Hindistan Hükümeti Gizli Bilgi Güvenliği Kılavuzu Sızdırıldı • Kayıt

0

Hindistan hükümeti geçen hafta, 30 milyondan fazla çalışanını daha iyi çalışma uygulamalarını benimsemeye çağıran gizli bilgiler için güvenlik yönergeleri yayınladı – ve sanki bunu kanıtlamak istercesine, belge bir hükümet web sitesine hızla sızdırıldı.

Belge ve içerdiği eylemler, bilgi güvenliğinin Hindistan hükümet sektörü genelinde biraz gevşek olabileceğini gösteriyor.

Belge, “BİT’in benimsenmesi ve kullanımının artması, yerel olarak uygun siber güvenlik uygulamalarının izlenmemesi nedeniyle hükümet için saldırı yüzeyini ve tehdit algısını artırdı.”

“Siber güvenlik perspektifinden devlet çalışanları ve sözleşmeli/dış kaynaklı kaynaklar arasında ne yapılması ve ne yapılmaması gerektiği konusunda farkındalık ve farkındalık yaratmak için bu yönergeler bir araya getirildi.”

İronik olarak, belge neden gerekli olduğunu kanıtlıyor. “Kısıtlı” olarak ve yalnızca Hindistan devlet kurumları ve bakanlıkları dahilinde erişim için işaretlenmiş olsa da – ve belgeyi gönderenlerin “erişim kapsamı dışında kasıtlı veya kazara erişimi engelleyerek bu erişim hakkına saygı duymaları gerektiği” konusunda bir uyarı da dahil olmak üzere – kayıt defteri çok az çabayla bir Hindistan hükümetinin web sitesinde bulabildi.

Bunu oraya kim gönderdiyse, muhtemelen belgeyi tekrar okuması gerekiyor. İçerdiği talimatlardan biri şudur: “Gizli bilgileri yetkisiz veya bilinmeyen kişilere telefon veya diğer medya aracılığıyla ifşa etmeyin.”

Bu talimat, ofiste parolaları yeniden kullanmamak veya yapışkan notlar yazmak, yalnızca desteklenen işletim sistemlerini çalıştırmak ve üçüncü taraf tarayıcı araç çubuklarını kullanmamak gibi önlemleri içeren 24 “Siber Güvenlik Yapılmaması Gerekenler”den biridir. Kullanıcıların yerel sürücülere veri kaydetmesine veya bilinmeyen taraflarca e-postayla gönderilen bağlantılara veya eklere tıklamasına izin verilmez.

“Korsan yazılım yüklemeyin veya kullanmayın (ör. crack, keygen, vb.)”, jailbreak yapan telefonların yasaklanması gibi başka bir politikadır. Çalışanların ayrıca çevrimiçi dosya biçimi dönüştürme araçlarını veya metin tarayan mobil uygulamaları kullanmaları da yasaktır.

Diğer önlemler aşağıdakilere ilişkin yasakları içerir:

  • Dahili/kısıtlı/gizli devlet verilerini veya dosyalarını devlet dışı bulut hizmetine yükleyin (ör.: Google Drive, Dropbox, vb.);
  • Üçüncü taraf DNS veya NTP hizmetlerinin kullanımı;
  • VPN’ler veya Tor gibi üçüncü taraf anonimleştirme hizmetlerini kullanmak;
  • yazıcıları İnternet’e bağlayın veya iş geçmişlerini günlüğe kaydetmelerine izin verin;
  • “üçüncü taraf sosyal medya veya mesajlaşma uygulamalarına ilişkin hassas ayrıntıların” ifşa edilmesi;
  • “Bilinmeyen bir kişi tarafından paylaşılan USB sürücüleri de dahil olmak üzere yetkisiz harici cihazları” bağlama;
  • yetkisiz uzaktan yönetim araçlarının kullanımı;
  • Hassas şirket içi toplantılar ve tartışmalar yürütmek için yetkisiz üçüncü taraf video konferans veya işbirliği araçlarını kullanma.

Her şeyin olumsuz olmadığını göstermek için, yardımcı ipuçları içeren bir “Yapılacaklar” listesi de var. Çalışanlardan mantıklı şeyler yapmalarını ister, ör. Örneğin, güçlü parolalar ve çok faktörlü kimlik doğrulama kullanın, yamaları hemen uygulayın, virüsten koruma yazılımı çalıştırın, masanızdan uzaktayken oturumu kapatın ve aktarımdan önce verileri şifreleyin.

Hindistan’ın 1.10.10.10’daki ulusal DNS sunucusu, tüm kullanıcılar için gereklidir. Bu, devlet tarafından verilen akıllı telefonlarda ve bilgisayarlarda GPS, Bluetooth, NFC “ve diğer sensörlerin” kapatılmasını içerir. Kılavuzlar, “Yalnızca gerektiğinde etkinleştirilebilirler” diyor.

Bir diğer nokta ise kullanıcıları yalnızca Google Play veya Apple App Store’dan mobil uygulama satın almaya yönlendiriyor. Çalışanlara “uygulamanın popülerliğini kontrol etmeleri ve kullanıcı incelemelerini okumaları” söylendi. Kötü bir üne sahip veya daha düşük kullanıcı tabanına sahip herhangi bir uygulamayı indirmeden önce dikkatli olun.”

Genel olarak, belge biraz açık olsa da mantıklı tavsiyeler sunuyor. Ancak böyle bir tavsiyenin gerekli görülmesi kesinlikle endişe verici. Örneğin, yazıcıların internete bağlı olmaması gerektiği yönergesi, cihazların Hindistan hükümet sistemlerine bir yol sağlayıp sağlamadığını merak eden kötü niyetli aktörlerin dikkatini çekecektir.

Bu aktörlerden biri – Malezya DragonForce – geçen hafta ve hafta sonu boyunca Hindistan hükümet hedeflerine saldırılar başlattı. iddialar Chennai Limanı web sitesini silmek için. Muhabiri bir hafta sonu kontrolü sırasında limanın web sitesine ulaşamadı, ancak o zamandan beri restore edildi.

DragonForce o zamandan beri Hintli şirketlerden büyük veri sızıntılarını ortaya çıkarmanın eşiğinde olduğunu iddia etti. ®