С января этого года Департамент правительственной эффективности (DOGE) под руководством Илона Маска начал масштабные изменения в федеральных программах, убирая позиции, связанные с утилизацией опасных отходов, поддержкой ветеранов и контролем заболеваний. Несмотря на то, что многие уже ощутили последствия изменений, эксперты в области кибербезопасности обеспокоены возможными будущими проблемами в виде взломов, мошенничества и утечек данных.
DOGE уволил ведущих специалистов по кибербезопасности из различных агентств, сократил Кибербезопасность и Агентство по инфраструктуре (CISA) и отменил не менее 32 контрактов, связанных с кибербезопасностью, с Бюро финансовой защиты потребителей (CFPB). Уволенные специалисты, а также эксперты в области кибербезопасности, утверждают, что агентство небрежно относится к защите большого объема персональных данных, хранящихся в государственных органах, таких как Администрация социального обеспечения и Департамент по делам ветеранов (VA). На прошлой неделе судебный документ выявил, что сотрудник DOGE нарушил правила казначейства, отправив электронное письмо с нешифрованной личной информацией.
«Я вижу, как DOGE активно разрушает барьеры кибербезопасности в государстве, что ставит под угрозу конфиденциальность граждан США», — говорит Джонатан Каменс, который руководил кибербезопасностью для VA.com до февраля, когда его уволили. «Это облегчает доступ злоумышленникам».
В связи с многочисленными судебными исками, доступ DOGE к данным некоторых агентств был ограничен. Тем не менее, DOGE продолжает иметь доступ к значительным объемам конфиденциальной информации. Эксперты предупреждают об изменениях, которые могут вскоре произойти.
Личная информация
Сразу после начала работы DOGE эксперты начали беспокоиться о соблюдении конфиденциальности и безопасности цифровых ресурсов новой организацией. Появились сообщения о подключении членов DOGE к государственным сетям через несанкционированные серверы и обмене информацией по незащищенным каналам. В прошлом месяце сайт DOGE.gov подвергся изменениям со стороны внешних программистов, которым удалось публиковать обновления без санкций. В том же месяце работник казначейства заявил, что 25-летний сотрудник DOGE получил временный доступ для внесения изменений в федеральную платежную систему.
Эксперты обеспокоены такими упущениями, так как правительство хранит огромные объемы данных для обслуживания населения. Например, Департамент по делам ветеранов хранит банковские счета и номера кредитных карт миллионов ветеранов, которые получают помощь и услуги. Он также собирает медицинские данные, номера социального страхования и имена родственников и опекунов.
Каменс отметил, что был нанят в 2023 году для решения «нескольких конкретных проблем безопасности» на сайте, но отказывается назвать их из соображений конфиденциальности. Теперь он считает, что хакеры могут использовать нереализованные меры безопасности для получения конфиденциальной информации о ветеранах и дальнейшего их вовлечения в фишинговые атаки.
Мошенничество и злоумышленники
Помимо обеспокоенности тем, какие действия DOGE предпринимает с данными граждан, специалисты переживают, что их агрессивная тактика может облегчить мошенникам проникновение в системы, что может привести к серьезным последствиям. Например, DOGE имеет доступ к данным Администрации социального обеспечения, включающим личную информацию пожилых граждан США. Каменс отмечает, что мошенники часто используют такую информацию, как банковские или медицинские данные, чтобы обмануть людей, убедив их в своей надежности. Эти методы особенно эффективно действуют на пожилых людей, менее подкованных в технологиях: в 2023 году ими было зафиксировано мошенничество на сумму около 3.4 миллиарда долларов.
Эти уязвимости касаются также вопросов национальной безопасности. Участники DOGE сами могут стать целями для иностранных злонамеренных государств. Роб Джойс, бывший руководитель подразделения NSA по иностранным компьютерным системам, предупреждает, что массовые увольнения сотрудников федерального правительства, организованные DOGE, нанесут «уничтожительный удар по кибербезопасности и национальной безопасности страны».
Системные риски
Эксперты по кибербезопасности также обеспокоены риском того, что инженеры DOGE могут непреднамеренно нарушить работу частей сложных цифровых систем правительства или случайно представить вредоносное ПО в важный код. Финансовые эксперты утверждают, что ошибки в сложных системах Казначейства могут навредить экономике США. Каменс предупреждает, что вмешательство DOGE в систему социального обеспечения может привести к задержкам выплат Medicare или пособий по инвалидности, ставя под угрозу жизни.
Судья поставил под вопрос необходимость доступа DOGE к системам Администрации социального обеспечения и сейчас рассматривает возможность его отключения. Против DOGE подан иск 19 генеральных прокуроров штатов, направленный на блокирование доступа агентства к Казначейству.
Каменс добавляет, что с течением времени риски только увеличатся, особенно если освободившиеся должности останутся незаполненными. Большинство его коллег по USDS (Офису цифровой службы США), предшественнику DOGE, пришли из частного сектора, и он опасается, что ведущие специалисты по кибербезопасности не захотят присоединяться к государственным службам из-за нестабильности и рисков увольнения или подрыва авторитета.
Недостаток персонала может помешать правительству реагировать на новые и развивающиеся угрозы. «Реальность такова, что постоянно обнаруживаются новые уязвимости в безопасности», — говорит он. «Если вы не модернизируете свои киберсредства защиты в соответствии с текущими угрозами, вы теряете позиции».
Таким образом, хотя пока еще ничего не произошло, это не означает, что DOGE справляется с задачей по противодействию киберугрозам. «Эта система не дает мгновенной обратной связи», — считает Даниэль. «Здесь заключается сложность: речь идет об увеличении риска, который может проявляться в течение длительного времени».
Источник: Time
