«Крупнейшая утечка данных». Подчинённые Маска получили контроль над тоннами личных данных американцев

Речь идёт о небольшой группе подчинённых Илона Маска — в основном это молодые сотрудники из его или связанных с ним компаний. Как пишет Wired, это люди в возрасте 19-24 лет без опыта работы в госорганах, и теперь они могут просматривать чувствительные данные федерального правительства о миллионах американцев и ближайших союзников страны, а в некоторых случаях — управлять ими.

TechCrunch называет действия подчинённых Маска крупнейшим случаем компрометации правительственной информации частными лицами, причём сделали они это почти беспрепятственно.

DOGE не раскрывает подробностей своей деятельности — о сомнительных ИБ-практиках и нарушениях норм защиты данных, которые увеличивают риск утечек, пытаются узнать и рассказать общественности СМИ. DOGE избегает внешнего контроля и прозрачности. Соблюдаются ли вообще какие-либо нормы безопасности и конфиденциальности — предотвращают ли сотрудники DOGE несанкционированный доступ к этим данным и предпринимают ли меры для их защиты, неясно. Но пока всё говорит об обратном.

Например, один из сотрудников DOGE использовал личную Gmail-почту для входа в звонок в правительстве. Согласно свежему иску, DOGE самовольно подключил сторонний почтовый сервер к правительственной сети в нарушение федеральных законов о защите персональных данных.

Неважно, действуют ли сотрудники DOGE намеренно или просто безответственны. Саботаж, шпионаж, некомпетентность — всё это может привести к утечке конфиденциальных данных.

Вопрос допуска к секретной информации

То, как легко DOGE заполучил доступ к обширным массивам данных американцев, шокировало как чиновников и законодателей, так и специалистов по кибербезопасности, которые годами занимались защитой этих систем.

До сих пор неясно, какие уровни секретности имеют сотрудники DOGE. После возвращения в Белый дом Трамп подписал указ, позволяющий его администрации самостоятельно присваивать временные допуски к «совершенно секретной» информации без тщательной проверки, что идёт вразрез с устоявшимися стандартами безопасности.

Это уже привело к конфликтам между сотрудниками DOGE и госслужащими. Несколько высокопоставленных чиновников USAID были отстранены от работы за попытку защитить засекреченные данные от DOGE. Позже DOGE получил доступ к секретному хранилищу агентства по международному развитию, содержащему разведывательные отчёты. К слову, штат неугодного Маску USAID решено сократить более чем в 30 раз — с примерно 10 тысяч человек до 294.

Советник DOGE Кэти Миллер заявила, что «без соответствующего допуска» секретные материалы не просматривались. Однако сколько человек получили доступ и на каких основаниях, неизвестно.

Сенаторы отмечают, что ни Конгрессу, ни общественности не объяснили, кто официально нанят в DOGE, в рамках каких норм и полномочий действует DOGE, как осуществляет проверку и контролирует действия сотрудников, прежде чем допустить их к закрытым данным.

Как DOGE захватывал правительственные структуры

Сотрудники Маска начали проникать в федеральные агентства спустя неделю после инаугурации Трампа и подписания указа о создании DOGE. Одной из первых целей стала система платежей Минфина США, которая содержит личные данные миллионов американцев, получающих выплаты от государства, например налоговые возвраты и социальные пособия.

Также DOGE получил доступ к Управлению кадровой службы (OPM) США, которое хранит персональные данные всех федеральных служащих, и платформе USAJOBS, которая содержит информацию о тех, кто подавал заявки на работу в правительстве. Представители OPM заявили, что не имеют никакого контроля над доступом сотрудников DOGE. «Это создаёт реальную угрозу кибербезопасности и риск взлома», — сообщили чиновники Reuters.

Сенатор-демократ Рон Уайден считает доступ Маска к платёжным системам правительства угрозу национальной безопасности, учитывая интересы его компаний в Китае. Группа демократов в Конгрессе в официальном письме предупредила Минфин, что доступ DOGE к этим данным «может нанести непоправимый ущерб национальной безопасности».

Деятельность DOGE вызвала сопротивление даже среди республиканцев. Бывший партийный стратег Стюарт Стивенс назвал происходящее «крупнейшей утечкой данных в истории кибербезопасности». «Теперь частные лица, занимающиеся бизнесом в сфере данных, имеют доступ к вашей информации социального страхования», — добавил он.

В Минфине подтвердили, что дали доступ к системе платежей и личным данным американцев представителям DOGE. А также сообщили, что гендиректор Cloud Software Group Том Краузе теперь является сотрудником ведомства.

Помимо этого, DOGE получил доступ к закрытым внутренним системам Министерства образования США, например к базам с персональными данными миллионов студентов, которым государство предоставляло финансовую помощь. Сообщается, что помимо этого у DOGE есть доступ к системам платежей Министерства здравоохранения и социальных служб, к данным ведомства, которое курирует программы Medicare и Medicaid, а также к системам Национального управления океанических и атмосферных исследований (NOAA). Также DOGE затребовал доступ «ко всем» системам Управления по делам малого бизнеса и намерен получить доступ к системам Министерства транспорта.

Последствия для США и мира

Передача доступа к критически важной правительственной информации частным лицам без должной проверки создаёт непредсказуемые риски.

Проблемы могут возникнуть из-за банальной халатности. Например, заражённый вирусом ноутбук сотрудника DOGE, подключённый к правительственной сети, способен подорвать всю систему безопасности и допустить кражу чувствительных правительственных данных независимо от статуса секретности. К утечкам может привести безответственное обращение с данными на устройствах сотрудников DOGE и в облаке, если они не защищены должным образом.

Подобные утечки происходят постоянно. В прошлом году крупнейшие мировые компании теряли данные из-за того, что их сотрудники загружали вредоносное ПО на личные устройства или не использовали многофакторную аутентификацию.

Но самое тревожное — DOGE действует без какого-либо надзора. Ни законодатели, ни специалисты по кибербезопасности не знают, какие именно данные оказались под контролем сотрудников Маска, какие меры защиты применяются и применяются ли вообще. Людям, которые потратили годы на защиту чувствительных баз, остаётся только наблюдать, как их отдают в руки посторонних без опыта в госсекторе.

Некоторые эксперты считают, что Маск и его команда могут быть привлечены к ответственности по федеральному Закону о компьютерных преступлениях (CFAA). Но признать их действия несанкционированным доступом может только суд.

Что касается глобальных последствий, этот скандал подрывает доверие к США среди союзников. Страны, сотрудничающие с США в сфере безопасности, могут отказаться передавать разведданные из опасения утечки. Но реальные последствия того, что DOGE получил доступ к ключевым правительственным системам США, могут проявиться лишь спустя годы.