网络安全专家对新成立的政府效率部(Department of Government Efficiency)在处理其现在可以访问的大量美国数据方面出现的危险信号进行了权衡,这些数据可能没有采取基本的信息安全保护措施。
埃隆·马斯克 (Elon Musk) 和他的程序员团队已获准访问美国政府系统的数据,以帮助他们缩减政府规模,这让网络安全专家对所有这些敏感数据的安全方式深感担忧。
到目前为止,马斯克和他的政府效率部 (DOGE) 已经访问了财政部的计算机系统,以及来自美国国际开发署 (USAID) 和人事管理办公室 (OPM) 的机密数据,该办公室持有数百万联邦工作人员的敏感数据——尤其是安全许可——并随后封锁了关键的政府官员根据路透社的重磅炸弹,阻止进一步访问这些人事系统。
据《纽约时报》报道,据报道,DOGE 团队还通过非机密电子邮件帐户仅发送了部分编辑的 CIA 人员姓名,福布斯报道称,该团队正在将教育部和能源部的数据输入人工智能模型来识别效率低下的情况,并且存在未知级别的信息安全保护。展望未来,有更多计划使用 AI 来管理政府。据报道,DOGE 还在创建自己的聊天机器人来运行联邦政府的总务管理局,称为 GSAi。
DOGE 尚未回复 Dark Reading 的置评请求,但记者确实询问了网络安全专家对围绕联邦政府数据展开网络安全保护的看法。以下评论来自网络安全法律和政策专家 Stewart Baker;前 NSA 网络安全专家 Evan Dornbush;以及 AppSOC 首席营销官 Willy Leichter。
问题 1:DOGE 的活动是否引起了您对他们所访问数据的网络安全的担忧?
Stewart Baker:当然,DOGE 对政府改革的快速反应最聪明的方法会增加安全风险,尤其是当 DOGE 将更改编码到政府系统中时。软件设计的规则是 “快速、安全、便宜 - 任选 2 个”。埃隆马斯克 (Elon Musk) 通过取消专家认为必不可少的程序、组织和部分,在商业上取得了巨大的成功。
他运营 Twitter/X 的员工人数只有他接手前的五分之一。他极大地简化了火箭设计,实现了更快的制造和周转。因此,他想要挑战和无视许多政府规则也就不足为奇了,包括那些保护信息安全的规定。但安全规则可以防止主动攻击者。匆忙采取对聪明人来说似乎明智的捷径可能会导致严重的问题,我们可能需要一段时间才能意识到其危害。
不过,马斯克的不耐烦是可以理解的。我敢肯定,有员工利用安全规则来减慢他的速度或完全阻止他。重要的是,DOGE 要认真对待安全性,但其批评者也要非常具体地说明他们看到的安全风险,而不是将网络安全用作延迟的万能工具。
Evan Dornbush:人们对 DOGE 目前的运作方式感到担忧甚至警惕是完全合理的。对于任何组织来说,保护数据的过程通常是经过多年的发展,从各种角度来看,以确保机密数据的最低限度可访问,并且日志记录可以在需要时重新创建访问数据或传输中的数据的图片。
Willy Leichter:DOGE 的行动,仅仅在最初的几周内,就是网络历史上对政府安全协议的最大规模的蓄意践踏。这帮未经训练、不负责任的黑客在敏感的政府网络中漫游的傲慢、故意无知、恶意和纯粹的愚蠢令人震惊。如果此类活动发生在私营部门,拥有如此级别的高度敏感和受监管的信息,我们将谈论所有涉案行为者面临巨额罚款和个人刑事责任。
这在政府网络安全更加危险的时期再好不过了。 中国和其他国家一直在加大攻击力度,已经以许多相同的网络为目标,窃取数据并植入工具来削弱我们的关键基础设施。将这些数据交到没有经验和鲁莽的人手中,同时拆除防御系统,打击我们最有经验的专家的士气,解散公私咨询小组,并取消关键网络计划的资金,将不可避免地产生灾难性的后果。唯一的问题是,这是否会让我们付出数十亿或数万亿的损失,以及是否需要数年还是数十年才能恢复。
问题 2:DOGE 具体做了什么让您担心的事情?
贝克:通过非机密渠道发送中央情报局雇员的姓名是非常危险的,即使这些名字只是名字,最后的首字母。考虑到关于个人的所有其他信息来源,重建全名是敌对的外国服务机构会寻求做的事情,因此他们将试图拦截姓名列表。我的问题是为什么 DOGE 认为这是一个值得冒险的风险?这个名字列表对 DOGE 有什么好处吗?我假设该请求与 CIA 可能的裁员有关,但 DOGE 真的需要这些名字来决定裁员谁吗?如果不是,这是一个不必要的风险,也是不负责任的。
Dornbush:缺乏透明度。目前,似乎有人向 DOGE 询问了它如何保护从政府网站访问的数据。目前尚不清楚 DOGE 是否有人在回复。最大限度地降低未经授权访问的风险需要整个专家团队,并通过专门构建的硬件和软件进行增强。即使最终确定 DOGE 确实有权访问这些数据,[如果] 它已从这些经过强化和专业监控的网络中删除了数据,DOGE 如何确保数据得到负责任的保护,防止其自身泄露或泄露?一旦不再需要数据,它如何证明数据已被销毁?
Leichter:DOGE 团队几乎无视了网络安全课程第一周教授的所有基本安全原则——假设他们曾经参加过。
这些措施包括未经适当授权强行进入受限和机密系统。官员们履行了他们的宣誓职责以防止这种情况发生,被行政休假。DOGE 成员还被授予对敏感系统的过度访问权限,这些系统远远超出了他们的顾问角色所必需的范围。此外,具有争议背景、公然缺乏资格和明显利益冲突的 DOGE 人员没有经过合格政府机构的合法审查。
DOGE 特工无视安全协议,绕过标准安全措施,未经授权访问系统并无视旨在保护敏感数据的协议,[并被提供] 未经授权访问联邦雇员和美国公民的个人数据,这违反了多项隐私法,即使数据没有泄露。
问题 3:您认为需要做什么来保护 DOGE 托管的数据?
Baker:DOGE 应该承认它有责任维护其处理的数据的安全,并且其安全程序应该接受审计。试图通过拒绝 DOGE 访问来保护数据的司法裁决应该被取消。
Dornbush:DOGE 保护数据是不可能的。DOGE 是新成立的。它正在查看的数据位于多年积累的人员、产品和策略的背后,这些人员、产品和策略只专注于该数据集的安全性。从这些网站中删除数据会蒸发这种进度,而且具有讽刺意味的是,效率极低且浪费。如果您想查看此数据,很好。在办公室工作。
Leichter:这种损害可能不可能消除。需要销毁数据,撤销所有不适当的访问权限,并且需要允许训练有素的政府托管人重返工作岗位并开展工作。所有这些似乎都不太可能,因为政府正在故意让尽可能多的联邦政府瘫痪,并用不称职的政治雇员取代训练有素的专家。
问题 4:关于 DOGE 及其信息安全策略,您最关注的是什么?
Baker: 我仍在等待 DOGE 的信息安全战略和承诺是什么。
Dornbush:据称 DOGE 正在做的事情很重要并且有价值。我很想知道信息安全策略是什么。目前,与公众分享他们正在采取的安全措施似乎并不是优先事项。
Leichter:如果 DOGE 有策略,它就是保密的。任何合法的政府机构都会有一个有据可查的战略、公众意见和与更大目标相一致的明确目标。DOGE 和政府唯一明显的策略是尽快解散尽可能多的政府,清除经验,他们似乎认为这是一种负担。
唯一的问题是司法干预能以多快的速度介入,以及它是否会被忽视。可能影响本届政府的一件事是在下一次重大安全事件发生后受到广泛的公众谴责,而下一次重大安全事件可能就潜伏在拐角处。这是一个糟糕的安全策略。
信息来源:https://www.darkreading.com/cyber-risk/doge-flouting-cybersecurity-us-data
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局