Elon Musk ve programcılar grubuna, hükümetin büyüklüğünü kesme çabalarına yardımcı olmak için ABD hükümet sistemlerinden gelen verilere erişim sağlandı ve siber güvenlik uzmanlarını bu hassas verilerin nasıl sağlandığı konusunda derinden endişelendirdi.
Şimdiye kadar Musk ve Hükümet Verimliliği Bakanlığı (DOGE) bilgisayar sistemlerine erişildi Hazine Bakanlığı’nın yanı sıra ABD Uluslararası Kalkınma Ajansı’ndan (USAID) ve milyonlarca federal işçi hakkında hassas verilere sahip olan Personel Yönetimi Ofisi’nden (OPM) sınıflandırılmış veriler – özellikle güvenlik açıkları da dahil – ve daha sonra Bloke kilit hükümet yetkilileri Reuters’ten gelen bir bombaya göre, bu personel sistemlerine daha fazla erişmekten.
. Doge takımı Bildirildiğine göre, sınıflandırılmamış bir e -posta hesabı aracılığıyla CIA personelinin yalnızca kısmen düzeltilmiş adlarını gönderdi. New York Timesve forbes bildirilmiş Ekibin Eğitim Bakanlığı verileri ve enerji departmanı verileri bir yapay zeka Bilinmeyen bir bilgi güvenliği koruması ile verimsizlikleri tanımlamak için model. İleride, hükümeti yürütmek için yapay zekayı kullanma planları var. Bildirildiğine göre, Doge ayrıca kendi sohbet botunu yaratıyor GSAI olarak adlandırılan federal hükümetin Genel Hizmetler İdaresi’ni yürütmek.
Doge henüz Dark Reading’in yorum talebine cevap vermedi, ancak bu muhabir siber güvenlik uzmanlarından federal hükümet verileri etrafında siber güvenlik korumalarının çözülmesi hakkındaki düşüncelerini istedi. Aşağıdaki yorumlar siber güvenlik yasası ve politika uzmanı Stewart Baker’dan toplandı; Evan Dornbush, eski NSA siber güvenlik uzmanı; ve Willy Leichter, AppSoc’un pazarlama sorumlusu.
Soru 1: DOGE’nin faaliyetleri, eriştikleri verilerin siber güvenliği ile ilgili endişeleriniz var mı?
Stewart Baker: Tabii ki Doge’in Hızlı Smartest-In-to-to-to-to-to-To-To-Hükümet reformuna yaklaşımı, özellikle Doge hükümet sistemlerinde değişiklikleri kodlarsa güvenlik risklerini artırır. Yazılım tasarımı kuralı “hızlı, güvenli ve ucuz – herhangi bir ikisini seç”. Elon Musk, uzmanların gerekli olduğunu söylediği prosedürleri, kuruluşları ve parçaları ortadan kaldırarak iş dünyasında muazzam bir başarı elde etti.
Devralmadan önce sahip olduğu çalışanların beşte biriyle Twitter/X işletiyor. Daha hızlı üretim ve geri dönüş sağlayan roket tasarımını önemli ölçüde basitleştirdi. Bu nedenle, bilgi güvenliğini koruyanlar da dahil olmak üzere birçok hükümet kuralına meydan okumak ve görmezden gelmek isteyeceği şaşırtıcı değil. Ancak güvenlik kuralları aktif rakiplere karşı korunur. Akıllı adamlar için aceleyle mantıklı görünen kısayollar almak yolda ciddi sorunlara yol açabilir ve hasarı fark etmek biraz zaman alabilir.
Musk’un sabırsızlığı anlaşılabilir. Eminim onu yavaşlatmak veya tamamen engellemek için güvenlik kurallarını kullanan çalışanlar vardır. Doge’in güvenliği ciddiye alması, aynı zamanda eleştirmenlerinin, siber güvenlik için gecikme için çok amaçlı bir araç olarak kullanmak yerine gördükleri güvenlik riskleri konusunda çok spesifik olması önemlidir.
Evan Dornbush: İnsanların şu anda nasıl çalıştığı konusunda endişelenmesi, hatta endişelenmesi oldukça makul. Herhangi bir kuruluş için, veri güvence altına alma süreci genellikle yıllar içinde geliştirilir, gizli verilerin minimal olarak erişilebilir olmasını sağlamak için sayısız perspektif alır ve günlüğe girme gerektiğinde erişilen verilerin veya transitteki verilerin bir resmini yeniden oluşturabilir.
Willy daha kolay: Doge’un eylemleri, sadece ilk birkaç haftasında, siber tarihte hükümet güvenlik protokollerinin en büyük, kasıtlı çiğnenmesidir. Hassas hükümet ağlarını dolaşan bu eğitimsiz ve hesaplanamaz bilgisayar korsanlarının çetesinin kibir, kasıtlı cehalet, kötülük ve saf aptallığı şaşırtıcı. Bu tür bir faaliyet özel sektörde gerçekleşirse, bu son derece hassas ve düzenlenmiş bilgi seviyesiyle, ilgili tüm aktörler için büyük para cezaları ve kişisel cezai sorumluluktan bahsediyoruz.
Bu, devlet siber güvenlik için daha güvencesiz bir zamanda olamazdı. Çin ve diğer ülkeler Saldırıları yükseltmekzaten aynı ağların çoğunu hedefliyor, verileri çalıyor ve kritik altyapımızı sakatlamak için araçları ekiyor. Bu verileri deneyimsiz ve pervasız ellere koymak, savunma sistemlerini sökerken, en deneyimli uzmanlarımızı demoralize etmek, kamu-özel danışma gruplarını dağıtmak ve kritik siber girişimleri ortadan kaldırmak kaçınılmaz olarak felaket sonuçları olacaktır. Tek soru, bunun milyarlarca ve trilyonlara karşı kayıplara mal olup olmayacağı ve yıllarca iyileşmenin yıllar alıp almayacağıdır.
Soru 2: Doge, özellikle endişelenmenize neden olan ne yaptı?
Baker: Sınıflandırılmamış kanallarda CIA çalışanlarının adlarını göndermek çok risklidir, isimler yalnızca ad, son başlangıç olsa bile. Bireyler hakkında diğer tüm bilgi kaynakları göz önüne alındığında, tam isimleri yeniden yapılandırmak, düşmanca bir yabancı hizmetin yapacağı bir şeydir, bu yüzden isimler listesini kesmeye çalışacaklar. Sorum şu: Doge bunun neden almaya değer bir risk olduğunu düşünüyor? İsimler listesi iyi olacak mı? Talebin CIA’daki olası işten çıkarmalara bağlı olduğunu varsayıyorum, ancak Doge’in kimin hazırlanacağına karar vermek için isimlere gerçekten ihtiyacı var mıydı? Değilse, bu gereksiz bir risk ve sorumsuzdu.
Dornbush: Şeffaflık eksikliği. Şu anda, devlet sitelerinden eriştiği verileri nasıl güvence altına aldığı konusunda soru sorulması isteniyor gibi görünüyor. Doge’den herhangi birinin cevap verip vermediği belirsiz. Yetkisiz erişim riskinin en aza indirilmesi, amaca uygun donanım ve yazılımla artırılan tüm uzman ekipleri gerektirir. Nihayetinde Doge’un bu verilere erişme yetkisine sahip olduğu belirlense bile, [if] Bu sertleştirilmiş ve profesyonel olarak izlenen ağlardan verileri fiziksel olarak kaldırdı, Doge verilerin kendi uzlaşmasından veya açıklamasından sorumlu bir şekilde korunmasını nasıl sağlıyor? Verilerin artık gerekli olmadığında yok edildiğini nasıl onaylayabilir?
Daha hafif: DOGE ekibi, siber güvenlik kursunun ilk haftasında öğretilen neredeyse her temel güvenlik ilkesini göz ardı etti – bir tane aldıkları varsayılarak.
Bunlar, uygun yetkilendirme olmaksızın kısıtlı ve sınıflandırılmış sistemlere girişi zorunlu kılmayı içerir. Bunu önlemek için yeminli görevlerini yapan yetkililer idari izne alındı. Doge üyelerine, danışma rolleri için gerekli olanın çok ötesine geçen hassas sistemlere aşırı erişim verildi. Ayrıca, tartışmalı geçmişleri, açık nitelik eksikliği ve bariz çıkar çatışmaları olan Doge personeli, nitelikli devlet kurumları tarafından meşru veterinerlikten geçmedi.
Güvenlik Protokolleri için bir göz ardı edilme– DOGE operatörleri standart güvenlik önlemlerini atladı, yetkilendirmeden sistemlere erişti ve hassas verileri korumak için protokolleri görmezden geliyordu, [and were provided] Veriler sızdırılmasa bile, birden fazla gizlilik yasasını ihlal eden federal çalışanların ve ABD vatandaşlarının kişisel verilerine yetkisiz erişim.
Soru 3: Doge velayetindeki verileri güvence altına almak için ne olması gerektiğini düşünüyorsunuz?
Baker: Doge, işlediği verilerin güvenliğini koruma sorumluluğunu kabul etmeli ve güvenlik prosedürleri denetime tabi olmalıdır. Doge erişimini reddederek verileri korumaya çalışan adli kararlar kaldırılmalıdır.
Dornbush: Verileri güvence altına almak imkansızdır. Doge yeni oluşturuldu. Aradığı veriler, yalnızca bu veri setinin güvenliğinde uzmanlaşmış birikmiş kişilerin, ürünlerin ve politikanın arkasında oturdu. Bu sitelerden verilerin kaldırılması, ilerlemenin son derece verimsiz ve savurgan olduğunu buharlaştırır. Bu verileri görmek istiyorsanız, tamam. Ofisten iş.
Daha hafif: Bu tür hasarı geri almak muhtemelen imkansızdır. Verilerin yok edilmesi, tüm uygunsuz erişimin iptal edilmesi ve yüksek eğitimli devlet velayetlerinin işe dönmesine ve işlerini yapmasına izin verilmesi gerekiyor. İdare, federal hükümetin mümkün olduğunca fazla devre dışı bırakılmasını ve yüksek eğitimli uzmanları beceriksiz siyasi işe alımlarla değiştirdiği için tüm bunlar çok olası görünmüyor.
Soru 4: Doge ve bilgi güvenliği stratejisi ile ilgili en çok neye dikkat ediyorsunuz?
Baker: Hala Doge’in Infosec stratejisinin ve taahhütlerinin ne olduğunu duymayı bekliyorum.
Dornbush: Doge’in yaptığı iddia edilen şey önemlidir ve değeri vardır. Infosec stratejisinin ne olduğunu bilmek isterim. Şu anda, halkla attıkları güvenlik adımlarını paylaşmak bir öncelik değil gibi görünüyor.
Daha hafif: Doge’in bir stratejisi varsa, onu gizli tuttu. Herhangi bir meşru devlet kurumu, iyi belgelenmiş bir stratejiye, kamu girdisine ve daha büyük hedeflerle uyumlu tanımlanmış hedeflere sahip olacaktır. Doge ve yönetimin tek fark edilebilir stratejisi, bir yükümlülük olarak gördükleri deneyimi temizleyerek hükümetin mümkün olduğunca çabuk sökülmesidir.
Tek soru, adli müdahalenin ne kadar hızlı bir şekilde başlayabileceği ve göz ardı edilip edilemeyeceğidir. Bu yönetimi etkileyebilecek tek şey, muhtemelen köşede gizlenen bir sonraki büyük güvenlik olayından sonra yaygın bir kamu kınamasıdır. Bu korkunç bir güvenlik stratejisi.
Yukarıdaki dört sorudan herhangi birini tartmak ister misiniz? Öyleyse, lütfen bir not gönderin [email protected] Okuyucu tepkileri içeren bir takip hikayesine dahil edilecek.