המשרד לייעול משרדי הממשל האמריקאי DOGE הפר את הנחיות הסייבר של הממשל האמריקאי. הסנדלר הולך יחף!

מעקף זהות ובקרה בארגון ממשלתי

גישה מלאה ללא תיעוד או פיקוח

לפי תלונת חושף השחיתויות דניאל ברוליס (ארכיטקט DevSecOps עם סיווג ביטחוני גבוה), המשרד לייעול משרדי הממשל האמריקאי DOGE (גוף בממשל האמריקאי שתפקידו לכאורה הוא לייעל את פעילות המשרדים) הפר את הנחיות הסייבר של הממשל האמריקאי. אנשי הצוות של DOGE הפרו חוקי הגנת מידע בכך שעקפו בקרות זהות וגישה, והשיגו גישה למערכות הענן של רשות יחסי העבודה הלאומית (NLRB) – סוכנות פדרלית אמריקאית המפקחת על יחסי עבודה – גבוהות אף מאלה של מנהל מערכות המידע הראשי. החמור מכל: לא נוצרו כלל יומני גישה או תיעוד לחשבונות הללו. בהיעדר רישום, כל אפשרות לביקורת, ניתוח או תגובה לאירוע אבטחה – אינה קיימת.
נוסף לכך, אנשי NLRB התבקשו לבטל מנגנוני בקרה קיימים ולתת לצוות DOGE שליטה מלאה וללא הגבלה. מדובר בהפרה ישירה של עקרונות ניהול הרשאות מינימליות (least privilege) ושל תקנות פדרליות כמו FISMA והנחיות CISA המגדירות חובת בקרה ופיקוח הדוקים על גישה למידע רגיש.

פעולות חשאיות וסימני תקיפה מתקדמים

התקנות נסתרות, ניטור כבוי וניסיונות חדירה מרוסיה

הדלפות מתוך המערכת הצביעו על קיומם של חשבונות אדמין בעלי שמות כלליים, כגון "NLRB Admin" – מה שמקשה על זיהוי הפעולות שמבצע כל משתמש ספציפי – והם תבנית ידועה לניצול גישה פנימית על ידי גורמים עוינים. אותרו גם אזורי אחסון נסתרים שנוצרו במערכות Azure, לצד קובצי גישה זמניים שחלפו במהרה – מהלך המזוהה עם ניסיון להעלים פעילות ממערכות ניטור ולמנוע מעקב אחר פעולות שבוצעו.
ברוליס הבחין כי כלים קריטיים כמו מערכת ניטור הרשת (שעוקבת אחר תעבורת הנתונים כדי לזהות פעילות חריגה) והזדהות רב־גורמית (MFA) (שדורשת יותר מסיסמה אחת כדי להתחבר, ובכך מגבירה את האבטחה) הושבתו או שונו. עוד גילה התקנה של כלים חיצוניים ממקורות לא רשמיים כמו GitHub, בלי שעברו אישור או סריקה – מה שעלול להכניס תוכנות זדוניות או פגיעויות למערכת – כולם סימנים מדאיגים לפעילות זדונית.

פרצה לאומית או תקלה?

ניסיונות התחברות מרוסיה והעברת מידע ללא תיעוד

החשד לכשל אבטחה קיבל משנה תוקף כשזוהו ניסיונות כניסה לחשבונות DOGE מכתובות IP ברוסיה – דקות ספורות לאחר יצירת החשבונות. תיעוד תעבורת הרשת העלה כי לפחות 10 ג'יגה־בייט של נתונים יצאו ממערכת ניהול התיקים של הסוכנות (NxGen) בלי שקיים לכך הסבר רשמי. ניסיון לדווח על האירועים ל־US-CERT של CISA(*), כפי שנדרש בחוק, נדחה על ידי בכירים – בניגוד לנהלים.
למרות כל הסימנים, NLRB טענה כי לא התרחש כל אירוע אבטחה. הבית הלבן לא הגיב.
*US-CERT (צוות המוכנות לשעת חירום של ארה"ב) הוא חלק מסוכנות CISA (הסוכנות לאבטחת סייבר ותשתיות), והוא הגוף שאליו נדרשות סוכנויות פדרליות לדווח על אירועי סייבר משמעותיים.

המלצות מומחי אבטחת מידע של IPV Security

1. הפעלת בקרות גישה עם תיעוד מלא – אין לאפשר חשבונות ללא שם מזהה ברור ותיעוד כניסות.
2. מניעת השבתת מערכות ניטור והתרעה – מנגנוני MFA ,SIEM ו־EDR חייבים להיות פעילים תמיד.
3. אכיפת בקרת תוכנה קפדנית – אין לאפשר התקנה של כלים חיצוניים ללא בדיקה ואישור.
4. זיהוי חריגות ברשת – יש לנטר תעבורת נתונים יוצאת ולזהות שינויים פתאומיים בצריכת משאבים.
5. דיווח מיידי לפי חוק – כל חשד לפריצה או דלף מידע חייב להיות מדווח לרשויות המוסמכות בהתאם לחוק FISMA.

לסיכום,

התלונה שהוגשה חושפת מחדלי אבטחת מידע חמורים בארגון ממשלתי רגיש. מעקף נהלים, גישה ללא תיעוד, ניטור כבוי וסימנים לניסיונות חדירה ממדינות יריבות – כל אלו מצביעים על סכנה חמורה לביטחון הלאומי. הדוח הוא תזכורת לכך שניהול גישה, שקיפות ובקרה הם לא המלצות – אלא חובת יסוד בהגנה על מידע רגיש.

למידע נוסף: https://www.databreachtoday.com/whistleblower-complaint-exposes-doge-cybersecurity-failures-a-28046

להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון
077-4447130. IPV Security מתמחה זה 20 שנה באבטחת מידע, סייבר, סקרי סיכונים
ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.