Operasi yang bekerja untuk Elon Musk telah mendapatkan akses yang belum pernah terjadi sebelumnya ke petak departemen pemerintah AS – termasuk lembaga yang bertanggung jawab untuk mengelola data jutaan karyawan federal dan sistem yang menangani pembayaran $ 6 triliun kepada orang Amerika.
Selama dua minggu terakhir, kelompok perwakilan Musk – dewan penasihat presiden dalam administrasi Trump yang dikenal sebagai Departemen Efisiensi Pemerintah, atau Doge – Mengontrol departemen dan set data federal topterlepas dari pertanyaan tentang izin keamanan mereka, praktik keamanan siber mereka, dan legalitas kegiatan Musk.
Apakah suatu prestasi atau kudeta – yang sepenuhnya tergantung pada sudut pandang Anda – sekelompok kecil sebagian besar karyawan sektor swasta muda Dari bisnis dan rekan Musk – banyak yang tidak memiliki pengalaman pemerintah sebelumnya – sekarang dapat melihat dan, dalam beberapa kasus, mengendalikan data paling sensitif pemerintah federal yang disimpan pada jutaan orang Amerika dan sekutu terdekat negara.
Akses oleh tim Doge Musk mewakili kompromi terluas dari data yang dikuasai pemerintah federal oleh kelompok individu pribadi-dan sedikit yang menghalangi mereka.
Doge telah mengakui beberapa detail tentang kegiatan yang sedang berlangsung. Tugas itu telah diserahkan kepada media, yang telah melaporkan praktik keamanan siber yang dipertanyakan dan gangguan pada norma keamanan siber lama yang berisiko data pemerintah yang sensitif terhadap diakses oleh aktor jahat.
Banyak pekerjaan Doge adalah menghindari pengawasan dan transparansi, meninggalkan pertanyaan terbuka apakah praktik keamanan siber dan privasi sedang diikuti. Tidak jelas apakah staf Doge mengikuti prosedur agar data ini tidak diakses oleh orang lain, atau jika ada langkah lain yang diambil untuk melindungi data sensitif pada orang Amerika.
Sejauh ini, bukti menunjukkan bahwa keamanan bukanlah perhatian utama.
Misalnya, seorang staf Doge dilaporkan menggunakan akun gmail pribadi untuk mengakses panggilan pemerintah; dan yang baru diajukan Gugatan oleh whistleblower federal Klaim Doge memerintahkan penghubung server email yang tidak sah ke jaringan pemerintah yang melanggar undang -undang privasi federal.
Apakah staf Doge adalah aktor buruk yang meleset dari intinya. Tindakan subterfuge, spionase, atau ketidaktahuan dapat menghasilkan hasil suboptimal yang sama: paparan atau hilangnya kumpulan data sensitif bangsa.
Untuk saat ini, ada baiknya melihat bagaimana kami sampai di sini.
Izin keamanan yang dipertanyakan
Kemudahan di mana Doge mengambil alih departemen dan toko -data mereka yang luas dari data Amerika membuat pejabat karier dan anggota parlemen AS terkejut, yang terus mencari jawaban dari pemerintahan Trump.
Upaya oleh Musk untuk mengendalikan toko data negara juga secara pribadi mengkhawatirkan profesional keamanan siber, beberapa di antaranya telah menghabiskan karier mereka di pemerintahan yang didedikasikan untuk mengamankan sistem dan data paling sensitif orang Amerika.
Masih ada pertanyaan tentang tingkat izin keamanan yang dimiliki staf Doge dan apakah izin keamanan sementara mereka memberi mereka wewenang untuk menuntut akses ke sistem federal yang terbatas. Saat kembali ke kantor, Trump menandatangani perintah eksekutif Mengizinkan pejabat administrasi untuk memberikan “rahasia tertinggi” dan mengotori izin keamanan kepada individu secara sementara dengan sedikit untuk pemeriksaan substansial, keberangkatan tajam dari protokol yang sudah lama ada.
Kebingungan atas izin staf Doge telah menyebabkan pertanda singkat antara beberapa pejabat karier di departemen federal dalam beberapa hari terakhir. Di Badan Pembangunan Internasional AS, atau USAID, pejabat senior dikeluarkan setelah berdiri di jalan staf Doge untuk melindungi informasi rahasia, Menurut Associated Press. Doge kemudian mendapatkan akses ke fasilitas rahasia di USAID, yang dilaporkan berisi laporan intelijen.
Katie Miller, seorang penasihat untuk Doge, mengatakan di Posting di x Bahwa tidak ada bahan rahasia yang diakses oleh Doge “tanpa izin keamanan yang tepat,” meskipun detail dari izin tim tetap tidak ditentukantermasuk berapa banyak orang yang diberikan izin rahasia sementara.
Beberapa Anggota parlemen senior Komite Intelijen Senat mengatakan pada hari Rabu bahwa mereka masih mencari jawaban tentang Doge dan izin apa yang dimiliki para anggotanya.
“Tidak ada informasi yang diberikan kepada Kongres atau publik tentang siapa yang secara resmi dipekerjakan di bawah Doge, di bawah otoritas atau peraturan apa yang sedang beroperasi, atau bagaimana Doge memeriksa dan memantau staf dan perwakilannya sebelum menyediakan akses yang tampaknya tidak diketor ke bahan -bahan yang diklasifikasikan ke bahan yang diklasifikasikan ke bahan yang diklasifikasikan ke materi yang diklasifikasikan ke diklasifikasikan ke bahan rahasia ke bahan yang diklasifikasikan ke diklasifikasikan ke diklasifikasikan ke diklasifikasikan ke mereka dan informasi pribadi orang Amerika, ”tulis para senator.
Pengambilalihan Pemerintah Doge
Dalam seminggu setelah pelantikan Presiden Trump – dan Perintah Eksekutifnya Membangun Doge – Staf Musk mulai menyusup ke berbagai agen federal. Sistem Pembayaran Sensitif Perbendaharaan AS, yang berisi informasi pribadi jutaan orang Amerika yang menerima pembayaran dari pemerintah, dari pengembalian pajak hingga cek Jaminan Sosial, adalah yang pertama.
Doge juga mendapatkan akses ke Kantor Manajemen Pribadi, Departemen Sumber Daya Manusia Pemerintah yang mencakup database tentang informasi pribadi semua pekerja federal, dan USAJOBS, yang memiliki data pada pelamar yang melamar pekerjaan federal.
Pejabat di OPM mengatakan mereka tidak memiliki visibilitas atau pengawasan ke akses tim Musk ke sistemnya. “Ini menciptakan implikasi cybersecurity dan peretasan nyata,” kata mereka kepada Reuters.
Kegiatan Doge telah menyebabkan oposisi yang meluas, termasuk beberapa Republikan.
Senator Ron Wyden (D-or), yang menjabat sebagai Demokrat paling senior di Komite Keuangan Senat, disebut akses Musk ke sistem pembayaran federal yang sensitif sebagai risiko keamanan nasionalmengingat konflik kepentingan atas operasi bisnisnya yang luas di Cina. Sekelompok Demokrat Senior berkata dalam surat selanjutnya kepada Departemen Keuangan Akses Doge ke data pemerintah yang sensitif “dapat merusak keamanan nasional yang tidak dapat diperbaiki.”
Dalam sebuah posting di Bluesky, mantan ahli strategi Republik Stuart Stevens disebut pengambilalihan dari sistem Treasury sebagai “kebocoran data paling signifikan dalam sejarah cyber,” menambahkan: “Individu pribadi dalam bisnis data sekarang memiliki akses ke informasi jaminan sosial Anda.”
Perbendaharaan mempertahankan langkahnya untuk memberikan akses ke sistem pembayaran sensitif departemenmengkonfirmasi dalam respons yang tidak dikendalikan kepada anggota parlemen Demokrat bahwa tim Doge Musk memiliki akses ke bank -bank informasi pribadi tentang Perbendaharaan tentang orang Amerika. Surat itu mengkonfirmasi Tom Krause, kepala eksekutif Grup perangkat lunak cloudyang memiliki Citrix dan beberapa perusahaan teknologi lainnya, sekarang menjadi karyawan Treasury. Krause belum mengembalikan permintaan komentar.
Doge sejak itu mendapatkan akses ke berbagai sistem internal sensitif di Departemen Pendidikan, termasuk set data berisi informasi pribadi tentang jutaan siswa yang terdaftar dalam bantuan keuangan. Staf doge juga menuntut sistem “akses ke semua” di administrasi bisnis keciltermasuk kontrak, pembayaran dan informasi sumber daya manusia.
Tim Musk Juga dilaporkan memiliki akses ke sistem pembayaran di dalam Departemen Kesehatan dan Layanan Kemanusiaan AS, dan akses ke data di agen AS yang mengelola Medicare dan Medicaid. Doge juga mengakses sistem personel di National Oceanic and Atmospheric Administration, atau NOAA, dan berencana untuk mengakses sistem di Departemen Transportasi.
Konsekuensi domestik dan global
Ada risiko keamanan yang tak terhitung yang datang dari pemberian akses ke inti data dalam pemerintah AS kepada sekelompok orang yang tidak terpilih dan pribadi dengan pemeriksaan palsu.
Untuk menyebutkan beberapa hal yang bisa salah: mengakses jaringan pemerintah dari komputer yang tidak disetujui yang menyimpan malware dapat membahayakan perangkat lain di jaringan federal, dan memungkinkan pencurian informasi pemerintah yang sensitif, terlepas dari apakah itu diklasifikasikan. Dan, kesalahan penanganan informasi pribadi pada perangkat atau lingkungan cloud yang belum memenuhi standar spesifikasi keamanan utama pemerintah, atau menggunakan kontrol keamanan terkuat, menempatkan data yang berisiko kompromi atau kebocoran lebih lanjut.
Ini bukan skenario yang tidak mungkin; Pelanggaran semacam ini terjadi sepanjang waktu.
Tahun lalu saja melihat Beberapa pelanggaran data terbesar dalam sejarah disebabkan oleh Akses jahat yang diperoleh melalui perangkat pribadi karyawan perusahaanyang secara tidak sengaja menginstal malware dengan mengunduh perangkat lunak knock-off ke komputer pribadi mereka dan tidak menggunakan perlindungan keamanan yang tepat seperti otentikasi multi-faktor. Kompromi kredensial atau akses tim apa pun, atau penanganan database sensitif yang tidak tepat dapat mengakibatkan kerugian yang tidak dapat diperbaiki, pencurian, atau kesalahan penempatan data pemerintah yang sensitif.
Mungkin yang paling meresahkan adalah Doge, dan kegiatannya, beroperasi di luar pengawasan publik.
Pejabat dan anggota parlemen yang ditugaskan untuk mendapatkan pengawasan pemerintah, dilaporkan tidak memiliki wawasan tentang data apa yang dimiliki Doge di dalam pemerintah, atau apa kontrol atau perlindungan cybersecurity -nya – jika ada sama sekali. Para profesional departemen yang telah menghabiskan banyak karir mereka melindungi akses ke data yang disimpan dalam sistem ini tidak dapat berbuat banyak tetapi berdiri dan menonton sebagai individu pribadi dengan sedikit atau tanpa pengalaman pemerintah sebelumnya menggerebek kumpulan data mereka yang paling sensitif.
Pengacara teknologi dan privasi Cathy Gellis, Menulis di TechDirtberpendapat Musk dan tim Dogege -nya kemungkinan “bertanggung jawab secara pribadi” di bawah undang -undang peretasan federal AS, yang dikenal sebagai Undang -Undang Penipuan dan Penyalahgunaan Komputer, yang mencakup pengaksaan sistem federal tanpa otorisasi yang tepat. Pengadilan pada akhirnya masih harus menentukan aktivitas Doge sebagai “akses tidak sah” dan karenanya ilegal, tulis Gellis.
Ada juga pertanyaan tentang bagaimana pemerintah negara bagian AS akan menanggapi kompromi data penduduk mereka di tingkat federal. Negara -negara AS memiliki undang -undang pelanggaran data yang mensyaratkan perlindungan data warganya, bahkan jika pemerintah federal tidak. Apakah akses tim Musk ke sistem federal memicu tindakan hukum dari negara bagian masih harus dilihat.
Akses juga menempatkan hubungan dengan Amerika Serikat dan sekutu diplomatiknya di tanah yang goyah. Bangsa Sekutu mungkin tidak ingin berbagi intelijen dengan pemerintah AS Jika mereka berpikir informasi tersebut dapat bocor, masuk ke domain publik, atau hilang sebagai akibat dari kerusakan dalam praktik keamanan siber yang bertujuan melindungi informasi sensitif.
Pada kenyataannya, konsekuensi keamanan siber dari akses berkelanjutan Doge ke departemen federal dan set data mungkin tidak diketahui selama beberapa waktu.
Hubungi Zack Whittaker di Sinyal dan WhatsApp di +1 646-755-8849. Anda juga dapat berbagi dokumen dengan aman dengan TechCrunch via Securedrop.
