Pentagon, Savunma Bakanlığı’ndaki (DoD) çalışanların iş akıllı telefonlarını yetkisiz yollarla kullanarak ulusal güvenliği riske atmaktan suçlu olduğunu tespit etti.
A rapor (yeni sekmede açılır) Savunma Bakanlığı’nı denetlemekle sorumlu kurum olan Savunma Bakanlığı Genel Müfettişi’nden (DoDIG), işçilerin akıllı telefonlarında büyük ölçekte yetkisiz uygulama ve hizmetlerin kullanıldığını ortaya çıkardı.
Ayrıca, DoD’nin bu cihazların kullanımını kontrol etmesine ve yönetmesine izin veren çok az altyapı veya politika vardı ve kullanıcılara bunların kabul edilebilir ve güvenli kullanımı konusunda yeterli eğitim verilmedi.
Yetkisiz uygulamalar
İş telefonlarına alışveriş, oyun, VPN’ler ve – tuhaf bir şekilde – “lüks yat satıcısı uygulamaları” gibi yönetilmeyen uygulamalar yüklendi ve resmi iletişim için onaylanmamış mesajlaşma uygulamaları kullanıldı ve bunların tümü DoD düzenlemelerine aykırı ve siber güvenlik riskleri oluşturuyor.
Raporda vurgulanan bu uygulamalarla ilgili ana sorun, genellikle kişi listeleri, fotoğraflar ve GPS verileri gibi telefonda depolanan diğer bilgilere erişime izin veren izinlere sahip olmalarıdır.
Diğer uygulamalar ayrıca, video akışı ve kumarla ilgili olanlar gibi, hakkında bilinen veya potansiyel olarak uygunsuz içerik barındıran kötü amaçlı özelliklere açıkça sahipti.
Belki de daha endişe verici olan, raporda belirtilen ve DoD’nin cihaz kullanımını etkili bir şekilde yönetmediği ve çalışanları iş cihazlarını kötüye kullanmanın potansiyel tehlikeleri konusunda uyarmadığı şeklinde yorum yapan gözetim eksikliğiydi.
“DoD personeli, yönetilmeyen mesajlaşma uygulamalarında önemli DoD iletişimlerini istemeden kaybedebilir veya kasıtlı olarak silebilir. Ek olarak, DoD personeli tarafından kötüye kullanılan veya kötü niyetli aktörler tarafından tehlikeye atılan mobil uygulamalar, DoD bilgilerini açığa çıkarabilir veya DoD sistemlerine kötü amaçlı yazılım bulaştırabilir.”
Raporun ileriye dönük tavsiyeleri, mesajları onaylanmamış uygulamalardan yaptırım uygulanan mesajlaşma uygulamalarına iletmek ve bunları silmek ve halka açık uygulama mağazalarına erişimin “haklı bir ihtiyaç olmaksızın” verilmemesiydi.
Ayrıca, resmi iş için onaylanmış uygulamaların bir listesinin yazılması, telefon ve uygulama kullanımına ilişkin politikaların güncellenmesi ve “mobil cihaz ve uygulamaların sorumlu ve etkin kullanımı” konusunda eğitim verilmesi tavsiyesinde bulundu.
Bu, Savunma Bakanlığı’nın siber güvenliğe yönelik gevşek tutumu nedeniyle ilk kez azarlanışı kesinlikle değil. 2021’de, departmanın Savunma Dijital Hizmeti kanadının eski müdürü, “DoD elektronik mesajlaşma ve kayıt tutma politikalarını ihlal ederek resmi DoD işi için yönetilmeyen bir mobil uygulamanın” kullanılmasını onayladı.
Ayrıca, daha yakın bir zamanda, bu kez ABD İçişleri Bakanlığı tarafından yapılan başka bir denetim, şifre uygulamalarının oldukça üzücü olduğunu ve birçoğunun standart bilgisayar korsanlığı yöntemleriyle oldukça kolay bir şekilde kırılabildiğini ortaya çıkardı.