7 février (UPI) – Le ministère de l’efficacité du gouvernement, la commission spéciale du président Donald Trump chargé de réduire les dépenses fédérales, continue de perturber Washington et la bureaucratie fédérale.
Selon des rapports publiés, ses équipes se penchent dans les agences fédérales avec un mandat pratiquement illimité de réformer le gouvernement fédéral conformément aux décrets récents.
En 30 ans vétéran de la cybersécuritéJe trouve les activités de Doge jusqu’à présent concernant. Son large mandat à travers le gouvernement, une surveillance apparemment inexistante et le manque apparent de compétence opérationnelle de ses employés ont démontré que Doge pourrait créer des conditions idéales pour la cybersécurité ou les incidents de confidentialité des données qui affectent toute la nation.
Traditionnellement, le But de la cybersécurité est d’assurer la confidentialité et l’intégrité des systèmes d’information et d’information tout en aidant à garder ces systèmes à la disposition de ceux qui en ont besoin.
Mais dans les premières semaines d’existence de Doge, Les rapports indiquent que Son personnel semble ignorer ces principes et potentiellement rendre le gouvernement fédéral plus vulnérable aux cyber-incidents.
Compétence technique
La cybersécurité et les technologies de l’information, comme toutes les autres fonctions commerciales, dépendent des employés formés spécifiquement pour leur travail. Tout comme vous ne laissez pas quelqu’un uniquement se qualifier pour les premiers soins pour effectuer une chirurgie à cœur ouvert, les professionnels de la technologie nécessitent un ensemble de référence de l’éducation, de la formation et de l’expérience accréditées pour s’assurer que les personnes les plus qualifiées sont au travail.
Actuellement, le grand public, les agences fédérales et le Congrès ont peu d’idée qui bricolent les systèmes critiques du gouvernement. Le processus d’embauche de Doge, y compris la façon dont il dépasse les candidats aux compétences techniques, opérationnels ou de cybersécurité, ainsi que l’expérience au gouvernement, est opaque.
Et les journalistes enquêtant sur les antécédents des employés de Doge ont été intimidés par le procureur américain par intérim à Washington.
Doge a JEUNES ENLUBLES Fraîchement sorti de – ou toujours à – à – collégial ou avec peu ou pas d’expérience au gouvernement, mais qui aurait de fortes prouesses techniques. Certains ont Horizons discutables pour un tel travail sensible. Et un membre du premier employé de Doge travaillant au département du Trésor a Depuis la démission sur une série de publications racistes sur les réseaux sociaux.
Selon les rapports, ces employés de Doge ont obtenu un accès technique au niveau de l’administrateur à une variété de systèmes fédéraux. Il s’agit notamment de systèmes qui traitent tous Paiements fédérauxy compris la sécurité sociale, l’assurance-maladie et les fonds appropriés par le Congrès qui dirigent le gouvernement et ses opérations contractantes.
Les agents de Doge se développent et se déploient rapidement Changements de logiciels majeurs aux anciens systèmes et bases de données très complexes, selon les rapports. Mais étant donné la vitesse du changement, il est probable qu’il y ait peu de planification formelle ou de contrôle de la qualité pour s’assurer que ces changements ne cassent pas le système. De telles actions se déroulent contrairement aux principes de cybersécurité et aux meilleures pratiques pour la gestion de la technologie.
En conséquence, il n’y a probablement aucun moyen de savoir si ces modifications facilitent des logiciels malveillants à présenter dans les systèmes gouvernementaux, si les données sensibles peuvent être accessible sans autorisation Ou si le travail de Doge rend les systèmes gouvernementaux autrement plus instables et plus vulnérables.
Si vous ne savez pas ce que vous faites dedans, de très mauvaises choses peuvent arriver. Un exemple notable est le lancement raté du site Web Healthcare.gov en 2013. Dans le cas des systèmes du département du Trésor, c’est assez important à retenir car la nation s’occupe d’une autre Crise du plafond de la dette Et les citoyens recherchent leurs paiements de sécurité sociale.
Jeudi, un juge fédéral a ordonné que le personnel de Doge soit Limité à l’accès en lecture seule aux systèmes de paiement du Département du Trésor, mais les procédures judiciaires contestant la légalité de leur accès aux systèmes informatiques du gouvernement sont en cours.
Serveurs de courrier électronique doge
Le manque apparent de la compétence de cybersécurité de Doge se reflète dans certaines de ses premières actions. Doge a installé ses propres serveurs de courrier électronique à travers le gouvernement fédéral pour faciliter la communication directe avec les employés de base en dehors des canaux officiels, sans tenir compte des meilleures pratiques éprouvées pour la cybersécurité et l’administration informatique.
Un procès des employés fédéraux allègue que ces systèmes n’a pas subi Un examen de la sécurité requis par les normes fédérales de cybersécurité actuelles.
Il existe un processus établi dans le gouvernement fédéral pour configurer et déployer de nouveaux systèmes pour s’assurer qu’ils sont stables, sécurisés et peu susceptibles de créer des problèmes de cybersécurité. Mais Doge a ignoré ces pratiques, avec des résultats prévisibles.
Par exemple, un journaliste a pu envoyer des invitations à sa newsletter à plus de 13 000 employés de la National Oceanic and Atmospheric Administration par le biais de l’un de ces serveurs.
Dans un autre cas, la façon dont les employés répondent à la fourche de Doge sur la route offre de rachat aux employés fédéraux sont collectés pourraient facilement être manipulés par une personne malveillante – une simple ingénierie sociale attaque pourrait mettre fin à tort à l’emploi d’un travailleur.
Et les membres du personnel de Doge auraient Connecter leurs propres appareils non fiables aux réseaux gouvernementaux, qui introduit potentiellement de nouvelles façons pour les cyberattaques de pénétrer les systèmes sensibles.
Cependant, Doge semble adopter des pratiques créatives de cybersécurité pour se protéger. Il réorganise ses communications internes à Demandes de la loi sur la liberté de l’information dans son travail, et il utilise des techniques de cybersécurité pour suivre Empêcher et étudier les fuites de ses activités.
Manque de contrôles de gestion
Mais ce n’est pas seulement la sécurité technique que Doge ignore. Dimanche, deux responsables de la sécurité pour l’agence américaine pour le développement international résisté à l’octroi d’une équipe Doge L’accès aux systèmes financiers et personnels sensibles jusqu’à ce que leurs identités et autorisations soient vérifiées, conformément aux exigences fédérales. Au lieu de cela, les fonctionnaires ont été menacés d’arrestation et mis en congé administratif, et l’équipe de Doge a eu accès.
L’administration Trump a également reclassé les directeurs fédéraux de l’information, normalement des employés de carrière avec des années de connaissances spécialisées, pour être des employés généraux sous réserve de licenciement pour des raisons politiques. Il pourrait donc bien y avoir une fuite cérébrale de talent informatique dans le gouvernement fédéral, ou un chiffre d’affaires constant à la fois de la direction informatique senior et d’autres experts techniques. Ce changement aura presque certainement des ramifications pour la cybersécurité.
Les agents Doge ont maintenant accès direct à la base de données du Bureau de la gestion du personnel de millions d’employés fédéraux, y compris ceux qui ont des autorisations de sécurité occupant des postes sensibles. Sans surveillance, cet accès ouvre les possibilités de violations de la vie privée, la falsification des dossiers de l’emploi, de l’intimidation ou de la rétribution politique.
Le soutien de tous les niveaux de gestion est crucial pour assurer la responsabilité de la cybersécurité et gestion de la technologie. Ceci est particulièrement important dans le secteur public, où la surveillance et la responsabilité sont une fonction critique de Bonne gouvernance démocratique et la sécurité nationale. Après tout, si les gens ne savent pas ce que vous faites, ils ne savent pas ce que vous faites de mal.
À l’heure actuelle, Doge semble opérer avec très peu de surveillance de toute personne en position disposée ou capable de la tenir responsable de ses actions.
Atténuer les dégâts
Des employés fédéraux de carrière essayant de suivre le légal ou Pratiques de cybersécurité Pour les systèmes fédéraux et les données sont désormais placés dans une position difficile. Ils capitulent les instructions des membres du personnel de Doge, abandonnant ainsi les meilleures pratiques et ignorant les normes fédérales, soit leur résister et courir le risque d’être licencié ou discipliné.
Les vastes collections de données du gouvernement fédéral touchent chaque citoyen et chaque entreprise. Bien que les systèmes gouvernementaux ne soient pas aussi dignes de confiance qu’ils l’étaient autrefois, les gens peuvent toujours prendre des mesures pour se protéger contre les conséquences néfastes des activités de Doge.
Deux bons points de départ sont de Verrouillez vos dossiers de bureau de crédit Dans le cas où vos données gouvernementales sont divulguées et utilisent différentes connexions et mots de passe sur les sites Web fédéraux pour mener des affaires.
Il est crucial pour l’administration, le Congrès et le public de reconnaître les dangers de la cybersécurité que les activités de Doge posent et prennent des mesures significatives pour mettre l’organisation sous contrôle et surveillance raisonnable.
« > Richard Forno est professeur d’enseignement en informatique et génie électrique, et directeur adjoint, UMBC Cybersecurity Institute, à la Université du Maryland, comté de Baltimore.
Cet article est republié à partir de La conversation sous une licence créative Commons. Lire le article original. Les opinions et opinions exprimées dans ce commentaire sont strictement celles de l’auteur.
