بعد أسابيع منSignalGateفضيحة ، والمشاكل التي تعرضها مسؤولو البيت الأبيض يستخدمون خدمات المراسلة المشفرة غير الحكومية أكبر بكثير من تطبيق واحد أو مسؤول واحد. من الأهمية بمكان بالنسبة لقادة أي عملية ، أو قطاع عام أو خاص ، تطبيق أفضل ممارسات الأمن بشكل مستمر.
لم يتم الإدلاء ببيان عام حول تحسين بروتوكولات الأمن. بدلاً من ذلك ، يمكن للجمهور رؤية أن القادة لن يتحملوا المسؤولية.
سلسلة مستمرة من الأخطاء لا تعني أي عملية
مستشار الأمن القومي الأمريكي ارتكب مايك والتز أول خطأ في إضافة الصحفي الذين لم يكن لديهم حاجة لمعرفة ما الذي تمت مناقشته في دردشة الإشارة غير المضمونة.
وزير الدفاع الأمريكي ارتكب بيت هيغسيث الخطأ الثاني لنشر المعلومات المصنفة دون الحصول على التحقق ، تم التصريح للصحفي وكان هناك حاجة إلى معرفة المعلومات المصنفة.
كل شخص آخر في الدردشة ، بما في ذلك مسؤولون على مستوى مجلس الوزراء مثل نائب الرئيس JD Vance ، ارتكبوا الأخطاء الثالثة والمستمرة في عدم القيام بأي شيء حتى بعد القصة الأولية اندلعت.
قد تكون الولايات المتحدة وحلفاؤها محظوظين لأن خصومهم لم يتمكنوا من التنازل عن الخطط العسكرية الأمريكية في ذلك الأسبوع ، ولكن ما تم اختراقه هو أن الحلفاء الأمريكيين الثقة مع نظرائهم الأمن القومي.
هذا ليس بعض الإحراج السياسي العشوائي. إنها دراسة حالة في كيفية انهيار الأمن عندما تتعامل القيادة للقواعد الأساسية على أنها اختيارية. إذا لم يقم قادة الأمن القومي بنمذجة الانضباط ، فكيف يمكن توقع أي شخص آخر في النظام؟
العمليات والأدوات ليست كافية
بصفتي محترفًا معتمدًا من أمن أنظمة المعلومات (CISSP) و COO لدعم أمن المعلومات لشركات متعددة ، فقد رأيت عن كثب أن التشفير والسياسات المنشورة ليست كافية.
لم يحدث تسرب Waltz-Hegseth ، وهو إهانة لمهنة الأمن بأكملها ، بسبب سوء التكنولوجيا. الإشارة ممتازة عند استخدامها بشكل صحيح. منصات الاتصالات الآمنة ، مثل مرافق المعلومات المقصورة (SCIFs) ، موجودة بالفعل داخل الحكومة. فكيف حدثت هذه الفضيحة؟ تعتمد الممارسات الآمنة على الثقافة. يتم تعيين الثقافة في الأعلى. أعطى الفالس ، هيغسيث ، وغيرهم الأولوية للراحة على المسؤولية. لقد اعتقدوا أن القواعد موجودة لأشخاص آخرين.
نفس الشيء توجد مخاطر في القطاع الخاص. في مجال التمويل والرعاية الصحية والدفاع ، يمكن للبروتوكول المدير التنفيذي للتجاهل التنازل عن منظمة بأكملها ، خاصة إذا كان آخرون يعتقدون أن البروتوكول اختياري.
ثقافة الأمن المستمرة ضرورية
الدروس من فضيحة الإشارة واضحة:
• استخدم الأدوات الآمنة والمصرح بها التقييمات المستمرة التي أجراها أخصائيو أمان الطرف الثالث الموثوق بهم.
• لا تشارك أبدًا المعلومات المصنفة خارج شبكات الفحص ، وتأكد فقط من هم الذين يحتاجون إلى معرفتهم هم قادرون على رؤية مثل هذه المعلومات.
• تصعيد الانتهاكات وتطبيق عواقب الخرق على قدم المساواة مع عدم وجود استثناءات للعنوان أو الترتيب.
• العمل مع ودعم القيادة لتنفيذ أفضل الممارسات الأمنية في جميع العمليات ، وليس فقط سائقي الإيرادات الواضحة.
• تدريب القادة والمساهمين على حد سواء لتحديد أولويات الأمن السيبراني وتحديث الدروس بشكل مستمر ، وليس التعامل معها على أنها أوراق الامتثال.
الفشل في الأعلى لا تبقى معزولة. إنهم يآكلون المعايير عبر المؤسسات ويشيرون إلى خصوم أنه يمكنهم متابعة المنظمات التي تفتقر إلى النضج اللازم للتعامل مع المعلومات الحساسة. نحن ندخل نموذجًا جديدًا حيث ستصبح التهديدات مؤتمتة بالكامل واستخدام الذكاء الاصطناعى ، قادرين على الاستفادة من هجمات الهندسة الاجتماعية على نطاق واسع مع القليل من الجهد.
يبدأ الأمن بالقيادة ، وليس التكنولوجيا. عندما تصبح القواعد اختيارية لأولئك المسؤولين ، فإن النظام يتعرض للخطر بالفعل.
