یه خبر جنجالی از دنیای امنیت سایبری! سازمان CISA که مسئول امنیت زیرساختهای حیاتی آمریکا و محافظت از دولت فدرال در برابر تهدیدات سایبریه (یعنی کارش رسماً حفاظت از بخشهای حساس کشوره)، بهتازگی حسابی زیر سوال رفته.
طبق یه گزارشی که دفتر بازرس کل وزارت امنیت داخلی آمریکا (DHS OIG—این نهاد وظیفه نظارت و بازرسی داخلی روی سازمانها رو داره) منتشر کرده، CISA بیشتر از ۱۳۸ میلیون دلار پول رو بد مدیریت کرده و کلی از این پولها رو به آدمهای نامربوط یا بیربط به کار امنیت سایبری هدیه داده! در واقع اومدن به یه انگیزهنامه مالی برای نگه داشتن نیروهای متخصص در فضای سایبر ایده دادن، اما مشکل اینجاست که خیلیهاش اصلاً تخصص لازم رو نداشتن یا تو حوزه غیرمرتبط بودن.
مثلاً از بین این کارمندها، ۳۴۸ نفر جمعاً ۱.۴۱ میلیون دلار رو بهصورت پرداخت غیرمجاز گرفتن، یعنی اصلاً شامل شرایط لازم نبودن و پول دلی گرفته بودن! حتی بعضیا فقط کار اداری کرده بودن و کاری با امنیت سایبر نداشتن. خلاصه این پولها الکی صرف شد و نیروهای متخصص واقعاً بااستعداد دلسرد شدن که چرا باید همرده با یه کارمند معمولی پول بگیرن!
گزارش گفته دفتر منابع انسانی CISA هم اصلاً خوب عمل نکرده و نه مدرک درست و حسابی از پرداختها نگه داشته، نه فیلترهای مناسبی برای شناسایی آدمهای واجد شرایط توسعه داده. حتی شرط واجد بودن رو همینطوری کشدار و شل گرفتن. تازه نظارت خود وزارت امنیت داخلی هم کافی نبوده و با دقت انجام نشده.
مشکل این کار چیه؟ خب، این باعث میشه آدمای بااستعداد سایبری که باید حفظشون کنیم کمکم دلسرد بشن و تصمیم بگیرن برن، چون میبینن داره فرقی بین اونها و بقیه گذاشته نمیشه؛ و این یعنی امنیت کشور به خطر میفته و کلی پول هم بیخودی خرج میشه.
خلاصه، DHS OIG هشت راهکار برای درست شدن ماجرا پیشنهاد داده و خود CISA گفته هر هشت رو قبول داره. فعلاً هفتتاش رو اجرا کردن، ولی آخریش هنوز حل نشده و مربوط میشه به اینکه چطور باید پولهای اشتباهی رو که به کارمندای غیرواجب دادن، برگردونن.
اگر دوست دارید بیشتر بدونید، اینم بگم که CISA قبلاً درباره یه مشکل جدی امنیتی تو Git (سیستمی برای مدیریت کدها) هم هشدار داده بود. اگر میکنید برید سراغ بهترین برنامههای Authenticator (اپهایی برای تأیید هویت دو مرحلهای) یا Password Manager، کلی راهنمای خوب براشون هست.
در کل، جریان نشون میده چطور حتی نهادهای بزرگ امنیتی هم ممکنه گاف بدن و نظارت و مدیریت صحیح چقدر مهمه، مخصوصاً وقتی پای امنیت کل یه کشور وسطه!
منبع: +
