Vlada Singapura mora shvatiti da je ljudska pogreška također kršenje sigurnosti

Nedavna povreda podataka istaknula je potrebu da singapurska vlada shvati da su ljudske pogreške kibernetička sigurnost rizici kojima se treba pozabaviti, a ne jednostavno odbaciti ih kao pogreške koje nose malu prijetnju organizaciji mreža. Incident razotkriva način razmišljanja u javnom sektoru koji će, ako ga se pusti, izložiti građane većem riziku i narušiti povjerenje javnosti u sposobnost vlade da zaštiti njihove osobne podatke.

Prošli tjedan, mapa koja sadrži "nenamjerno" su poslani osobni podaci 6.541 osobe putem e-pošte na nekoliko strana, prema Singapurskoj računovodstvenoj komisiji (SAC), zakonskom tijelu pri Ministarstvu financija. Pogreška je otkrivena samo nekoliko mjeseci nakon što je poslana prva e-pošta, kada je u listopadu implementiran alat za zaštitu e-pošte

kao dio raspoređivanja na razini cijele vlade-- pokrenuo upozorenje. Incident je razotkrio osobne podatke poput imena, matičnog broja, datuma rođenja i podataka o zaposlenju.

Podaci su poslani u više poruka e-pošte između 12. lipnja i 22. listopada ove godine u 22 organizacije, sve od kojih je kasnije zatraženo da izbrišu mapu s podacima kao i da utvrde je li mapa proslijeđena drugima stranke. SAC, međutim, nije otkrio jesu li i koliko druge strane dobile te podatke ili im pristupile.

Upitan o daljnjoj sanaciji jer je incident naglašen kao sigurnosni rizik, izvršni direktor SAC-a Evan Law rekao je ZDNet u e-poruci: "Slanje ove administrativne e-pošte nije sigurnosni rizik jer je osoblje greškom priložilo podatke datoteka."

Upitan koliko napora povjerenstvo ulaže kako bi utvrdilo jesu li osobni podaci objavljeni online ili prodani na dark webu, Law je odgovorio da svi primarni i sekundarni primatelji već su dali službenu izjavu SAC-u putem e-pošte, navodeći da su izbrisali mapu i da nisu proslijedili mapa.

Nije izravno komentirao istražuje li povjerenstvo kako bi utvrdilo da podaci nisu objavljeni na internetu.

Odgovor SAC-a je zbunjujući. To nije se ispričao za incident, izražavajući samo "duboko žaljenje" zbog "pogreške". I osim što su jurili za pisanim izjavama 22 organizacije koje su izjavile da su, i tko god da su proslijedili e-poštu do, izbrisala mapu, čini se da komisija nije poduzela nikakve dodatne korake kako bi osigurala da je curenje podataka u potpunosti sadržano.

Sigurno je naivno sa strane SAC-a pretpostaviti da je situacija pod kontrolom samo zato što su se 22 organizacije u pisanim izjavama zaklele da su poslušno izbrisale ugrožene podatke? Koliko je zapravo teško zadužiti IT administratora da provjeri jesu li podaci objavljeni online? Ili angažirati sigurnosnog savjetnika da pretraži mračni web kako bi osigurao sigurnost podataka?

Što je još važnije, prije nego što odbace pogreške koje je napravio čovjek kao da "nisu sigurnosni rizik", organizacije poput SAC-a moraju razmotriti statistiku.

"Nenamjerna" kršenja uzrokovana ljudskom pogreškom i greškama u sustavu činila su 49% povreda podataka, prema IBM Sigurnosno izvješće proveo Institut Ponemon, koji je procijenio da samo ljudske pogreške koštaju tvrtke 3,5 milijuna dolara.

Zapravo, prodavač kibernetičke sigurnosti Kaspersky opisao je zaposlenike kao veliku rupu u borbi organizacije protiv cyber napada. Nekih 52% smatra svoje osoblje najvećim slabost u IT sigurnosti, gdje njihove nepažljive radnje ugrožavaju sigurnosnu strategiju tvrtke.

Dodano je da je 47% poduzeća najviše zabrinuto zbog dijeljenja neprikladnih podataka zaposlenika putem mobilnih uređaja, dok je nemarno ili neinformirano osoblje bilo drugi najvjerojatniji uzrok ozbiljne povrede sigurnosti - odmah iza malware. Otprilike 46% kibersigurnosnih incidenata u prošloj godini pripisano je nemarnom ili neinformiranom osoblju.

Kaspersky je nadalje opisao ljudsku pogrešku osoblja kao "vektor napada" kojem su tvrtke postale žrtve.

Prema istraživanju Kaspersky i B2B International, 52% poduzeća priznaje da su zaposlenici njihovi najveća IT sigurnosna slabost, s neopreznim radnjama ili nedostatkom znanja koji ugrožavaju korporativnu IT sigurnost strategija.

Ured povjerenika za informacije Ujedinjenog Kraljevstva (ICO) također je otkrio da je u posljednje dvije godine 88% povreda podataka u zemlji uzrokovano ljudskom pogreškom.

Osim toga, 60% povreda osobnih podataka prijavljenih ICO-u u prvih šest mjeseci ove godine uzrokovano je ljudskim djelovanjem pogreške, od kojih je 43% bilo zbog netočnog otkrivanja, a 20% je bilo rezultat slanja ili faksiranja podataka netočnoj primatelj. Dodatnih 18% bilo je zbog toga što je netko poslao podatke e-poštom netočnim primateljima ili nije koristio Bcc, prema dobavljaču sigurnosnih podataka Izlaz.

Nemojte samo pričati

Singapurska vlada ranije ovog tjedna obećala je usvojiti nove mjere za jačanje svoje kibernetičke sigurnosti držanje i poboljšati način na koji štiti javne podatke.

Kažu da su proveli osam mjeseci u inspekciji 336 sustava u sve 94 vladine agencije i da su izgledali najbolje međunarodne prakse sigurnosti podataka u financijskom i zdravstvenom sektoru, u osmišljavanju novog mjere. Oni su uključivali alat za zaštitu e-pošte koji je na kraju upozorio SAC na lažnu mapu podataka.

Ostale mjere uključivale su potrebu za "uvođenjem kulture izvrsnosti" oko dijeljenja i sigurnog korištenja podataka među vladinih agencija, kao i poboljšati odgovornost i transparentnost sigurnosti podataka javnog sektora režim.

Ali nije dovoljno jednostavno reći prave riječi, formirati prave odbore i uspostaviti pravi okvir i politike. Svi smo čuli da je rečeno mnogo puta: snažna strategija kibernetičke sigurnosti ne bi trebala obuhvaćati samo pravu tehnologiju, procese i politike. Također zahtijeva od zaposlenika da usvoje ispravan način razmišljanja i povećanu svijest o tome zašto se čak i najjednostavnija pogreška može pokazati katastrofalnom za njihovu organizaciju.

Za početak, SAC je trebao biti susretljiviji i otkriti točan broj primatelja--osim 22 organizacije--koji su primili e-poštu koja sadrži mapu. Imena svih primatelja također su trebala biti javna. To bi stvorilo dodatni pritisak na te organizacije i pojedince da osiguraju da su podaci točni uklonjeni iz njihova posjeda kao i iz ruku bilo koga drugoga kome su ga mogli proslijediti podatak.

Potvrđujući nove mjere sigurnosti podataka za javni sektor, singapurski premijer Lee Hsien Loong je rekao: "Kao čuvar goleme količine podataka, vlada preuzima veliku odgovornost ozbiljno. Moramo dati sve od sebe kako bismo smanjili rizik od povrede podataka. U isto vrijeme, kada se takva kršenja dogode, bitno je da ih brzo otkrijemo i učinkovito reagiramo kako bismo ograničili kršenje i umanjili nanesenu štetu."

Nadam se da to znači da sve agencije, uključujući SAC, shvaćaju kako bi se trebale nositi s budućim sigurnosnim propustima ili rizikom narušavanja povjerenja javnosti u vladu koja vjeruje da pristup podaci su bitni u sposobnosti organizacije da inovira i prilagodi usluge i procese. Inače bi sljedeća "nenamjerna pogreška" mogla rezultirati povredom podataka koja bi utjecala više od samo 1,5 milijuna Singapuraca.

POVEZANO POKRIVANJE

• Sigurnosni propust otkriva osobne podatke 6500 singapurskih računovođa
  
• Singapur hvali otvorene platforme u pokretanju pametne nacije, priznaje potrebu za boljom sigurnošću
• Singapurski javni sektor usvojit će nove mjere za pooštravanje sigurnosti podataka
• Singapur uspostavlja odbor za reviziju sigurnosti podataka javnog sektora, ali čvrsto stoji na izuzeću PDPA
  
• Singapurski javni sektor izvijestio je o još jednom sigurnosnom propustu
  
• Singapur ažurira smjernice o obavijesti o povredi podataka i odgovornosti
• Singapur trpi 'najozbiljniju' povredu podataka, koja utječe na 1,5 milijuna zdravstvenih pacijenata, uključujući premijera
• Singapur se nada da će obučiti službenike za zaštitu podataka okvirom obuke
  
• Državni sustavi Singapura još uvijek imaju slabe IT kontrole