Son zamanlarda yapılan bir denetim, imha edilmesi planlanan hassas depolama ortamlarının yönetimiyle ilgili olarak Federal Soruşturma Bürosu’ndaki (FBI) rahatsız edici güvenlik eksikliklerine ışık tuttu. Adalet Bakanlığı’nın Müfettişlik Ofisi (OIG) tarafından yürütülen denetim, FBI’ın hassas bilgiler içeren elektronik depolama cihazlarını izleme ve güvence altına alma prosedürlerinde önemli kusurlar olduğunu ortaya koyuyor.
OIG raporuna göre, FBI kullanımdan kaldırılan elektronik depolama ortamlarını yeterince etiketlemekte, depolamakta ve güvence altına almakta başarısız oldu. Dahili sabit diskler ve USB bellekler içeren bu cihazlar genellikle hassas ancak sınıflandırılmamış kolluk kuvvetleri bilgileri ve sınıflandırılmış ulusal güvenlik bilgileri (NSI) ile doludur.
Yapılan denetimde, söz konusu maddelerin FBI kontrolündeki imha tesisinde uzun süreler boyunca paletler üzerinde gözetimsiz bir şekilde saklandığı ortaya çıktı ve bu durum, söz konusu hassas depolama ortamlarının güvenliği konusunda ciddi endişelere yol açtı.
Denetim, Hassas Depolama Ortamında Kritik Güvenlik Açıklarını Ortaya Çıkardı
Rapor, FBI’ın bu cihazlar için envanter yönetimi ve elden çıkarma prosedürlerinin belirgin şekilde yetersiz olduğunu ortaya koyuyor. Özellikle, kurum, Top Secret bilgisayarlarından çıkarılanlar da dahil olmak üzere dahili sabit diskleri izlemekte zorluk çekiyordu ve bunların imhasını her zaman doğrulayamıyordu. Denetim, FBI’ın bu hassas depolama ortamlarını ele alışının gerekli güvenlik standartlarının altında kaldığını ve yetkisiz erişim veya kötüye kullanım riskini artırdığını buldu.
Denetim raporu, FBI prosedürlerinin eksik olduğu birkaç kritik alanı vurgulamaktadır. FBI’ın mevcut uygulamaları, USB bellekler ve dahili sabit diskler dahil olmak üzere elektronik depolama ortamlarının muhasebesi için yetersiz politikalar ve kontroller içermektedir. Dahası, cihazlar her zaman uygun NSI sınıflandırması veya hassas ancak sınıflandırılmamış (SBU) seviyeleriyle etiketlenmemektedir ve bu da güvenli bir şekilde elden çıkarılmalarını sağlama sürecini karmaşıklaştırmaktadır.
Denetim, medya imhasının gerçekleştiği tesiste fiziksel güvenlik önlemlerinin iyileştirilmesine ihtiyaç duyulduğunu belirtiyor. Bu cihazların temizlenmesi ve imhasında yer alan yüklenicilerin gizli veriler de dahil olmak üzere korunan bilgilere erişimi olmasına rağmen, FBI’ın imha tesisindeki dahili erişim kontrolleri yetersiz. Denetim, bu sorunların hassas depolama medyasının güvenliğini artırmak için FBI tarafından derhal ele alınması gerektiğini öne sürüyor.
İyileştirme Önerileri
Denetimin ardından, OIG FBI’a belirlenen endişeleri ele alması için birkaç öneride bulundu. Bu öneriler, kurumun hassas depolama ortamlarını ele alma prosedürlerini güçlendirmeyi amaçlıyor. Önerilen iyileştirmeler arasında envanter yönetimi için daha sağlam politikalar geliştirmek ve uygulamak, tüm elektronik depolama ortamlarının hassasiyetine göre uygun şekilde etiketlenmesini sağlamak ve ortam imha tesisinde fiziksel güvenlik önlemlerini artırmak yer alıyor.
Elektronik medyanın işlenmesini, temizlenmesini, imhasını ve bertarafını denetleyen FBI Varlık Yönetim Birimi (AMU), bu sorunun merkezinde yer almaktadır. Haziran 2024 itibarıyla AMU, ABD ve Porto Riko’daki merkez ofisler ve saha ofisleri dahil olmak üzere çeşitli FBI lokasyonlarındaki varlıkları yönetmektedir. AMU’nun Mülkiyet Teslim Ekibi (PTI), medyayı almak ve kataloglamaktan sorumludur, Medya İmha Ekibi (MDT) ise temizleme ve imhasını yönetmektedir.
AMU’nun elektronik medyayı işleme süreci birkaç aşamayı içerir. Başlangıçta, medya FBI genel merkezinde veya belirlenen imha tesisinde toplanır. Geldiğinde, medya palet büyüklüğündeki kutulara yerleştirilir ve MDT işleyebilene kadar saklanır. MDT, Çok Gizli bilgiler içerenler gibi yüksek değerli varlıkların imhasına öncelik verir ve diğer öğeler için ilk giren ilk çıkar yöntemini izler.
Bu prosedürlere rağmen, denetim önemli sorunları ortaya koyuyor. Örneğin, masaüstü bilgisayarlar, dizüstü bilgisayarlar ve diğer cihazlar dahil olmak üzere elektronik ortamlar bazen derhal işlenmiyor ve çıkarılan sabit diskler en son işleniyor. Ek olarak, manyetik alan giderme, parçalama ve parçalama gibi işlemleri içeren temizleme işlemi her zaman gerekli güvenlik seviyesiyle gerçekleştirilmiyor. Denetimin bulguları, hassas depolama ortamlarının uygun şekilde işaretlenmemesi ve izlenmemesinin, imhasıyla ilişkili riskleri daha da kötüleştirdiğini gösteriyor.