2025-02-24 22:54 来源:本站编辑
唐纳德·特朗普总统的政府效率部(DOGE)是负责削减联邦开支的特别委员会,它继续扰乱华盛顿和联邦官僚机构。根据公开的报道,它的团队正在进入联邦机构,几乎没有限制地按照最近的行政命令改革联邦政府。
作为一名30年的网络安全资深人士,我发现到目前为止DOGE的活动令人担忧。它在政府中的广泛授权,看似不存在的监督,以及其员工明显缺乏运营能力,这些都表明,DOGE可以为影响整个国家的网络安全或数据隐私事件创造理想的条件。
传统上,网络安全的目的是确保信息和信息系统的机密性和完整性,同时帮助保持这些系统对需要它们的人可用。但在DOGE成立的最初几周,报告显示其员工似乎忽视了这些原则,并可能使联邦政府更容易受到网络事件的攻击。
网络安全和信息技术,像任何其他业务功能一样,依赖于专门为他们的工作培训的员工。就像你不会让一个只有急救资格的人来做心脏直视手术一样,技术专业人员也需要一套基本的认证教育、培训和经验,以确保最合格的人在工作中。
目前,公众、联邦机构和国会都不知道是谁在摆弄政府的关键系统。DOGE的招聘流程是不透明的,包括它如何筛选申请人的技术、运营或网络安全能力,以及在政府工作的经验。调查司法部雇员背景的记者受到华盛顿代理检察官的恐吓。
DOGE雇佣了刚从大学毕业或仍在大学的年轻人,或者在政府工作很少或没有经验的人,但据报道他们有很强的技术能力。但有些人从事这种敏感工作的背景存在问题。一名在财政部工作的美国司法部工作人员因在社交媒体上发布一系列种族主义帖子而辞职。
据报道,这些DOGE工作人员已经获得了对各种联邦系统的行政级别的技术访问权限。这些系统包括处理所有联邦支付的系统,包括社会保障、医疗保险和国会拨款,这些资金用于运行政府及其承包业务。
据报道,DOGE的工作人员正在快速开发和部署对非常复杂的旧系统和数据库进行重大软件更改的软件。但考虑到变化的速度,很可能很少有正式的计划或质量控制,以确保这些变化不会破坏系统。这种行为违背了网络安全原则和技术管理的最佳实践。
因此,可能没有办法知道这些变化是否使恶意软件更容易被引入政府系统,是否敏感数据可以未经授权访问,或者DOGE的工作是否使政府系统变得更不稳定,更容易受到攻击。
如果你不知道自己在做什么,就会发生非常糟糕的事情。一个显著的例子是2013年healthcare.gov网站的失败。就财政部的制度而言,在美国正滑向另一场债务上限危机、公民正在寻找社会保障金之际,记住这一点相当重要。
2025年2月6日,一名联邦法官下令,司法部工作人员只能只读访问财政部的支付系统,但挑战他们访问政府IT系统合法性的法律诉讼仍在进行中。
DOGE明显缺乏网络安全能力,这反映在它最初的一些行动中。DOGE在整个联邦政府内部安装了自己的电子邮件服务器,以便与官方渠道之外的普通员工直接沟通,而不考虑久经考验的网络安全和IT管理最佳实践。联邦雇员提起的诉讼称,这些系统没有经过当前联邦网络安全标准要求的安全审查。
联邦政府有一个既定的流程来配置和部署新系统,以确保它们稳定、安全,不太可能产生网络安全问题。但DOGE忽视了这些做法,结果可想而知。
例如,一名记者能够通过其中一个服务器向13,000多名国家海洋和大气管理局的员工发送他的时事通讯邀请。在另一个案例中,雇员对美国通用电气公司(DOGE)向联邦雇员提供的“岔路口”(Fork In the Road)收购要约的回应被收集的方式很容易被心怀恶意的人操纵——一次简单的社会工程攻击可能会错误地终止一名工人的就业。据报道,DOGE的工作人员正在将自己不受信任的设备连接到政府网络上,这可能为网络攻击者渗透敏感系统提供了新的途径。
然而,DOGE似乎正在采用创造性的网络安全实践来保护自己。它正在重组其内部通信,以避开《信息自由法》(Freedom of Information Act)对其工作的要求,并利用网络安全技术追踪内部威胁,以防止和调查其活动泄露。
但DOGE忽视的不仅仅是技术安全问题。2月2日,美国国际开发署的两名安全官员拒绝允许DOGE团队进入敏感的财务和人事系统,直到他们的身份和权限根据联邦要求得到核实。相反,这些官员受到了逮捕和行政休假的威胁,DOGE的团队得以进入。
特朗普政府还将联邦首席信息官(通常是具有多年专业知识的高级职业雇员)重新分类为普通雇员,可能因政治原因被解雇。因此,联邦政府的IT人才可能会流失,或者高级IT领导和其他技术专家的不断更替。这种变化几乎肯定会对网络安全产生影响。
现在,美国司法部的特工可以直接进入人事管理办公室的数据库,该数据库包含数百万联邦雇员的信息,其中包括那些持有敏感职位安全许可的雇员。在没有监督的情况下,这种访问为侵犯隐私、篡改就业记录、恐吓或政治报复提供了可能性。
来自各级管理层的支持对于网络安全和技术管理的问责制至关重要。这在公共部门尤其重要,因为监督和问责是良好民主治理和国家安全的关键职能。毕竟,如果人们不知道你在做什么,他们就不知道你做错了什么。
目前,DOGE的运作似乎很少受到任何愿意或能够让其对其行为负责的人的监督。
试图遵循联邦系统和数据的法律或网络安全实践的职业联邦雇员现在处于一个困难的境地。他们要么屈服于DOGE员工的指示,从而放弃最佳做法,无视联邦标准,要么抵制他们,冒着被解雇或纪律处分的风险。
联邦政府收集的大量数据涉及到每一个公民和公司。虽然政府系统可能不像以前那样值得信赖,但人们仍然可以采取措施保护自己免受DOGE活动的不利后果。两个好的起点是:锁定你的信用局记录,以防你的政府数据被泄露;在联邦网站上使用不同的登录名和密码进行业务。
对于政府、国会和公众来说,认识到DOGE的活动所带来的网络安全危险,并采取有意义的措施,将该组织置于合理的控制和监督之下,这一点至关重要。
