التي تمت فيها إضافة الصحفي عن غير قصد إلى دردشة جماعية مناقشة العمليات العسكرية الأمريكية المصنفة – يؤكد حقيقة تقشعر لها الأبدان: حتى المنصات الأكثر أمانًا معرضة للخطأ البشري. لم يكن هذا انهيارًا في التشفير أو استغلال يوم صفر. لقد كان خطأ بسيطًا ، مع عواقب وخيمة محتملة ؛ تذكير صارخ للمخاطر العالية التي تنطوي عليها الأمن السيبراني.
هل منصات مشفرة مثل Signal Safe؟
النظر في تصميم تطبيق مراسلة الإشارة وضوابط الأمن الكامنة ، الجواب نعم. منصات الرسائل المشفرة سليمة من الناحية الفنية ، حيث تقدم تشفيرًا من طرف إلى طرف. ومع ذلك ، فإن التشفير ليس بديلاً عن الحكم أو العملية. هذه الأدوات عرضة لسوء الاستخدام وإساءة الاستخدام إذا كانت الحوكمة السياقية وانضباط المستخدم غير موجودة. الافتراض أن الأدوات الآمنة تضمن التواصل الآمن مضلل بشكل خطير. يمكن أن يؤدي الخطأ البشري – الرسائل التي تسيء إساءة استخدام الرسائل أو سوء الوصول إلى سياق سوء فهم – إلى تقويض أطر الأمن الأقوى. حتى أفضل الأمثلة على التصميم الآمن يمكن أن تفشل عند إضافة البشر. نادراً ما تنكسر الأدوات ، لكن الثقة والسيطرة من حولها غالباً ما تفعل.
النظر في دراسة الحالة هذه حذر ودعوة للعمل. الأخطاء أمر لا مفر منه ، ولكن يمكن تصميم الأنظمة لاكتشاف وتقليل تأثير تلك الأخطاء. يجب إعادة صياغة أمان الاتصالات كتحدي يركز على الإنسان ، حيث يتم استكمال الضوابط الفنية بالتغيير الثقافي والضمان التشغيلي. يجب على أخصائيي الأمن السيبراني الذين يرغبون في تشكيل نهج يركز على الإنسان للأمن وضع المبادئ التالية في الاعتبار.
- الخطأ البشري يتفوق دائمًا على التشفير: بغض النظر عن مدى قوة بروتوكولات التشفير أو مدى تأمين منصة المراسلة ، يمكن أن يكون هناك خطأ فني – مثل إضافة المشارك الخطأ إلى الدردشة الجماعية الحساسة – يجعل جميع الضمانات التقنية عديمة الفائدة. يقوم التشفير بتأمين البيانات في الراحة وفي العبور ولكن لا يمكنه منع المستخدم من مشاركة تلك البيانات عن غير قصد مع شخص غير مصرح به. الأضعف رابط ليس الخوارزمية ولكن الإنسان يشغلها.
- منصة آمنة لا تساوي إنفاذ السياسة الآمن: لا يعادل استخدام منصة آمنة مثل Signal وجود سياسة اتصال آمنة – منصة ≠. بينما توفر الإشارة ميزات تشفير وخصوصية قوية ، لا يمكنها فرض القواعد التنظيمية أو إدارة حساسية المعلومات أو منع سوء الاستخدام من قبل المستخدمين الموثوق بهم. الأمن ليس مضمنًا في الأداة ، ولكن في كيفية استخدامه ومحكمه ومراقبته. بدون سياسات واضحة فيما يتعلق بإدارة المجموعة ، وفحص المشاركين ، وتصنيف المناقشة ، ومساءلة المستخدم ، يمكن أن تصبح المنصات الأكثر أمانًا متجهات للتسربات العرضية أو الضارة.
- البيانات الوصفية هي خطر خفي: حتى عندما يتم تشفير محتوى الرسائل ، لا تزال البيانات الوصفية مهمة – ويمكن أن تكشف بشكل خطير. تتضمن البيانات الوصفية من الذي يتواصل ، ومتى ، وكم مرة ومن أين. في سياق تسرب الإشارة ، في حين أن الرسائل قد تكون محمية ، فقد تكون أنماط المشاركين المحددة في الاتصال قد تعرضت رؤى تشغيلية حساسة. يمكن للخصوم استغلال البيانات الوصفية لرسم خريطة الشبكات أو استنتاج العلاقات أو تتبع أنماط النشاط أو الإجراءات الحساسة للوقت دون فك تشفير كلمة واحدة.
- ينطبق ثقة الصفر على الاتصالات أيضًا: غالبًا ما يتم تطبيق ثقة الصفر على الشبكات والهويات ونقاط النهاية ولكن في مشهد التهديد اليوم ، يجب أن يمتد أيضًا إلى الاتصالات. لمجرد إرسال رسالة داخل تطبيق مشفر لا يعني أن المستلم يتم التحقق منه أو مناسبًا أو حتى معتمدًا لتلقي هذه المعلومات. في حالة تسرب الإشارة ، لم يحدث الخرق من خلال التسوية التقنية – لقد حدث ذلك لأن الثقة المفترضة كانت في غير محله. يعني تطبيق مبادئ الثقة الصفرية على الاتصالات التحقق من وضع أمان كل جهاز مشارك ، والتحكم في الوصول ديناميكيًا ، ومراجعة نشاط المجموعة والتحقق من التحقق من الهوية والسياق بشكل مستمر.
تحديد الحدود العملية
الأمن لا يتوقف عند الخوارزمية. يجب أن تشمل السلوك والسياسة والثقة. هناك خطوات عملية يمكن أن تتخذها CISOW لتخفيف العوامل البشرية:
- قم بتنفيذ تطبيقات الاتصال الداخلية فقط أو إصدارات صلبة من التطبيقات الشبيهة بالإشارة تحت البنية التحتية الخاضعة للرقابة
- اتصالات القطاع حسب مستوى التصنيف ، مثل التشغيلية أو الاستراتيجية أو السرية ، لتقييد مالكي المجموعات من إضافة مشاركين خارج دليل مستخدم تم التحقق منه
- استخدم المراقبة المستندة إلى الذكاء الاصطناعى للكشف عن الحالات الشاذة في تكوين المجموعة أو تدفق الرسائل
- إجراء التدريب الذي يدمج “الثقة ولكن التحقق” عادات من خلال محاكاة الانتهاكات لتحسين السلوك تحت الضغط
- اعتماد الضوابط التي تقلل من التعرض للبيانات الوصفية ، والحد من رؤية المجموعة ونطق أنماط الاتصال أو التغلب عليها كلما أمكن ذلك.
يجب أن تنتقل CISO من تأمين الأدوات إلى تأمين السلوكيات. بناء الثقة التقنية هو الخطوة الأولى ، وخلق ثقافة التواصل الآمن هو الآن الخطوة صفر. إضافة هذه الخطوة هي المفتاح لتخفيف المخاطر التي تركز على الإنسان في منصات المراسلة.
Aditya K Sood هي نائبة رئيس هندسة الأمن واستراتيجية الذكاء الاصطناعي في أرياكا.
اقرأ المزيد عن أمان تطبيق الويب
