Elon Musk dan kelompok programmernya telah diberikan akses ke data dari sistem pemerintah AS untuk membantu upaya mereka yang dinyatakan untuk memangkas ukuran pemerintah, membuat para ahli keamanan siber sangat prihatin tentang bagaimana semua data sensitif ini diamankan.
Sejauh ini, Musk dan Departemen Efisiensi Pemerintah (Doge) telah mengakses sistem komputer Departemen Keuangan, serta data rahasia dari Badan Pembangunan Internasional AS (USAID) dan Kantor Manajemen Personalia (OPM), yang menyimpan data sensitif pada jutaan pekerja federal – termasuk, terutama, izin keamanan – dan memiliki kemudian diblokir pejabat kunci pemerintah Dari lebih lanjut mengakses sistem personalia tersebut, menurut bom dari Reuters.
Itu Tim Doge Dilaporkan juga hanya mengirimkan nama personel CIA yang dihapus sebagian melalui akun email yang tidak diklasifikasi, menurut The New York Timesdan Forbes dilaporkan bahwa tim memberi makan Departemen Data Pendidikan dan Departemen Data Energi ke dalam kecerdasan buatan Model untuk mengidentifikasi inefisiensi, dengan tingkat perlindungan keamanan informasi yang tidak diketahui. Ke depan, ada lebih banyak rencana untuk menggunakan AI untuk menjalankan pemerintah. Dilaporkan, Doge juga membuat chatbot sendiri Untuk menjalankan Administrasi Layanan Umum Pemerintah Federal, yang disebut GSAI.
Doge belum membalas permintaan komentar dari Dark Reading, tetapi reporter ini meminta para ahli keamanan siber untuk pemikiran mereka tentang mengungkap perlindungan keamanan siber di sekitar data pemerintah federal. Komentar di bawah ini dikumpulkan dari hukum cybersecurity dan pakar kebijakan Stewart Baker; Evan Dornbush, mantan pakar cybersecurity NSA; dan Willy Leichter, Chief Marketing Officer dengan AppSoc.
Pertanyaan 1: Apakah kegiatan Doge membuat Anda khawatir tentang keamanan siber dari data yang mereka akses?
Stewart Baker: Tentu saja pendekatan cepat-cepat-guy-fire-in-the-room untuk reformasi pemerintah menimbulkan risiko keamanan, terutama jika Doge mengkodekan perubahan ke dalam sistem pemerintah. Aturan untuk desain perangkat lunak adalah “cepat, aman, dan murah – pilih dua.” Elon Musk telah mencapai keberhasilan besar dalam bisnis dengan menghilangkan prosedur dan organisasi dan bagian yang menurut para ahli sangat penting.
Dia menjalankan Twitter/X dengan seperlima karyawan yang ada sebelum dia mengambil alih. Dia secara dramatis telah menyederhanakan desain roket, memungkinkan pembuatan dan perputaran yang lebih cepat. Jadi tidak mengherankan dia ingin menantang dan mengabaikan banyak aturan pemerintah, termasuk yang melindungi keamanan informasi. Tetapi aturan keamanan melindungi terhadap musuh aktif. Mengambil jalan pintas yang tampaknya masuk akal bagi orang -orang pintar dengan terburu -buru dapat menyebabkan masalah serius di ujung jalan, dan mungkin perlu waktu beberapa saat untuk menyadari kerusakan.
Namun, ketidaksabaran Musk bisa dimengerti. Saya yakin ada karyawan yang menggunakan aturan keamanan untuk memperlambatnya atau menggagalkannya sepenuhnya. Sangat penting bahwa Doge menganggap keamanan dengan serius, tetapi juga bahwa para pengkritiknya sangat spesifik tentang risiko keamanan yang mereka lihat, daripada menggunakan keamanan siber sebagai alat serba guna untuk penundaan.
Evan Dornbush: Cukup masuk akal bagi orang untuk khawatir, bahkan khawatir, pada bagaimana Doge saat ini beroperasi. Untuk organisasi mana pun, proses mengamankan data sering dikembangkan selama bertahun -tahun, mengambil berbagai perspektif untuk memastikan data rahasia dapat diakses minimal, dan bahwa penebangan dapat membuat ulang gambaran data yang diakses, atau data dalam perjalanan, jika diperlukan.
Willy lebih mudah: Tindakan Doge, hanya dalam beberapa minggu pertamanya, adalah yang terbesar, menginjak -injak protokol keamanan pemerintah dalam sejarah cyber. Kesombongan, ketidaktahuan yang disengaja, kedengkian, dan kebodohan semata -mata dari geng peretas yang tidak terlatih dan tidak bertanggung jawab yang berkeliaran di jaringan pemerintah yang sensitif mengejutkan. Jika jenis kegiatan ini terjadi di sektor swasta, dengan tingkat informasi yang sangat sensitif dan diatur ini, kita akan berbicara tentang denda besar -besaran dan tanggung jawab kriminal pribadi untuk semua aktor yang terlibat.
Ini tidak dapat terjadi pada waktu yang lebih genting bagi keamanan siber pemerintah. Cina dan negara -negara lain telah meningkatkan serangansudah menargetkan banyak jaringan yang sama, mencuri data dan menanam alat untuk melumpuhkan infrastruktur kritis kami. Menempatkan data ini di tangan yang tidak berpengalaman dan sembrono, sementara membongkar sistem pertahanan, menurunkan moral pakar kita yang paling berpengalaman, membubarkan kelompok penasihat publik-swasta, dan menggunduli inisiatif cyber kritis pasti akan memiliki konsekuensi yang buruk. Satu -satunya pertanyaan adalah apakah ini akan dikenakan biaya miliaran versus triliunan dalam kerugian, dan apakah akan memakan waktu bertahun -tahun versus dekade untuk pulih.
Pertanyaan 2: Apa yang telah dilakukan doge secara khusus yang menyebabkan kekhawatiran Anda?
Tukang roti: Mengirim nama karyawan CIA di saluran yang tidak diklasifikasikan sangat berisiko, bahkan jika nama -nama itu hanya nama depan, inisial akhir. Mengingat semua sumber informasi lain tentang individu, merekonstruksi nama lengkap adalah sesuatu yang akan dicari oleh layanan asing yang bermusuhan, jadi mereka akan mencoba mencegat daftar nama. Pertanyaan saya adalah mengapa Doge berpikir itu risiko yang layak diambil? Akankah daftar nama memang baik? Saya menganggap permintaan itu terikat pada kemungkinan PHK di CIA, tetapi apakah Doge benar -benar membutuhkan nama untuk memutuskan siapa yang harus diberhentikan? Jika tidak, ini adalah risiko yang tidak perlu dan tidak bertanggung jawab.
Dornbush: Kurangnya transparansi. Saat ini, sepertinya pertanyaan diajukan untuk mengamankan bagaimana mengamankan data yang diakses dari situs pemerintah. Tidak jelas apakah ada orang dari Doge yang bahkan membalas. Meminimalkan risiko akses yang tidak sah membutuhkan seluruh tim spesialis, ditambah dengan perangkat keras dan perangkat lunak yang dibangun khusus. Bahkan jika pada akhirnya ditentukan bahwa Doge memang memiliki otorisasi untuk mengakses data ini, [if] Ini secara fisik telah menghapus data dari jaringan yang dikeraskan dan dipantau secara profesional ini, bagaimana Doge memastikan data dilindungi secara bertanggung jawab dari kompromi atau pengungkapannya sendiri? Bagaimana cara menyatakan bahwa data dihancurkan setelah tidak lagi diperlukan?
Lebih ringan: Tim Doge telah mengabaikan hampir setiap prinsip keamanan dasar yang diajarkan pada minggu pertama kursus keamanan siber – dengan asumsi mereka pernah mengambilnya.
Ini termasuk memaksa masuk ke sistem yang terbatas dan diklasifikasikan tanpa otorisasi yang tepat. Pejabat yang melakukan tugas bersumpah mereka untuk mencegah hal ini dilakukan pada cuti administratif. Anggota Doge juga diberi akses berlebihan ke sistem sensitif yang jauh melampaui apa yang diperlukan untuk peran penasihat mereka. Juga, personel Doge dengan latar belakang kontroversial, kurangnya kualifikasi yang terang -terangan, dan konflik kepentingan yang jelas tidak melalui pemeriksaan yang sah oleh lembaga pemerintah yang memenuhi syarat.
Menampilkan pengabaian terhadap protokol keamanan, DoGe Operatives melewati langkah -langkah keamanan standar, mengakses sistem tanpa otorisasi dan mengabaikan protokol yang dimaksudkan untuk melindungi data sensitif, [and were provided] Akses tidak sah ke data pribadi karyawan federal dan warga negara AS, yang melanggar banyak undang -undang privasi, bahkan jika data tidak bocor.
Pertanyaan 3: Menurut Anda apa yang perlu terjadi untuk mengamankan data dalam tahanan doge?
Tukang roti: Doge harus mengakui tanggung jawabnya untuk menjaga keamanan data yang ditangani, dan prosedur keamanannya harus dikenakan audit. Putusan yudisial yang mencoba melindungi data dengan menolak akses doge harus diangkat.
Dornbush: Doge Mengamankan data adalah suatu ketidakmungkinan. Doge baru terbentuk. Data yang dilihatnya duduk di belakang bertahun -tahun akumulasi orang, produk, dan kebijakan yang hanya berspesialisasi dalam keamanan kumpulan data itu. Menghapus data dari situs -situs ini menguap itu kemajuan, dan ironisnya, sangat tidak efisien dan boros. Jika Anda ingin melihat data ini, baiklah. Bekerja dari kantor.
Lebih ringan: Mungkin tidak mungkin untuk membatalkan kerusakan jenis ini. Data perlu dihancurkan, semua akses yang tidak pantas dicabut, dan penjaga pemerintah yang sangat terlatih harus diizinkan untuk kembali bekerja dan melakukan pekerjaan mereka. Semua ini tampaknya sangat tidak mungkin, karena administrasi sengaja melumpuhkan sebanyak mungkin pemerintah federal dan menggantikan para ahli yang sangat terlatih dengan karyawan politik yang tidak kompeten.
Pertanyaan 4: Apa yang paling Anda perhatikan tentang Doge dan strategi keamanan informasinya?
Tukang roti: Saya masih menunggu untuk mendengar apa strategi dan komitmen Infosec Doge.
Dornbush: Apa yang konon lakukan itu penting dan memiliki prestasi. Saya ingin tahu apa strategi infosec itu. Saat ini, sepertinya berbagi langkah -langkah keamanan yang mereka ambil dengan publik bukanlah prioritas.
Lebih ringan: Jika Doge memiliki strategi, itu merahasiakannya. Setiap lembaga pemerintah yang sah akan memiliki strategi yang terdokumentasi dengan baik, input publik, dan tujuan yang ditentukan yang selaras dengan tujuan yang lebih besar. Satu -satunya strategi Doge dan administrasi yang dapat dilihat adalah membongkar sebanyak mungkin pemerintah secepat mungkin, pengalaman membersihkan, yang tampaknya mereka anggap sebagai kewajiban.
Satu -satunya pertanyaan adalah seberapa cepat intervensi peradilan dapat menendang dan apakah itu akan diabaikan. Satu hal yang mungkin mempengaruhi pemerintahan ini adalah kecaman publik yang meluas setelah insiden keamanan besar berikutnya, yang mungkin bersembunyi tepat di sudut. Itu strategi keamanan yang mengerikan.
Apakah Anda ingin mempertimbangkan salah satu dari empat pertanyaan di atas? Jika demikian, silakan kirim catatan ke [email protected] untuk dimasukkan dalam cerita tindak lanjut dengan reaksi pembaca.
