Whack-A-Mole安全:糟糕的政策,糟糕的立法

2018-11-11 08:05:03

作者:佴糇

信息技术与创新基金会高级分析师丹尼尔·卡斯特罗的客座文章最近披露的国会机密文件至少有一位国会议员要求禁止点对点(P2P)文件共享软件,但仔细看看问题显示,这种努力仅仅是治疗症状,而不是疾病首先是一些背景上个月华盛顿邮报透露,有超过30名国会议员和工作人员正在接受可能违反道德规范的调查,包括“接受捐款或其他项目”

交换官方行为的价值“虽然这一启示令人震惊,但更令人震惊的是这些信息泄露的方式 - 信息是从互联网上下载的

正如华盛顿邮报和官方行为标准委员会所详述在美国众议院,一名低级委员会工作人员保存了一份保密的House ethics公司的副本mmittee在家工作时报告她的个人计算机不幸的是,工作人员还运行了点对点文件共享程序,并无意中将文件保存在与其他用户共享的文件夹中

通过将文件保存在共享文件夹中,工作人员在可公开访问的文件共享网络上向所有其他用户提供该文档虽然华盛顿邮报仅报告了7月份的一份报告,但标准委员会指出,潜在的披露涉及多个机密文件

众议院领导人的初步反应得到了缓和

标准委员会发布声明,提醒众议院成员,官员和员工在处理敏感材料时保持良好的信息安全措施,并指出“无论我们的网络安全系统多么强大,它们仍然会受到个别错误的影响”声明还强调了披露的内容

放在员工的个人电脑上,工作人员已经不在了委员会聘用,并没有房屋信息系统受到损害案件结束

不是那么快一些国会议员正在引起媒体对道德漏洞的关注,以制定对等文件共享软件的立法禁令Rep Edolphus Towns(D-NY)推出了安全联邦文件共享法案,该法案将禁止在联邦政府或其承包商运营的所有计算机系统上使用点对点软件此外,立法指示管理和预算办公室(OMB)解决在政府家用计算机上使用P2P软件的问题

用于工作目的的员工公平地说,这不是一个完全反动的举动国会多年来举行了多次听证会,详细说明了通过点对点网络披露敏感和机密信息的情况 - 包括社会保障号码,财务记录,甚至关于第一个家庭的安全屋的位置信息事实上,后者事件促使Rep Towns首次宣布他要求禁止使用peer-to-p的呼吁所有政府网络上的软件当围绕事件的一些新闻报道经常误导或不准确时,国会很难对这个问题产生误解

事实上,大多数新闻媒体似乎都指责同行的披露

同行软件,而不是人为错误或导致披露的不良政策和做法,有些报告只是错误的,反映了对技术的不了解

例如,根据华尔街日报,通过使用同行 - 同行网络的工作人员“允许某人入侵她的计算机并获取文件”这就像在网站上发表文章说的那样,华尔街日报允许其读者入侵他们的网络服务器并阅读新闻要清楚,使用点对点文件共享软件向用户暴露了许多风险首先,P2P软件经常被互联网用户用来下载和分发受版权保护的内容,这是一种非法行为viduals可以而且应该负责其次,P2P网络上共享的文件通常包含恶意软件 - 病毒,间谍软件和其他恶意软件,可以窃取用户的私人数据并将受感染的PC转变为僵尸网络的一部分但是同行 - 同行软件本身并未导致国会秘密文件泄露给新闻界 有些人认为点对点软件存在独特的威胁,因为用户通常不知道该软件在他们的个人计算机上共享文件

因此,Reps Mary Bono Mack(R-CA),John Barrow(D-GA)今年早些时候,Joe Barton(R-TX)推出了知情P2P用户法案(HR 1319),该法案要求点对点软件在用户PC共享文件之前给予用户明显的通知并获得同意首先,大多数文件共享软件不会共享您的整个硬盘驱动器,而只是一些选择文件夹此外,P2P软件已经在不断发展并响应用户对更多控制的需求,并注意如何共享文件并防止意外泄露私人信息

更多的通知可以减少一些意外的文件披露,最近国会文件泄漏的事件源于错误配置的设置或操作员错误,而不是缺乏通知但是Rep Towns的立法回应是更令人不安国会议员认为,“我们不能再忽视敏感政府信息的威胁,这种信息不安全的对等网络构成了自愿的自我监管失败,所以现在是国会采取行动的时候了”但委员会工作人员透露错误地将文档保存在共享文件夹中的机密信息这个错误是人为错误如果工作人员不小心通过电子邮件发送了这些文件 - 比如无意中点击了错误的附件 - 那么国会议员现在是否会要求禁止电子邮件

当然不是潜在的问题不是员工在她的计算机上运行P2P程序,而是敏感文件实际上没有对他们的访问控制以防止他们未经授权的使用在员工被允许将文件带回家作为无担保之后文件,机密信息可能已经以许多不同的方式泄露 - 从丢失的USB驱动器到被盗的笔记本电脑到窥探的室友如果文件甚至已经启用了基本的密码保护,可能没有任何后续的戏剧发生了正确加密的文件,即使丢失或公开可用,仍将保持安全和保密当然,人们并不完美,即使有更好的政策和技术,仍会发生一些数据泄露

禁止P2P软件可能对大多数代理商都有意义,但它只是更大问题的一小部分政策制定者应该推广广泛的声音信息策略,而不是狭隘地关注P2P政府间的安全政策例如,不是立法规定政府IT主管应该对其网络上的P2P使用情况进行全面核算,而是强制要求这些IT主管需要制定信息安全计划,为他们提供详细的网络情报因此,他们可以清点计算机上运行的应用程序并跟踪可疑的出站和入站网络连接此外,应制定政府范围的政策以促进安全的远程办公随着远程办公变得越来越普遍,企业安全的范围变得越来越宽,控制量越来越大IT管​​理员可以对远程PC施加压力变得更弱,从而创建一个新的威胁环境政府在这一领域的最佳实践将有助于私营部门的小型和大型企业决策者应该利用这一经验作为推动信息取得实质性进展的机会安全实践,而不仅仅是s商场要求禁止使用特定类型的软件