El Departamento de Eficiencia del Gobierno (DOGE), la comisión especial del presidente Donald Trump encargada de reducir el gasto federal, continúa interrumpir a Washington y la burocracia federal. Según los informes publicados, sus equipos están cayendo en agencias federales con un mandato prácticamente ilimitado para reformar al gobierno federal de acuerdo con las recientes órdenes ejecutivas.
Como 30 años veterano de ciberseguridadHasta ahora encuentro las actividades de dux en lo que respecta. Su amplio mandato en todo el gobierno, la supervisión aparentemente inexistente, y la aparente falta de competencia operativa de sus empleados han demostrado que Dege podría crear condiciones que sean ideales para incidentes de ciberseguridad o privacidad de datos que afectan a toda la nación.
Tradicionalmente, el Propósito de la ciberseguridad es garantizar la confidencialidad e integridad de los sistemas de información y información mientras ayuda a mantener esos sistemas disponibles para aquellos que los necesitan. Pero en las primeras semanas de existencia de Doge, los informes indican que Su personal parece estar ignorando esos principios y potencialmente haciendo que el gobierno federal sea más vulnerable a los incidentes cibernéticos.
Competencia técnica
La ciberseguridad y la tecnología de la información, como cualquier otra función comercial, dependen de empleados capacitados específicamente para sus trabajos. Así como no dejaría que alguien solo califique en primeros auxilios para realizar una cirugía a corazón abierto, los profesionales de la tecnología requiere un conjunto de línea de base de educación, capacitación y experiencia acreditadas para garantizar que las personas más calificadas estén en el trabajo.
Actualmente, el público en general, las agencias federales y el Congreso tienen poca idea de quién está jugando con los sistemas críticos del gobierno. El proceso de contratación de Doge, incluida la forma en que detecta a los solicitantes de competencia técnica, operativa o de ciberseguridad, así como la experiencia en el gobierno, es opaca. Y periodistas que investigan los antecedentes de los empleados de Doge han sido intimidados por el fiscal estadounidense interino en Washington.
Doge tiene jóvenes contratados Recién salido de, o todavía en la universidad o con poca o ninguna experiencia en el gobierno, pero que, según los informes, tienen una fuerte destreza técnica. Pero algunos tienen antecedentes cuestionables para un trabajo tan sensible. Y un destacado miembro del personal de Doge que trabaja en el departamento del Tesoro tiene Desde resignado sobre una serie de publicaciones racistas en las redes sociales.
https://www.youtube.com/watch?v=ad2ji1bwbfq
Según los informes, a estos empleados de DOGE se les ha otorgado acceso técnico a nivel de administrador a una variedad de sistemas federales. Estos incluyen sistemas que procesan todos Pagos federalesincluyendo el Seguro Social, Medicare y los fondos asignados al Congreso que dirigen el gobierno y sus operaciones de contratación.
Los agentes de DOGE se están desarrollando y desplegando rápidamente Cambios principales de software a sistemas y bases de datos antiguas muy complejas, según los informes. Pero dada la velocidad del cambio, es probable que haya poca planificación formal o control de calidad involucrado para garantizar que tales cambios no rompan el sistema. Dichas acciones van a ser contrarias a los principios de seguridad cibernética y las mejores prácticas para la gestión de la tecnología.
Como resultado, probablemente no haya forma de saber si estos cambios lo hacen más fácil para malware a introducir en los sistemas gubernamentales, si los datos confidenciales pueden ser accedido sin autorizacióno si el trabajo de Doge está haciendo que los sistemas gubernamentales de otro modo sean más inestables y más vulnerables.
Si no sabes lo que estás haciendo en él, pueden suceder cosas realmente malas. Un ejemplo notable es el Lanzamiento fallido del sitio web de HealthCare.gov en 2013. En el caso de los sistemas del Departamento del Tesoro, es bastante importante recordar que la nación atiende a otra crisis de techo de deuda y los ciudadanos buscan sus pagos de seguridad social.
El 6 de febrero de 2025, un juez federal ordenó que el personal de dux fuera restringido al acceso de solo lectura a los sistemas de pago del Departamento del Tesoro, pero los procedimientos legales que desafían la legalidad de su acceso a los sistemas de TI del gobierno están en curso.
Servidores de correo electrónico de Doge
La aparente falta de competencia de ciberseguridad de Doge se refleja en algunas de sus primeras acciones. Dege instaló sus propios servidores de correo electrónico en todo el gobierno federal para facilitar la comunicación directa con empleados de rango fuera de los canales oficiales, sin tener en cuenta las mejores prácticas probadas para la ciberseguridad y la administración de TI. Una demanda de empleados federales alega que estos sistemas no se sometió Una revisión de seguridad según lo requerido por los estándares federales de ciberseguridad actuales.
Hay un proceso establecido en el gobierno federal para configurar e implementar nuevos sistemas para garantizar que sean estables, seguros y poco probables que creen problemas de ciberseguridad. Pero Dege ignoró esas prácticas, con resultados predecibles.
Por ejemplo, un periodista pudo Enviar invitaciones a su boletín a más de 13,000 empleados de la Administración Nacional Oceánica y Atmosférica a través de uno de estos servidores. En otro caso, la forma en que las respuestas de los empleados al bifurcado de Doge en el camino oferta de compra A los empleados federales se recopilan fácilmente podría ser manipulado fácilmente por alguien con intención maliciosa, una simple ingeniería social ataque podría terminar erróneamente el empleo de un trabajador. Y los miembros del personal de DOGE, según los informes, son Conectando sus propios dispositivos no confiables a las redes gubernamentales, que potencialmente introducen nuevas formas para que los ciber atacantes penetraran en los sistemas sensibles.
Sin embargo, Dege parece estar adoptando prácticas creativas de ciberseguridad para protegerse. Está reorganizando sus comunicaciones internas para Solicitudes de la Ley de Dodge Libertad of Information en su trabajo, y está utilizando técnicas de ciberseguridad para rastrear amenazas internas a prevenir e investigar fugas de sus actividades.
Falta de controles de gestión
Pero no es solo la seguridad técnica que Dege está ignorando. El 2 de febrero, dos funcionarios de seguridad de la Agencia de los Estados Unidos para el Desarrollo Internacional. resistido a otorgar a un equipo de dux Acceso a sistemas financieros y de personal sensibles hasta que se verificó sus identidades y autorizaciones, de acuerdo con los requisitos federales. En cambio, los funcionarios fueron amenazados con arresto y se pusieron en licencia administrativa, y el equipo de Doge obtuvo acceso.
La administración Trump también ha reclasificado a los oficiales federales de información federal, normalmente empleados de carrera senior con años de conocimiento especializado, a ser empleados generales Sujeto al despido por razones políticas. Por lo tanto, puede haber una fuga de cerebros del talento de TI en el gobierno federal, o una facturación constante tanto del liderazgo de TI y otros expertos técnicos. Este cambio seguramente tendrá ramificaciones para la ciberseguridad.
Los agentes de Doge ahora tienen acceso directo a la base de datos de la Oficina de Gestión de Personal de millones de empleados federales, incluidos aquellos con autorizaciones de seguridad que ocupan puestos confidenciales. Sin supervisión, este acceso abre las posibilidades de violaciones de privacidad, manipulación de registros de empleo, intimidación o retribución política.
El apoyo de todos los niveles de gestión es crucial para proporcionar responsabilidad por la ciberseguridad y gestión de tecnología. Esto es especialmente importante en el sector público, donde la supervisión y la responsabilidad son una función crítica de Buen gobierno democrático y seguridad nacional. Después de todo, si las personas no saben lo que estás haciendo, no saben lo que estás haciendo mal.
En este momento, Dege parece estar operando con muy poca supervisión de cualquier persona en posición dispuesta o capaz de responsabilizarlo de sus acciones.
Mitigar el daño
Empleados federales de carrera que intentan seguir legal o prácticas de ciberseguridad Para los sistemas federales y los datos ahora se colocan en una posición difícil. Capitulan para las instrucciones del personal de DoGe, abandonando así las mejores prácticas e ignorando los estándares federales, o se resisten y corren el riesgo de ser despedido o disciplinado.
Las vastas colecciones de datos del gobierno federal tocan a todos los ciudadanos y empresas. Si bien los sistemas gubernamentales pueden no ser tan confiables como antes, las personas aún pueden tomar medidas para protegerse de las consecuencias adversas de las actividades de Doge. Dos buenos puntos de partida son Bloquee los registros de su oficina de crédito En caso de que se divulguen los datos de su gobierno y el uso de diferentes inicios de sesión y contraseñas en sitios web federales para realizar negocios.
Es crucial que la administración, el Congreso y el público reconozcan los peligros de ciberseguridad que plantean las actividades de Dude y toman medidas significativas para llevar a la organización bajo control y supervisión razonables.
