Elon Musk y su grupo de programadores tenían acceso a datos de los sistemas gubernamentales estadounidenses para ayudar a sus esfuerzos declarados para reducir el tamaño del gobierno, dejando a los expertos en ciberseguridad profundamente preocupados por la forma en que todos estos datos confidenciales son seguros.
Hasta ahora, Musk y su Ministerio de Efectividad del Gobierno (DOGE) han accesible para los sistemas informáticos del Ministerio del Tesoro, así como los datos clasificados de la Agencia Americana de Desarrollo Internacional (USAID) y la Oficina de Gestión del Personal (OPM), que contiene datos confidenciales sobre millones de trabajadores federales, en particular autorizaciones para la seguridad, y luego posee Bloqueado por los principales funcionarios del gobierno Acceso adicional a estos sistemas de personal, según una bomba de Reuters.
EL Equipo de dux También habría enviado nombres parcialmente expurgados del personal de la CIA a través de una cuenta de mensajería no utilizada, según The New York Timesy Forbes reportado que el equipo alimenta datos del Ministerio de Educación y datos del Ministerio de Energía en un inteligencia artificial Modelo para identificar ineficacia, con un nivel desconocido de protección de la seguridad de la información. En el futuro, se espera que use AI para administrar el gobierno. Hubiera sido Doge también crea su propio chatbot Para administrar la Administración de Servicios Generales del Gobierno Federal, llamada GSAI.
Dege aún no ha respondido a una solicitud de comentarios de Dark Reading, pero este periodista solicitó a los expertos en ciberseguridad sus reflexiones sobre el desenredado de las protecciones de ciberseguridad en torno a los datos del gobierno federal. Los comentarios a continuación se recopilaron del experto en derecho de ciberseguridad y el experto político Stewart Baker; Evan Dornbush, ex experto en ciberseguridad de la NSA; Y Willy Leichter, director de marketing de AppSoc.
Pregunta 1: ¿Las actividades duendes le preocupan que usted sea sobre la ciberseguridad de los datos a los que acceden?
Stewart Baker: Por supuesto, el enfoque de Doge DoGe más inteligente en la sala de reforma del gobierno aumenta los riesgos de seguridad, especialmente si Dege codifica los cambios en los sistemas gubernamentales. La regla de diseño del software es “rápida, segura y económica: elija dos”. Elon Musk fue un gran éxito en los negocios al eliminar los procedimientos y organizaciones y partidos que, según los expertos, eran esenciales.
Dirige Twitter / X con un quinto de los empleados que tenía antes de hacerse cargo. Ha simplificado considerablemente el diseño de cohetes, lo que permite una fabricación y reversión más rápidas. Por lo tanto, no es sorprendente que desee desafiar e ignorar muchas reglas gubernamentales, incluidas las que protegen la seguridad de la información. Pero las reglas de seguridad protegen contra oponentes activos. Tomar atajos que parecen sensibles a tipos muy inteligentes podrían generar serios problemas en el camino, y esto puede llevarnos por un tiempo para hacer el daño.
Sin embargo, la impaciencia de almizcle es comprensible. Estoy seguro de que hay empleados que usan reglas de seguridad para retrasarlo o contrarrestarlo por completo. Es importante que Dege se tome la seguridad en serio, pero también que sus críticas son muy específicas para los riesgos de seguridad que ven, en lugar de usar la ciberseguridad como una herramienta versátil para la demora.
Evan Dornbush: Es bastante razonable que las personas estén preocupadas, incluso alarmadas, por cómo Dege está trabajando actualmente. Para cualquier organización, el proceso de seguridad de datos a menudo se desarrolla a lo largo de los años, mediante la adopción de una miríada de perspectivas para garantizar que los datos confidenciales no sean efectivos, y que la periodización puede recrear una imagen de datos accesibles o datos de tránsito, si es necesario.
Willy Leichter: Las acciones de Doge, durante sus primeras dos semanas, son el mayor pisoteo deliberado de los protocolos de seguridad del gobierno en la historia cibernética. La arrogancia, la ignorancia deliberada, la maliciosa y la estupidez pura de esta pandilla de piratas sin respuesta y deambulando inexplicable de las sensibles redes gubernamentales son asombrosas. Si este tipo de actividad ocurrió en el sector privado, con este nivel de información muy sensible y regulada, estamos hablando de multas masivas y responsabilidad penal personal de todos los actores involucrados.
Esto no podría suceder en un momento más precario para la ciberseguridad del gobierno. Porcelana y otros países han sido acelerar ataquesYa se dirige a muchas de las mismas redes, robando datos y plantando las herramientas para paralizar nuestra infraestructura crítica. Poner estos datos en manos inexpertas e imprudentes, mientras se enfoca en los sistemas de defensa, desmoralizando a nuestros expertos más experimentados, disolver los grupos asesores público-privados y el financiamiento de ciberdiciativos críticos inevitablemente tendrá consecuencias desastrosas. Las únicas preguntas son si nos costará miles de millones en comparación con miles de millones de pérdidas, y si llevará años en comparación con las décadas en recuperarse.
Pregunta 2: ¿Qué hizo específicamente Doge que le preocupaba?
Panadero: El envío de los nombres de los empleados de la CIA en canales no utilizados es muy arriesgado, incluso si los nombres son solo el primer nombre, la final inicial. Dadas todas las demás fuentes de información sobre individuos, la reconstrucción de nombres completos es algo que un servicio externo hostil buscaría hacer, de modo que intente interceptar la lista de nombres. Mi pregunta es ¿por qué Dege piensa que es un riesgo de correr? ¿Será bueno la lista de nombres? Supongo que la solicitud estaba vinculada a posibles despidos a la CIA, pero Dege realmente necesitaba los nombres para decidir que tienen lugar. De lo contrario, era un riesgo innecesario e irresponsable.
Dornbush: Falta de transparencia. Actualmente, parece que se hacen preguntas a Doge sobre cómo garantiza los datos a los que ha accedido a los sitios gubernamentales. No sabemos si alguien duaba incluso responde. La minimización del riesgo de acceso no autorizado requiere equipos completos de especialistas, aumentados por hardware y software especialmente diseñados. Incluso si finalmente se determina que Dege tiene la autorización para acceder a estos datos, [if] Eliminó físicamente los datos de estas redes endurecidas y monitoreadas profesionalmente, ¿cómo se asegura el perro que los datos son responsables de su propio compromiso o divulgación? ¿Cómo puede ser capaz de certificar que los datos se destruyen una vez que ya no es necesario?
Leichter: El equipo de Doge ha ignorado casi todos los principios de seguridad básicos que se enseñan durante la primera semana de un curso de ciberseguridad, suponiendo que nunca hayan tomado uno.
Estos incluyen forzar la entrada a sistemas limitados y clasificados sin la autorización adecuada. Los funcionarios públicos cumplieron con su deber para evitar que esto se pusiera en licencia administrativa. Los miembros de Doge también tenían acceso excesivo a sistemas sensibles que iban mucho más allá de lo necesario para sus roles de asesoramiento. Además, el personal de Doge con una historia controvertida, la descarada falta de calificaciones y conflictos de intereses obvios no se redujo a una verificación legítima de las agencias gubernamentales calificadas.
Muestra de desprecio por los protocolos de seguridad, Los agentes de DOGE han pasado por alto las medidas de seguridad estándar, el acceso a los sistemas sin autorización e ignoran los protocolos destinados a proteger los datos confidenciales, [and were provided] Acceso no autorizado a datos personales de empleados federales y ciudadanos estadounidenses, que viola varias leyes de confidencialidad, incluso si no se divulgan los datos.
Pregunta 3: En su opinión, ¿qué debe suceder para asegurar datos bajo custodia de Doge?
Panadero: Doge debe reconocer su responsabilidad de mantener la seguridad de los datos que administra, y sus procedimientos de seguridad deben estar sujetos a la auditoría. Deben levantarse las decisiones judiciales que intentan proteger los datos al rechazar Doge a Doge.
Dornbush: Doge asegurar datos es imposible. Doge está recién formado. Los datos que está considerando se han sentado detrás de años de personas acumuladas, productos y políticas que se especializan solo en la seguridad de este conjunto de datos. La eliminación de datos de estos sitios evapora que progresan, e irónicamente, es extremadamente ineficaz e inútil. Si desea ver estos datos, muy bien. Trabajar en la oficina.
Leichter: Probablemente sea imposible cancelar este tipo de daño. Los datos deben ser destruidos, todo el acceso inapropiado revocado y los guardias gubernamentales altamente calificados deben estar autorizados a regresar al trabajo y hacer su trabajo. Todo esto parece altamente improbable, porque la administración se desactiva deliberadamente tanto como sea posible, el gobierno federal y reemplaza a expertos altamente calificados por contrataciones políticas incompetentes.
Pregunta 4: ¿A qué presta atención a Doge y su estrategia de seguridad de la información?
Panadero: Todavía estoy esperando escuchar cuáles son los Infosec de la estrategia y los compromisos de Doge.
Dornbush: Lo que Doge hace supuestamente es importante y tiene mérito. Me encantaría saber cuál es la estrategia Infosc. Actualmente, parece que compartir los pasos de seguridad que toman con el público no es una prioridad.
Leichter: Si Doge tiene una estrategia, ella la mantuvo en secreto. Cualquier agencia gubernamental legítima tendría una estrategia bien documentada, una contribución del público y los objetivos definidos que se alinean con los objetivos mayores. La única estrategia discernible de Doge y la administración es desmantelar a tantos gobierno lo más rápido posible, de Purge, que parecen considerar como un pasivo.
La única pregunta es qué tan rápido puede entrar en juego la intervención judicial y si se ignorará. Lo único que podría influir en esta administración es una convicción pública general después del próximo incidente de seguridad importante, que probablemente se esconde por la calle. Es una estrategia de seguridad terrible.
¿Le gustaría pesar una de las cuatro preguntas anteriores? En caso afirmativo, envíe una nota a [email protected] Incluir en una historia de seguimiento con reacciones de los lectores.