Veri Güvenliği, Fisma, Hükümet
Elon Musk’ın Güvenli Olmayan Erişim, Veri İhlali, Siber Başarısız Olmasıyla Dikkat Edilen Doge Liderliği
Chris Riotta (@Chrisriotta) •
2 Haziran 2025
Mercurial milyarder Elon Musk’un Cuma günü Washington’dan DC’den ayrılması, dört blustery aydan sonra, kontroller ve süreçler için göz ardı edilmesiyle körüklenen şüpheli siber güvenlik kararlarının dijital bir mirasını bırakıyor.
Ayrıca bakınız: FedRamp ve Stateramp’ı anlamlandırıyor
Başkan Donald Trump Cuma günü yaptığı açıklamada, yönetiminin “Doge kesintilerini kalıcı hale getirmeye tamamen kararlı” olduğunu ve daha derin indirimlerin hala önde olduğunu ima ettiğini söyledi. Musk çalışanlarının çoğu yerinde kalacak ve Trump, Musk’un gayri resmi olarak tavsiyede bulunmaya devam edeceğini önerdi.
“Onun bebeği olduğunu hissediyorum,” dedi Trump gazetecilere Musk’un yanında dururken. “Bence birçok şey yapacak.”
New America Open Teknoloji Enstitüsü kıdemli politika analisti Sydney Saubestre, Musk’un Washington’dan ayrılması kalıcı olsun ya da olmasın, Doge’deki liderliği federal dijital altyapıyı zayıflatan siber güvenlik başarısızlıklarını tetikledi. Saubestre, bilgi güvenliği medyası grubuna Doge’in yanlış adımlarının onaylanmamış özel sunucuları kullanmayı, günlük olmadan üst düzey yönetici hesapları oluşturmayı ve temel önlemleri görmezden gelirken netsiz personele erişim sağladığını söyledi.
Doge’in Musk altındaki eylemleri “federal siber güvenlik protokollerini ihlal ediyor ve zaten açıklanamayan giden veri transferleri ve Rus IP’lerinden giriş girişimlerinin kanıtlarına yol açtı.” Dedi. Kongre’yi bağımsız olarak Doge’i denetlemeye ve denetim parkurları üretmeleri ve çalışmalarının federal siber güvenlik standartlarına uygun olmasını sağlamaya çağırdı.
Saubestre, “Bu veriler Amerikan halkına ait ve hükümetin onu koruma sorumluluğu var.” Dedi.
Musk’un Feds’e kitlesel e -postası ‘Güvenlik Kabusu’ yaratıyor
Musk’un 22 Şubat, milyonlarca federal işçinin haftalık çalışmalarını özetleyen beş mermi puanını e -postayla göndermesi talebi, hareketin hassas operasyonları yabancı düşmanlara maruz bırakma riskiyle karşı karşıya kaldı. 22 Şubat Cumartesi günü tweet tarafından başlatılan ve ardından bir Personel Yönetimi E -postası Ofisi Drew Alarm ve bazı yetkililerin yanıtlamamalarını söyleyen direktif.
Güvenlik analistleri, şifrelenmemiş e -posta üzerinden gönderilen hassas bilgilerin ele geçirilebileceğini veya yanlış kullanılabileceğini söyledi. Raporlardan sonra endişeler derinleşti, Musk çalışanlarının gönderileri AI araçları aracılığıyla yürütmeyi amaçladığını ve kusurlu analiz ve potansiyel sömürü riskini artırdığını gösterdi.
Demokrasi ve Teknoloji Merkezi’nden Hannah Quay-De La Vallee, e-posta tartışmasının “muhtemelen temel güvenlik uygulamalarını uygulama yeterliliğini gösteren DOGE çalışanları için erişilebilen değerli, kötü korumalı bilgilerin bir balpotu yarattığı” konusunda uyardı. FBI Direktörü Kash Patel ve Ulusal İstihbarat Direktörü Tulsi Gabbard da dahil olmak üzere üst düzey yetkililer, personeli talebi görmezden gelmeye, güvenlik ve sınıflandırma risklerine atıfta bulunmaya yönlendirdi (bakınız: Elon Musk’un Federal İşçisi E -posta Sparks ‘Güvenlik Kabusu’).
Trump, Musk Hedef FBI ve işgücü tasfiyesinde siber liderler
Musk ve Doge tarafından desteklenen bir hükümet işgücü tasfiyesi, üst düzey siber güvenlik yetkililerini FBI ve siber güvenlik ve altyapı güvenlik ajansından kaldırdı. İdare, Robert Nordwall, Robert Wells ve Ryan Young da dahil olmak üzere seçim güvenliğine, siber suç araştırmalarına ve dezenformasyon tepkisine liderlik eden en iyi ajanları zorladı ve büyüyen yabancı siber tenler arasında onlarca yıllık deneyimin sıyırdı.
Beyaz Saray, satın alma programını başlangıçta muaf tuttuktan sonra CISA’yı içerecek şekilde genişletti ve bir hakim çabayı geçici olarak durdurmadan önce birkaç seçim güvenlik çalışanını izniye aldı. Görev Gücü’nün, tıpkı rakiplerin toplandığı gibi siber hazırlığın çöktüğü konusunda uyaran milletvekillerinden çekilen eleştirileri küçültme ajansına katılımı (bkz: bkz: Trump, işgücü tasfiyesinde CISA siber yetkilileri FBI’ı hedefliyor ).
Bilgi uçurucu, kontrolsüz erişim ve yabancı saldırı iddia ediyor
NPR tarafından bildirilen bir ihbar şikayetine göre, DOGE çalışanları ulusal çalışma ilişkileri kurulunun bulut sistemlerine yüksek, federal kimlik ve erişim kontrollerini atlayarak yüksek seviyeli erişim elde etti. Günlük olmadan oluşturulduğu ve daha sonra sildiği iddia edilen hesaplar, ajansın baş bilgi memurundan daha fazla ayrıcalıklara sahipti ve en az ayrıcalık ve denetlenebilirlik ilkelerini ihlal etti. Aktivasyondan birkaç dakika sonra, hesaplar Rus IPS’den giriş girişimlerini tetikledi ve ajansta kıdemli devsecops mimarı Daniel Berulis, toplam 10 gigabayttan fazla olan açıklanamayan veri aktarımlarıyla çakıştı.
Şikayet, Doge bağlantılı personelin, bulut tabanlı müdahalelerde kullanılan kaçınma taktikleri, hızlı bir şekilde yok olmak için tasarlanmış gizemli Azure konteynırları ve geçici erişim belirteçlerinin nasıl oluşturulduğunu açıklıyor. Dahili izleme araçları ve çok faktörlü kimlik doğrulaması devre dışı bırakıldı, bu da ajansın savunmalarını daha da kör etti ve tespit edilmemiş yanal hareket sağladı. Ajans tarafından kullanılmayan ve genellikle kaba kuvvet saldırıları ile ilişkili kod dahil olmak üzere GitHub’dan harici araçlar da kuruldu.
Kurul liderliği, ABD Bilgisayar Acil Durum Hazırlık Ekibini bilgilendirmek için iç çabaları kapattı. Uzmanlar, faaliyetin Federal Bilgi Güvenliği Modernizasyonu Yasası uyarınca federal yasayı ihlal ettiğini ve hassas vaka verilerinin maruz kalmasına izin verdiğini söylüyor. NLRB herhangi bir ihlali reddetti (bakınız: Bilgi uçağı şikayeti Doge Siber Güvenlik Arızalarını Gömülür).
Doge Staffer, Şifrelenmemiş Hazine Verilerini Onay Olmadan E -postalar
Bir Doge personeli, Ciso David Ambrose tarafından yönetilen Mali Hizmet Bürosu’ndan bir mahkeme ifadesine göre, kıdemli Trump yetkililerine kişisel olarak tanımlanabilir bilgiler içeren şifrelenmemiş bir Hazine veritabanı gönderdi, ajans kurallarını ihlal etti ve gerekli onayları atladı. Ambrose, personel Marko Elez’in verileri gönderme izni alamadığını ve dosyayı harici olarak paylaşmadan önce şifrelemediğini söyledi.
Eleez’in Hazine Sistemlerine kısa okuma-yazma erişimi sessizce salt okunurca düşürüldü. Bir federal hakim daha sonra Doge’in erişimini “hacklemeye daha savunmasız” bıraktı ve tüm özel hükümet çalışanlarına indirilen verileri yok etmelerini emretti (bkz:: ABD Doge Staffer, şifrelenmemiş Hazine verilerini e -posta ile gönderdi).
Doge, iç mekanda bir siber güvenlik sarsıntısına liderlik ediyor
İçişleri Bakanlığı, Federal Sistemlere uygun olmayan erişim kazanan çalışanları üzerinde Doge ile bir çatışmadan sonra en iyi siber güvenlik liderlerini devirdi. Anlaşmazlık, misk destekli veri girişimlerinin yapay zeka yoluyla atık kesme arayışında federal güvenlik protokollerini atladığı endişelerine odaklandı.
İç CIO Darren Ash ve Ciso Stan Lowe, rollerinden çıkarılan birkaç üst düzey yetkili arasındaydı. İşten çıkarılmaları, Doge’in AI araçlarını hassas hükümet sistemlerine takma çabalarına içsel direnişini izledi. Yetkililer, kritik altyapı ve hükümet veri bütünlüğüne yönelik riskleri artırma konusunda uyardı.
Shakeup yasal ve siyasi inceleme yaptı. Yargıçlar başlangıçta Doge’in erişim taktiklerine karşı kısıtlama emirleri yayınladı ve onlara “balıkçılık seferi” olarak adlandırdılar. Eleştirmenler, artan küresel tehditlerin bir döneminde atıkların kök salması için daha geniş Musk-Trump girişiminin federal siber savunmaları önemli ölçüde zayıflattığını söyledi (bkz:: İçişleri Bakanlığı Doge Spat ortasında kilit siber liderleri deviriyor).
Sosyal Güvenlik İdaresi Gizlilik Yasası İhlallerinden Sonra Doge Bloklar
Sosyal Güvenlik İdaresi, çalışanlar federal plak sistemlerine sınırsız giriş ihtiyacını haklı çıkaramadıktan sonra DOGE’nin hassas kişisel verilere erişimini kesti. Bir federal yargıç, Doge’in görev gücü geniş erişim talep ettikten ancak temel gizlilik ve veri erişim protokollerini takip edemedikten sonra kişisel olarak tanımlanabilir bilgileri korumak için önlemleri göz ardı ederek Gizlilik Yasası’nı ihlal ettiğini buldu.
Eski SSA Genelkurmay Başkanlığı Tiffany Flick’e göre, Doge yetkilileri, çözülmemiş güvenlik izni sorunlarına rağmen personele sistemlere erişim vermeleri için baskı yaptı. Flick, SSA’nın iç kontrollerini atlama çabalarına direnen “bilmesi gereken” kuralları zorlamaya zorlandığını söyledi. Doge bağlantılı bir mühendisin, tam veteriner olmadan finansal verilere erişim aldığı ve hassas kayıtların yanlış maruz kalması nedeniyle dahili alarmları artırdığı bildirildi.
Mahkeme emriyle, Doge artık kişisel olarak tanımlanabilir bilgiler içeren tüm SSA verilerini yok etmeli ve arka plan kontrollerini ve eğitimi tamamladıktan sonra yalnızca düzeltilmiş kayıtlara sınırlı erişim izin verilir. Hakim, Doge’in SSA sistemlerine tam erişime ihtiyaç duymasının tek bir nedenini sunmadığını söyledi (bkz:: Gizlilik endişeleri üzerine Sosyal Güvenlik verilerinden engellendi ).
Beyaz Saray, Mayıs ayında Yüksek Mahkemeden, görev gücünün hükümet atıklarını daha iyi hedeflemek için erişime ihtiyaç duyduğunu savunarak Mayıs ayında Doge çalışanlarından SSA sistemlerine erişmelerini istedi.
Doge hassas eğitim verilerini AI sistemlerine besler
Hükümet gözlemcileri, federal siber güvenlik yetkilileri ve Doge’in eğitim departmanından kişisel bilgiler de dahil olmak üzere hassas federal verileri işlemek için AI kullanımı hakkında endişelerini dile getirdi. Doge çalışanlarının, Ajans kayıtlarını Microsoft’un Azure platformuna net korumalar olmadan yükledikleri bildirildi ve sosyal güvenlik numaraları ve aile geliri gibi gizli verilerin rıza veya gözetim olmadan kullanılabileceğine dair endişeleri körükledik.
Demokrasi ve Teknoloji Merkezi Direktörü Elizabeth Laird, Doge’un kullandığı AI yazılımının bu tür verilerin güvenli bir şekilde ele alınması için araştırıldığı bildirildi.
Laird, Bilgi Güvenlik Medya Grubuna verdiği demeçte, “Bilgilerini Eğitim Bakanlığı ile paylaşan insanlar, güvenli ve güvenli tutulduğunu bilmeyi hak ediyorlar.” Dedi. “Bu bağımsız bir sorun olsaydı yeterince kötü olurdu, ancak Doge’in baktığımız her yerde gizlilik ve veri korumaları üzerinde kaba bir şekilde çalıştığını görüyoruz” (bakınız: Doge’in yapay zeka kullanımı büyük gizlilik endişelerini artırıyor, yasal ısı).
Doge çalışanları nükleer sistemlere erişim verildi, güvenlik çığlıkları kıvılcım
DOGE çalışanlarının, Nisan ayında Ulusal Nükleer Güvenlik İdaresi’ne bağlı olarak sınıflandırılmış ağlarda hesaplar aldıkları ve ülkenin en hassas verilerinin bazılarına yetkisiz erişim hakkında alarmlar verdiği bildiriliyor. Enerji Bakanlığı başlangıçta erişimi reddetti, ancak daha sonra her ikisi de 25 yaşın altındaki Doge bağlantılı personelin ajansta kısaca çalışırken hesapları olduğunu kabul etti. Yetkililer, katılımları sırasında standart veteriner protokollerinin takip edilip edilmediğini doğrulamamışlardır.
Her iki Doge çalışanının da, nükleer sistemlere erişimin nasıl verildiğine dair endişe duyarak, gizli bilgileri ele alma konusunda daha önce deneyime sahip olmadı. Uzmanlar, Doge’in siber güvenlik standartlarına ve veterinerlik prosedürlerine karşı saygısızlığının, hükümetin en hassas sistemlerini daha yüksek iç ve dış uzlaşma riskine sokduğu konusunda uyardı (bkz: bkz: Rapor: Musk liderliğindeki görev gücü nükleer ağ hesapları kazandı).
Doge gizlice büyük federal veri merkezi inşa etmekle suçlandı
Kongre’ye verilen ihbarcı açıklamalarına göre, Doge, federal ajanslardan çekilen hassas bilgilerin “ana veritabanı” bir araya getirildiği iddia ediliyor. Milletvekilleri, veritabanının şimdiye kadar SSA’dan gelen verilerle geliştirildiğini ve kritik sistemleri güvenlik risklerine maruz bırakırken federal gizlilik yasalarını ihlal edebileceğini söyledi.
Çaba, net olmayan AI şirketlerine bildirilen veri transferlerini ve birden fazla federal ağa erişmek için özel donanımın geliştirilmesini içerir (bkz:: Bilgi uçağı Doge’yi gizlice ‘Ana Veritabanı’ oluşturmayı uyarır).