Ketika tim penasihat dari Presiden Trump’s Departemen Efisiensi Efisiensi Pemerintah tiba di markas Dewan Hubungan Perburuhan Nasional, karyawan TI di agen kecil dan independen dengan cepat menjadi khawatir, menurut deklarasi whistleblower yang diajukan dengan Kongres dan berbagi dengan NPR.
NLRB menyelidiki dan mengadili keluhan tentang praktik perburuhan yang tidak adil. Basis data menyimpan rim data yang berpotensi sensitif, dari informasi rahasia tentang karyawan yang ingin membentuk serikat pekerja hingga informasi bisnis berpemilik.
Karyawan Doge, yang secara efektif dipimpin oleh penasihat Gedung Putih dan CEO Tech Miliarder Elon Musk, tampaknya mengarahkan pandangan mereka untuk mengakses sistem internal NLRB, menghilangkan data sensitif dan menutupi jejak mereka.
“Saya tidak bisa membuktikan apa tujuan akhir mereka atau apa yang mereka lakukan dengan data,” kata whistleblower, Daniel Berulis, dalam sebuah wawancara dengan NPR. “Tapi aku bisa memberitahumu bahwa potongan -potongan teka -teki yang bisa kuantifikasi menakutkan. … Ini adalah gambaran yang sangat buruk yang kita lihat.”
Tim Bearese, penjabat sekretaris pers NLRB, membantah bahwa agen tersebut memberikan akses ke sistemnya dan mengatakan Doge tidak meminta akses ke sistem agensi. Bearese mengatakan agen itu melakukan penyelidikan setelah Berulis mengangkat kekhawatirannya tetapi “menetapkan bahwa tidak ada pelanggaran sistem agensi terjadi.”
Terlepas dari penolakan NLRB, pengungkapan whistleblower ke Kongres dan pengawas federal lainnya memberikan bukti akses dan kegiatan Doge. Pelaporan NPR di seluruh pemerintah federal juga memperjelas bahwa akses Doge ke data adalah masalah yang luas.
Perwakilan Doge tidak menanggapi permintaan komentar NPR.
Berikut adalah lima takeaways dari pelaporan NPR:
Doge tampaknya mengabaikan praktik keamanan standar
Berulis mengatakan dia diberitahu oleh rekan kerja bahwa karyawan Doge menuntut akun tingkat tertinggi, apa yang disebut akun “Tingkat Pemilik Penyewa” di dalam sistem komputer agen independen. Tawaran yang pada dasarnya menawarkan izin tidak terbatas untuk membaca, menyalin, dan mengubah data, menurut pengungkapan Berulis ke Kongres.
Ketika seorang staf TI menyarankan proses yang ramping untuk mengaktifkan akun -akun tersebut dengan cara yang akan membiarkan aktivitas mereka dilacak, sesuai dengan kebijakan keamanan NLRB, staf TI disuruh tetap berada di luar jalan, pengungkapan terus berlanjut.
Bagi para profesional cybersecurity, kegagalan untuk mencatat aktivitas adalah dosa utama dan bertentangan dengan praktik terbaik.
“Itu bendera merah besar,” kata Berulis. “Itu adalah sesuatu yang tidak kamu lakukan. Itu melanggar setiap konsep inti keamanan dan praktik terbaik.”
Menurut pengungkapan itu, seseorang telah menonaktifkan kontrol yang akan mencegah perangkat seluler yang tidak aman atau tidak sah dari masuk ke sistem tanpa pengaturan keamanan yang tepat. Ada antarmuka yang terpapar ke internet publik, berpotensi memungkinkan aktor jahat mengakses sistem mereka. Sistem peringatan dan pemantauan internal ditemukan dimatikan secara manual. Otentikasi multifaktor dinonaktifkan.
Daniel Berulis berharap bahwa mungkin ada penyelidikan lebih lanjut tentang kesalahan penanganan data sensitif di seluruh pemerintah federal.
Grace Raver/NPR
Sembunyikan keterangan
Caption beralih
Grace Raver/NPR
Berulis melacak data sensitif yang meninggalkan sistem manajemen kasus NXGen agensi “Nucleus,” di dalam sistem NLRB. Kemudian, dia melihat lonjakan besar di lalu lintas keluar meninggalkan jaringan itu sendiri. Lonjakan semacam itu sangat tidak biasa, ia menjelaskan dalam pengungkapan, karena data hampir tidak pernah langsung pergi dari database NLRB.
“Jika dia tidak tahu latar belakangnya, apapun [chief information security officer] Layak garamnya akan melihat aktivitas jaringan seperti ini dan menganggap itu adalah serangan negara-negara dari Cina atau Rusia, “kata Jake Braun, mantan pejabat dunia maya Gedung Putih.
Faktanya, dalam beberapa menit setelah Doge mengakses sistem NLRB, seseorang dengan alamat IP di Rusia mulai mencoba masuk, menurut pengungkapan Berulis. Upaya -upaya itu diblokir, tetapi mereka sangat mengkhawatirkan. Siapa pun yang mencoba masuk adalah menggunakan salah satu akun Doge yang baru dibuat – dan orang tersebut memiliki nama pengguna dan kata sandi yang benar, menurut Berulis.
Data NLRB sangat sensitif dan tidak ada hubungannya dengan misi pemotongan biaya Doge
Niat Doge sehubungan dengan data NLRB masih belum jelas. Banyak sistem yang menanamkan dirinya di seluruh pemerintah lainnya memiliki data pembayaran atau pekerjaan – informasi yang dapat digunakan untuk mengevaluasi hibah dan program mana yang akan dihentikan dan siapa yang akan dipecat.
Tetapi sistem manajemen kasus NXGEN sangat berbeda.
Ini menampung informasi tentang kasus -kasus tenaga kerja yang sedang berlangsung dan diperebutkan, daftar aktivis serikat pekerja, catatan kasus internal, informasi pribadi dari nomor jaminan sosial ke alamat rumah, data perusahaan berpemilik dan informasi lebih lanjut yang tidak pernah dipublikasikan secara terbuka. Akses ke data itu dilindungi oleh banyak undang -undang federal, termasuk Undang -Undang Privasi.
“Tidak ada yang bisa saya lihat tentang apa yang dilakukan Doge yang mengikuti salah satu prosedur standar untuk bagaimana Anda melakukan audit yang memiliki integritas dan itu bermakna dan benar -benar akan menghasilkan hasil yang melayani fungsi audit normal, yaitu mencari penipuan, pemborosan dan penyalahgunaan,” kata Sharon Block, Direktur Eksekutif Pusat Sekolah Hukum Harvard untuk Buruh dan ekonomi yang adil dan mantan NLRB.
Bisnis Elon Musk adalah subjek investigasi NRLB
Ada beberapa kasus berkelanjutan yang melibatkan NLRB dan perusahaan yang dikendalikan oleh Musk. Setelah sekelompok mantan karyawan SpaceX mengajukan keluhan dengan NLRB, pengacara yang mewakili SpaceX, beberapa di antaranya baru -baru ini dipekerjakan dalam pekerjaan pemerintah, mengajukan gugatan terhadap NLRB. Mereka berpendapat bahwa struktur agensi tidak konstitusional.
Trump dan Musk, selama wawancara dengan Sean Hannity dari Fox News, mengatakan Musk akan mengundurkan diri dari apa pun yang melibatkan perusahaannya. “Saya belum pernah meminta presiden untuk apa pun,” Kata Musk. “Saya mendapatkan semacam ujian proktologi harian di sini. Anda tahu, ini tidak seperti saya akan pergi [with] Sesuatu di tengah malam. “Namun, Doge telah diberikan akses tingkat tinggi ke banyak data yang dapat menguntungkan Musk, dan belum ada bukti firewall yang mencegah penyalahgunaan data itu.
Segel Dewan Hubungan Perburuhan Nasional (NLRB) menggantung di dalam ruang sidang di markas di Washington, DC, AS, pada tahun 2019.
Andrew Harrer/Bloomberg via Getty Images
Sembunyikan keterangan
Caption beralih
Andrew Harrer/Bloomberg via Getty Images
“Bukannya dia orang acak yang mendapatkan informasi yang seharusnya tidak diakses oleh orang acak,” kata Blok Harvard Law. “Tetapi jika mereka benar -benar mendapatkan segalanya, maka dia memiliki informasi tentang kasus -kasus yang sedang dibangun pemerintah terhadapnya,” katanya.
“Doge adalah, apakah mereka mengakuinya atau tidak, dipimpin oleh seseorang yang menjadi subjek penyelidikan aktif dan penuntutan kasus. Ini sangat meresahkan,” katanya.
Doge memiliki pola mencari data sensitif dan tidak melindunginya
Di lebih dari selusin tuntutan hukum di pengadilan federal Sekitar Amerika Serikathakim telah menuntut agar Doge menjelaskan mengapa diperlukan akses yang luas ke data sensitif terhadap orang Amerika, dari catatan jaminan sosial hingga catatan medis swasta dan informasi pajak. Tetapi administrasi Trump tidak dapat memberikan jawaban yang konsisten dan jelas, sebagian besar menolak cybersecurity dan masalah privasi.
Pemerintahan Trump dapat mencoba untuk mengkodifikasi praktik Doge tentang bagaimana pemerintah berbagi informasi, kata Kel McClanahan, direktur eksekutif firma hukum nasional nirlaba, konselor keamanan nasional, yang mewakili karyawan federal dalam gugatan tentang penggunaan server email pribadi manajemen personel.
Beberapa minggu setelah staf Doge turun ke gedung -gedung federal di seluruh Washington, Trump mengeluarkan sebuah Perintah Eksekutif Mendesak peningkatan data berbagi “dengan menghilangkan informasi silo” dalam apa yang dilihat oleh para ahli seperti McClanahan sebagai upaya untuk memberikan kepada insinyur doge top cover lebih lanjut dalam mengakses dan menggabungkan data federal yang sensitif, terlepas dari undang -undang tentang privasi dan keamanan siber.
“Seluruh alasan kami memiliki Undang -Undang Privasi adalah bahwa Kongres menyadari 50 tahun yang lalu bahwa pemerintah federal hanya dipenuhi dengan informasi tentang orang biasa biasa dan membutuhkan beberapa pagar pembatas,” kata McClanahan kepada NPR. “Informasi silo ada karena suatu alasan,” lanjutnya.
Pakar Buruh takut pelepasan data ini bisa melukai tenaga kerja terorganisir
Akses ke data NXGEN akan memudahkan perusahaan untuk memecat karyawan untuk mengorganisir atau menjaga daftar hitam penyelenggara – kegiatan ilegal di bawah undang -undang perburuhan federal yang ditegakkan oleh NLRB. Tetapi “orang -orang dipecat di negara ini sepanjang waktu karena tindakan yang sah untuk mencoba mengatur serikat pekerja,” kata Block.
Memiliki daftar penyelenggara utama dan anggota potensial serikat akan membuatnya lebih mudah, seperti halnya memiliki salinan catatan penasihat lawan sebagai perusahaan mempersiapkan tantangan hukum, lanjutnya.
Bukan hanya karyawan yang mungkin menderita jika data ini keluar. Perusahaan juga kadang-kadang memberikan pernyataan terperinci tentang perencanaan bisnis internal dan struktur perusahaan di tengah-tengah proses pengaduan praktik-burbal yang tidak adil. Jika sebuah perusahaan berusaha untuk memecat seseorang yang diduga telah mengungkapkan rahasia dagang dan memerangi keluhan praktik-buruh yang tidak adil berdasarkan keputusan itu, rahasia dagang tersebut mungkin muncul dalam penyelidikan NLRB. Informasi itu akan berharga bagi pesaing, regulator, dan lainnya.
Secara keseluruhan, potensi paparan data NLRB dapat memiliki implikasi yang serius.
“Saya pikir ini sangat memprihatinkan,” kata University of California, Berkeley, sarjana buruh Harley Shaiken. “Ini dapat mengakibatkan kerusakan pada pekerja individu, untuk kampanye yang mengatur serikat pekerja dan untuk serikat pekerja sendiri,” katanya.
Stephen Fowler dari NPR menyumbangkan pelaporan. NPR’s Brett Neely mengedit cerita ini.
Punya informasi atau bukti untuk dibagikan tentang akses Doge ke data di dalam pemerintah federal? Jangkau penulis, Jenna McLaughlinmelalui komunikasi terenkripsi tentang sinyal di Jennamclaughlin.54. Stephen Fowler tersedia pada sinyal di stphnfwlr.25. Harap gunakan perangkat non -bajingan.
