Veri Güvenliği, Yönetişim ve Risk Yönetimi, Hükümet
Doge çalışanlarının federal siber en iyi uygulamaları ve veri gizliliği yasalarını ihlal ettiği iddia ediliyor
Chris Riotta (@Chrisriotta) •
18 Nisan 2025
Hükümet Verimliliği Bakanlığı çalışanları, bu hafta kamuya açık bir ihbar şikayetine göre, kimlik ve erişim kontrollerini atlayarak, kimlik ve erişim kontrollerini atlayarak federal siber güvenlik protokollerini ve veri koruma yasalarını ihlal etti.
Ayrıca bakınız: Ondemand | Gelişmiş uç nokta stratejileri aracılığıyla sıfır güven hedeflerinize nasıl ulaşabilirsiniz?
Şikayet, DOGE operatörlerine NLRB’nin bulut ortamı üzerinde sınırsız bir kontrol verildiğini iddia ediyor, bu da kayıtları veya hesaplarının kayıtları oluşturuluyor. Başkan Donald Trump ve milyarder danışmanı Elon Musk’un görev gücünün federal işgücünü küçültmek ve ajans harcamalarını nasıl azaltmak için nasıl hareket ettiğini henüz en ayrıntılı bakışlardan birini sunuyor (bkz: bkz: Bilgi uçurma, doge doge’u veri hasatını örtbas etmekle suçluyor).
Dosyalama, DOGE hesaplarının etkinleştirilmesinden birkaç dakika sonra Rus tabanlı IP adreslerinden oturum açma girişimleriyle sonuçlanan bir dizi kritik siber güvenlik hatasını özetlemektedir. Daniel Berulis için avukatlar – NLRB şikayetinin arkasındaki bilgi uçuran ve çok gizli bir güvenlik izni olan kıdemli bir devsecops mimarı – ajansdaki son Doge faaliyetinin “hükümetimizi yabancı istihbarat ve ulusumuzun olumsuzluğuna sahip olan ve ortaya çıkarmaya devam eden önemli bir siber güvenlik ihlali” olduğuna inandığını söyledi.
Aşağıda, Doge Whistlower şikayetinde iddia edilen en iyi siber güvenlik hatalarının dökümü:
Üst düzey hesapların açılmamış oluşturulması
Berulis, Doge çalışanlarına, oluşturulan hesapların kayıtları olmadan “Kiracı Sahibi” seviye erişimi – ajansın CIO’sundan daha yüksek – verildiğini iddia etti. Doğru ise, hareket kimlik ve erişim yönetimi en iyi uygulamaları açıkça atlayacaktır. Hesapların, NLRB’nin tüm Azure ortamı üzerinde veriler, altyapı ve günlük dosyalarına erişim dahil olmak üzere sınırsız bir kontrole sahip olduğu iddia ediliyor.
Uygun tomruklama olmadan, gözetim ve adli soruşturma neredeyse imkansız olacaktır – ayrıca denetim olayları ve en az ayrıcalık etrafındaki kontrollerin ihlali.
Gözetimini reddetmek, ajans içindeki rolleri denetlemek
NLRB personeline, şikayete göre, mevcut, sınırlı denetim rollerini kullanmamaları ve bunun yerine Doge tam, işlenmemiş erişimin verilmemeleri söylendi. En az ayrıcalık ilkeleri böyle bir durumda göz ardı edilmiş gibi görünür, hassas verilerin değerlendirilmesi sırasında erişimi sınırlamak için var olan güvenlik uygulamalarını göz ardı eder.
Doge çalışanlarına uygun bir gerekçe veya gözetim olmadan tam erişim sağlamak, Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın yanı sıra Federal Bilgi Güvenliği Modernizasyon Yasası’ndan rehberlik ile çelişmektedir.
Gizlenmiş ve jenerik yönetici hesaplarının kullanımı
Berulis, Doge çalışanlarının “yeni hesaplar oluşturmuş olabileceğini, daha sonra silinmiş olabileceğini” söyledi, ancak ekibi daha sonra belirsiz kökenlere sahip iki “ekstra yüksek seviyeli izin hesabı” keşfetmek için bir CISA aracı kullandı. Bu hesaplara “NLRB Yöneticisi” olarak adlandırıldı ve diğeri şikayete göre, içeriden gelen tehdit veya yetkisiz erişim için bilinen bir kırmızı bayrak – “jenerik yönetici adı” içeriyordu.
NIST ve diğer temel kullanıcı hesap verebilirliği talep eden diğer temel, sıfır güven ilkeleri, günlüğe kaydetme ve izleme amaçları için daha spesifik hesap adları gerektirir.
Gizli kapların oluşturulması, süresi dolmuş erişim belirteçleri/P>
Şikayet, görünüşte opak Azure konteynırları oluşturan DOGE ile ilgili hesaplar ve görünmez ve geçici olacak şekilde tasarlanmış kısa süresi sona erme süreleri ile paylaşılan erişim imza belirteçleri de dahil olmak üzere NLRB sistemlerinde “anomalilerin” keşfini detaylandırıyor. Bu tür hareketler, bulut tabanlı siber saldırılar ve veri açığa vurma kampanyaları sırasında siber suçlular ve yabancı düşmanlar tarafından kullanılan klasik kaçış teknikleridir.
Ayrıca, ajansların şüpheli aktiviteyi tespit etmek ve bunlara yanıt vermek için denetim günlüklerini üretmelerini, tutmasını ve rutin olarak değerlendirmesini gerektiren açıklık ve görünürlük rehberliği ihlalleri de açıktır.
Devre Dışı Günlük ve Ağ İzleme
Berulis, Azure’un ağ izleyicisinin ve koşullu erişim politikalarının devre dışı bırakıldığını veya değiştirildiğini, dahili uyarma sistemlerinin kapalı olduğunu ve mobil erişim için çok faktörlü kimlik doğrulamanın beklenmedik bir şekilde devre dışı bırakıldığını fark ettiğini söyledi. Bu değişiklikler, bir ajansın saldırıları gerçek zamanlı olarak tespit etme veya yanıtlama yeteneğini etkili bir şekilde sakat edecektir.
Uzmanlar, bu temel siber hijyen uygulamalarının kimlik hırsızlığını, yanal hareketi ve kalıcı erişimi önlediğini söyleyerek kritik sistemlerde günlük kaydı ve MFA’yı devre dışı bırakmaya karşı uzun süredir uyardı.
Genel İnternet’e maruz kalma, şüpheli harici araçların kurulumu
Şikayet, en az bir arayüzün kamu internetine maruz kaldığını, potansiyel olarak giriş noktalarını çekirdek sistemlere maruz bıraktığını ve NLRB’nin saldırı yüzeyini önemli ölçüde genişlettiğini söyledi. Tehdit günlükleri ayrıca, Berulis’e göre, sıklıkla kaçınma için kullanılan araçlar veya kazıma ve kaba kuvvet saldırıları dahil olmak üzere NLRB tarafından kullanılmayan GitHub kütüphanelerini indirdiğini gösterdi.
Dış araçları uygun inceleme olmadan kurmak, bir dizi yazılım tedarik zinciri risk yönergelerini ve federal siber güvenlik en iyi uygulamalarını ihlal eder.
Büyük ihlal göstergelerinden sonra ABD-sert bildirim yok
Önemli siber güvenlik olaylarından sonra gerekli olan CISA’da ABD’yi bildirmek için iç bir talep garanti edecek kadar kırmızı bayrak olmasına rağmen, bu çaba sonunda üst düzey liderlik tarafından kapatıldı. Eğer doğruysa, hareket muhtemelen Federal Bilgi Güvenliği Modernizasyon Yasası raporlama gereksinimlerini ihlal ediyor.
Ajansların yasal olarak hassas sistemlerin potansiyel uzlaşmasını veya kişisel olarak tanımlanabilir bilgileri içeren olayları bildirmeleri gerekmektedir.
Rus IPS’den Giriş Denemeleri DOGE tarafından oluşturulan hesapları kullanarak
Doge çalışanları hesaplarını NLRB sistemlerinde oluşturduktan kısa bir süre sonra, şikayet, Primorskiy Krai, Rusya’daki IPS’den giriş girişimlerinin geçerli kullanıcı adları ve şifreler kullanılarak tespit edildiğini belirtiyor. Giriş denemeleri, bu Doge tarafından oluşturulan hesapların bilindiği ve potansiyel olarak düşman devletlerindeki aktörler için mevcut olduğu ve karşı istihbarat ve ulusal güvenlik alarmlarını artırdığı anlamına geliyor.
Şikayet ayrıca, basamaklı siber güvenlik başarısızlıklarının, Berulis’in ajansın NXGEN vaka yönetim sisteminden çıktığını gördüğü en az 10 gigabayt açıklanamayan veriye yol açtığını ve Doge’nin erişiminin zaman çizelgesiyle uyumlu faturalandırma kullanımının arttığını belirtti. Transferleri haklı çıkarmak için karşılık gelen hiçbir kayıt yoktu.
Beyaz Saray bir yorum talebine cevap vermedi. NLRB, sistemlerinin ihlali olduğunu reddetti.