Скандал Signalgate, обрушившийся на министра обороны США, Питера Хэгсетта в марте, по мнению Сенатского комитета, является симптомом более широкой небрежной практики использования неодобренных мессенджеров чиновниками и сотрудниками.
В марте Комитет Сената по Вооруженным силам США начал изучать вопросы, возникшие в связи с инцидентом Signalgate: необходимость уточнения действующих правил использования “неконтролируемых” приложений и проверку того, соблюдал ли Хэгсетт эти правила при использовании Signal, свидетельствует ли его поведение о более широкой культуре небезопасного использования приложений в Министерстве обороны (DoD).
Недавние отчеты дали неоднозначную оценку этих вопросов. В целом, передача конфиденциальной информации через сторонние мессенджеры, обвиняемый в этом Хэгсетт, происходила в Министерстве обороны хотя бы с 2020 года, но в менее серьезных контекстах.
Это перекликается с проблемами, знакомыми многим предприятиям: несанкционированные или неконтролируемые мессенджеры, включая те, которые предлагают сквозное шифрование (E2EE), быстро превращаются в скрытые каналы связи, которые могут незаметно подорвать тщательно разработанные политики безопасности, соответствия требованиям и хранения данных.
Скрытые коммуникации
Первый отчет, посвященный использованию приложения Signal министром обороны для общения с высокопоставленными коллегами накануне военной операции против Йемена 15 марта, иллюстрирует этот тезис. В отчете подтверждается публичный факт того, что за два часа до рейда Хэгсетт сообщил детали операции группе Signal из 19 человек, включая журналиста, случайно добавленного в нее.
В связи с этим отчет констатирует, что он нарушил правила безопасности, отправив конфиденциальную информацию с личного устройства и используя неодобренное приложение Signal, что привело к раскрытию важных оперативных деталей до начала операции. В отчете уклоняются от вопроса о том, была ли эта информация классифицирована на момент отправки, отмечая, что Хэгсетт имел достаточный опыт, чтобы самостоятельно определить это.
Второй вспомогательный отчет выявил свидетельства более общей культуры скрытых коммуникаций в Министерстве обороны, включая широкое использование видеоконференцсвязи во время пандемии COVID-19.
Собранные доказательства скудны и частично зацензурированы, что затрудняет оценку серьезности каких-либо нарушений. Поскольку объем работы комитета был ограничен имеющимися данными предыдущих проверок, одной из его рекомендаций является проведение более всесторонней оценки использования несанкционированных приложений в Министерстве обороны. Возникает вопрос о том, насколько точно аудиты, проанализированные Сенатским комитетом, могут измерить нечто, что по своей природе скрыто и регистрируется только на личных устройствах.
Тем не менее, отчет утверждает, что есть уверенность в том, что действия Хэгсетта не были единичным случаем, отмечая, что сотрудники “использовали электронные системы обмена сообщениями, не контролируемые Министерством обороны, по ряду причин. Например, некоторые сотрудники использовали их из-за кажущейся безопасности этих систем. В результате сотрудники Министерства обороны увеличили риск раскрытия конфиденциальной информации своим противникам и не выполнили юридическое обязательство по хранению и сохранению официальных записей.”
Таким образом, хотя нет никаких доказательств того, что использование несанкционированных приложений является рутинным или нормой, вероятно, достаточное количество сотрудников используют их, чтобы в какой-то момент произошел серьезный прорыв. Отчет заключает, что одной из причин, по которой сотрудники прибегают к этим мессенджерам, является отсутствие удобных альтернатив. Рекомендуется разрабатывать одобренные приложения для устранения этой необходимости, внедрять программу обучения для обеспечения соблюдения существующих правил связи и ограничивать полномочия по использованию мессенджеров для старших сотрудников в определенных случаях.
Удивительно, что этот вопрос, с которым специалисты по информационной безопасности предприятий сталкиваются уже много лет, был поднят только после крупного политического скандала на государственном уровне: последствия BYOD, теневой IT (и теперь теневой ИИ), и неодобренных приложений, которые незаметно проникают в организации.
За последние два десятилетия распространение мобильных устройств, облачных технологий и приложений радикально децентрализовало ИТ в том виде, с которым традиционные иерархические модели управления не могут справиться. Тем временем, ничего не изменилось; приложение Signal, находящееся в центре этого скандала, остается чрезвычайно популярным как на одной, так и на другой стороне политического спектра, несмотря на появление дополнительных проблем с данной технологией.
Автор – John E. Dunn
