Situs web Kantor Pusat Komunikasi Pemerintah (GCHQ) menyambut Anda dengan pernyataan bahwa “GCHQ menyediakan intelijen, melindungi informasi dan menginformasikan kebijakan Inggris yang relevan untuk menjaga masyarakat kita tetap aman dan sukses di internet usia".
Ah, benarkah? Pengalaman Dan Farrall, yang baru-baru ini melamar pekerjaan di GCHQ, menunjukkan bahwa badan intelijen Inggris harus banyak belajar tentang perlindungan informasi.
Farrall – seorang pelajar – sedang mencari pekerjaan, dan melihat ada pekerjaan di GCHQ yang kedengarannya menarik. Setelah mendaftar di situs web tersebut beberapa bulan sebelumnya, dia menggunakan fitur “Lupa Kata Sandi Anda?” kotak untuk login dan melihat data lamaran pekerjaan. Sekarang, Anda mungkin berpikir dia akan diminta memasukkan beberapa data pribadi untuk mengidentifikasi dirinya, dan kemudian mengikuti tautan yang dikirimkan ke emailnya, yang melaluinya dia dapat melanjutkan proses pengaturan ulang kata sandi. Tapi tidak.
Kesalahan ini semakin sulit untuk diterima mengingat algoritma kunci asimetris ditemukan oleh karyawan GCHQ Clifford Cocks pada tahun 1973.
Sebaliknya, kata sandinya muncul di browsernya dalam bentuk teks biasa; yang diperlukan hanyalah alamat emailnya. Farrall menghubungi GCHQ untuk memberi tahu bahwa sistemnya tidak aman. Bayangkan keterkejutannya ketika, dua bulan kemudian, dia mendapatkan kembali kata sandinya dalam bentuk teks biasa.
Kesalahan ini semakin sulit untuk diterima mengingat algoritma kunci asimetris, yang merupakan bagian penting dari kriptografi kunci publik, ditemukan oleh karyawan GCHQ Clifford Cocks pada tahun 1973.
Pernyataan resmi GCHQ mengenai kesalahan memalukan ini adalah bahwa sistem tersebut merupakan sistem lama yang sedang dalam proses penggantian. Ya, alasan “sistem warisan” mungkin cocok untuk bisnis kecil – bahkan mungkin bisnis besar – namun tidak untuk badan keamanan pemerintah yang bertugas menangani tugas keamanan informasi.
Saya menghargai bahwa sudah lumrah bahkan ada situs web – Plaintextoffenders.com – yang menerbitkan email yang mengungkapkan kata sandi untuk mempermalukan pelanggar agar memperbaiki lubang keamanan mereka, namun, seperti yang dikatakan Varonis direktur teknis Rob Sobers mengatakan, “enkripsi kata sandi [tidak] berada di luar jangkauan mitra badan intelijen tersebut sebagai GCHQ”. Tampaknya hal ini di luar kemampuan GCHQ untuk mempertahankan visibilitas yang tepat atas sesuatu yang hampir pasti diberikan kepada penyedia pihak ketiga.
Hal ini mungkin juga ingin dipikirkan oleh Dewan Distrik South Oxfordshire. PC Pro pembaca Jules Marshall menghubungi saya ketika dia menerima tagihan pajak dewan melalui email dan menemukan bahwa keamanan tidak seketat yang terlihat pada awalnya. Dewan mengalihdayakan pengiriman tagihan digital ke perusahaan pihak ketiga bernama Capita, dan tagihan tersebut sendiri dilampirkan ke email sebagai dokumen PDF terenkripsi yang memerlukan kata sandi – kode posnya – untuk membukanya dia.
Semuanya baik-baik saja jika Anda membuka file di laptop Anda, tetapi tidak jika Anda melakukannya di iPad Anda. Saya mengetahui hal ini karena Jules mengirimi saya PDF, yang memang memerlukan kata sandi untuk dibuka di PC desktop. Namun, satu klik di iPad saya membuka dokumen untuk menampilkan tagihan lengkap dan detail pribadi Jules.
Risiko informasi ini digunakan untuk tujuan kriminal sangat kecil, namun dewan jelas menganggapnya cukup sensitif sehingga layak untuk dienkripsi. Baik Dewan Distrik Oxfordshire Selatan maupun Capita tidak menanggapi permintaan komentar saya tepat pada waktunya publikasi, namun ini merupakan pengingat lain bahwa informasi yang dibagikan dapat menjadi tanggung jawab jika terjerumus ke dalamnya tangan yang salah.
