Hindistan hükümetinin gizli bilgi güvenliği kılavuzu sızdırılıyor • Kayıt


Hindistan hükümeti geçen hafta, istihdam ettiği 30 milyondan fazla işçiyi daha iyi çalışma uygulamalarını benimsemeye çağıran gizli bilgi güvenliği yönergeleri yayınladı ve bir noktayı kanıtlamak istercesine, belge bir hükümet web sitesine hızla sızdırıldı.

Belge ve içerdiği önlemler, bilgi güvenliğinin Hindistan’ın hükümet sektöründe biraz gevşek olabileceğini gösteriyor.

Belge, “BİT’in artan şekilde benimsenmesi ve kullanılması, sahada izlenen uygun siber güvenlik uygulamalarının olmaması nedeniyle hükümete yönelik saldırı yüzeyini ve tehdit algısını artırdı.”

“Siber güvenlik açısından devlet çalışanlarını ve sözleşmeli/dış kaynaklı kaynakları duyarlı hale getirmek ve bunlar arasında ne yapılması ve ne yapılmaması gerektiği konusunda farkındalık oluşturmak amacıyla bu yönergeler derlenmiştir.”

İronik olarak, belge neden gerekli olduğunu kanıtlıyor. “Kısıtlı” olarak işaretlenmesine ve yalnızca Hindistan devlet daireleri ve bakanlıklarında erişime açık olmasına ve belgeyi gönderenlerin “erişim kapsamı dışında kasıtlı veya kazara erişimi engelleyerek bu erişim hakkını onurlandırmaları gerektiği” yönünde bir uyarı içermesine rağmen – Kayıt çok az çabayla bir Hindistan hükümetinin web sitesinde bulabildi.

Bunu oraya kim gönderdiyse, muhtemelen belgeyi yeniden okuması gerekiyor. İçerdiği talimatlardan biri, “Hassas bilgileri, yetkisiz veya bilinmeyen kişilerle telefon veya başka bir ortam aracılığıyla paylaşmayın” şeklindedir.

Bu talimat, parolaları yeniden kullanmamak veya bunları ofis çevresinde bırakılan yapışkan notlara yazmamak, yalnızca desteklenen işletim sistemlerini çalıştırmak ve üçüncü taraf tarayıcı araç çubuklarını kullanmamak gibi önlemleri içeren 24 “Siber Güvenlik Yapılmaması Gereken Şeyler”den biridir. Kullanıcılar, verileri yerel sürücülere kaydetmemeli veya bilinmeyen taraflarca e-postayla gönderilen bağlantılara veya eklere tıklamamalıdır.

“Korsan yazılım yüklemeyin veya kullanmayın (ör: crack, keygen, vb.)”, jailbreak yapan telefonlardaki bir yasak gibi başka bir yönergedir. Personelin ayrıca çevrimiçi dosya biçimi dönüştürme araçlarını veya metin tarayan mobil uygulamaları kullanması da yasaktır.

Diğer önlemler aşağıdakilere ilişkin yasakları içerir:

  • Devlete ait/kısıtlı/gizli devlet verilerinin veya dosyalarının herhangi bir devlet dışı bulut hizmetine (ör. Google Drive, Dropbox, vb.) yüklenmesi;
  • Üçüncü taraf DNS veya NTP hizmetlerinin kullanımı;
  • VPN’ler veya Tor gibi üçüncü taraf anonimleştirme hizmetlerini kullanmak;
  • Yazıcıları internete bağlama veya iş geçmişlerini kaydetmelerine izin verme;
  • “Sosyal medya veya üçüncü taraf mesajlaşma uygulamalarına ilişkin hassas ayrıntıların” ifşa edilmesi;
  • “Bilinmeyen herhangi bir kişi tarafından paylaşılan USB sürücüler de dahil olmak üzere, yetkisiz harici aygıtların” bağlanması;
  • Yetkisiz uzaktan yönetim araçlarının kullanımı;
  • Hassas şirket içi toplantılar ve tartışmalar yürütmek için yetkisiz üçüncü taraf video konferans veya işbirliği araçlarının kullanılması.

Sadece tüm olumsuzlukların olmadığını göstermek için, yardımcı ipuçlarından oluşan bir “Yapılacaklar” listesi de var. Personeli güçlü parolalar ve çok faktörlü kimlik doğrulama kullanmak, derhal yama yapmak, anti-virüs yazılımı çalıştırmak, masasından uzaktayken oturumu kapatmak ve iletimden önce verileri şifrelemek gibi mantıklı şeyler yapmaya teşvik eder.

Hindistan’ın 1.10.10.10’daki ulusal DNS sunucusu, tüm kullanıcılar için gereklidir. Devlet tarafından verilen akıllı telefonlarda ve bilgisayarlarda GPS, Bluetooth, NFC “ve diğer sensörleri” kapatmak da öyle. Yönergeler, “Yalnızca gerektiğinde etkinleştirilebilirler” diyor.

Başka bir öğe, kullanıcılara yalnızca Google Play veya Apple App Store’dan mobil uygulamalar edinmelerini söyler. Bunu yaparken personele “uygulamanın popülerliğini kontrol etmesi ve kullanıcı incelemelerini okuması” söylenir. Kötü bir üne sahip veya daha az kullanıcı tabanına sahip herhangi bir uygulamayı indirmeden önce dikkatli olun.

Genel olarak belge, biraz açık olsa da mantıklı tavsiyeler sunmaktadır. Ancak böyle bir tavsiyenin gerekli olduğu gerçeği kesinlikle endişe vericidir. Örneğin, yazıcıların internete bağlı olmaması gerektiği talimatı, cihazların Hindistan hükümet sistemlerine bir yol sağlayıp sağlamadığını merak eden kötü niyetli aktörlerin kesinlikle dikkatini çekecektir.

Böyle bir aktör – Malezya’nın DragonForce – geçen hafta başlatılan Hindistan hükümeti hedeflerine ve hafta sonu saldırılar iddia edilen Chennai Limanı’nın web sitesini silmiş olmak. Muhabiriniz bir hafta sonu kontrolü sırasında Limanın web sitesine ulaşamadı, ancak o zamandan beri geri yüklendi.

DragonForce o zamandan beri Hintli şirketlerden büyük veri sızıntılarını ortaya çıkarmanın eşiğinde olduğunu iddia etti. ®




Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/06/20/indian_government_infosec_guidance_leaks/

Yorum yapın