多位網路安全專家對政府效率部 (DOGE) 訪問聯邦機構系統的能力發出警告。
周二,在一篇廣受關注的《外交政策》評論文章中提出了一系列新的擔憂。這篇文章由著名密碼學研究員 Bruce Schneier 和數據基礎設施初創公司 Inrupt Inc. 的信任與數字倫理副總裁 Davi Ottenheimer 共同撰寫。該公司由 Tim Berners-Lee 於 2018 年共同創立。
DOGE 是一個由 Elon Musk 領導的政府顧問委員會。它隸屬於美國 DOGE 服務部,該部門此前被稱為美國數字服務部。後者最初的重點是幫助聯邦機構改進其網站。
在過去幾周內,DOGE 員工獲得了多個聯邦機構系統的訪問權限。據報道,這些工作人員不僅可以讀取這些系統中的資訊,還可以修改其中的部分內容。
在本周的《外交政策》評論文章中,Schneier 和 Ottenheimer 對 DOGE 工作人員訪問政府基礎設施表示擔憂。他們進一步指出,還存在兩個具有更嚴重網路安全影響的問題。
評論文章強調的第一個問題是,DOGE 工作人員不僅在訪問,還在修改聯邦系統。在某些情況下,他們正在部署人工智慧模型來分析聯邦機構的內部數據。此外,據報道,一名 DOGE 員工將未經授權的伺服器連接到美國人事管理辦公室 (OPM) 運營的基礎設施。
"這比最初的未經授權訪問更為嚴重," Schneier 和 Ottenheimer 寫道。他們解釋說,原因在於 DOGE 工作人員連接到聯邦基礎設施的系統的配置和功能尚不清楚。此外,也沒有證據表明這些系統上的代碼經過了"任何嚴格的安全測試"。
Schneier 和 Ottenheimer 還指出了第二個他們認為更為嚴重的風險:負責管理聯邦機構網路安全流程的職業官員被解職。該評論文章認為,用缺乏經驗的 DOGE 工作人員取代這些官員的做法正在"瓦解"政府的漏洞預防工作流程。
兩人接著寫道,必須採取三個步驟來解決這些風險。他們認為,聯邦機構應首先撤銷對其基礎設施的未經授權訪問,然後恢復系統監控和變更管理工作流程。評論文章建議的第三個步驟是對受影響的基礎設施進行審計。
DOGE 訪問聯邦系統不僅引起了外部網路安全專家的批評,也引起了前聯邦官員的批評。上周二,美國數字服務部的一名前雇員對 DOGE 連接到 OPM 的伺服器表示擔憂。這位前官員告訴 CyberScoop,主要問題在於 OPM 與負責國會背景調查的美國國防反情報和安全局之間的安全連接。
這位前內部人士補充說,DOGE 工作人員沒有遵守聯邦網路安全法律的"精神和條文"。據信他們還違反了國家標準與技術研究院制定的某些網路安全控制措施。
