Отдел кадров федерального правительства США нарушил закон и обошел собственные меры кибербезопасности, предоставив аффилированным лицам DOGE доступ к кадровым документам, постановил федеральный судья в понедельник, издав предварительный судебный запрет на дальнейшее раскрытие информации.
Президент Дональд Трамп своим указом в начале правления учредил так называемый Департамент эффективности правительства, чтобы сократить масштабную, по его мнению, растрату денег налогоплательщиков. Первоначально группа, возглавляемая Илоном Маском, заявляла, что планирует сократить расходы на триллионы долларов, но и близко к этому не подошла. Попутно группа свирепствовала в различных правительственных учреждениях, отбирая персонал и получая доступ к правительственным архивам, и с тех пор столкнулась с многочисленными судебными исками, обвиняющими ее в различных нарушениях.Управление по управлению персоналом (OPM), которое курирует кадровую политику и кадровые системы для гражданских федеральных служащих, предоставило филиалам DOGE доступ к конфиденциальным базам данных, согласно иску, поданному в феврале профсоюзами государственных служащих. Истцы утверждали, что руководство OPM нарушило Закон о конфиденциальности, раскрыв записи сотрудников, включая номера социального страхования, медицинскую информацию, банковские данные и данные о семье, лицам, не имеющим законного права на доступ к ним, и не обеспечило надлежащую защиту данных, как того требует федеральный закон.Судья Дениз Коут из Южного округа Нью-Йорка согласилась и в своем решении [PDF] отметила, что истцам, вероятно, удастся доказать, что OPM нарушил Закон о неприкосновенности частной жизни и Закон об административных процедурах, предоставив лицам, связанным с DOGE, доступ к данным агентства. Судья отметил, что доступ был предоставлен, «несмотря на то, что не было продемонстрировано никакой реальной необходимости в доступе». «Записи OPM могут быть использованы для выявления связей с разведкой, касающихся федеральных служащих, выполняющих секретные функции, или для поиска федеральных служащих, которые могут подвергаться угрозам возмездия», — написала она. «Истцы не имеют возможности отказаться от размещения своей информации в OPM-системах, а некоторые OPM-системы хранят информацию постоянно».
Коут сказал, что истцы разумно ожидали, что такая информация будет должным образом защищена, но вместо этого она была предоставлена людям, которые не значатся в списке. чтобы они прошли надлежащую проверку или обучение и не требовали такого широкого доступа для выполнения своих функций.
В дополнение к вероятным нарушениям административной процедуры и Законов о неприкосновенности частной жизни, судья пришел к выводу, что OPM проигнорировала свою собственную политику кибербезопасности, предоставив агентам DOGE доступ к данным, о которых идет речь, несмотря на устоявшиеся протоколы обучения и необходимые ограничения доступа, изложенные в правилах агентства.
Небрежный подход OPM к кибербезопасности напоминает о сбоях, которые привели к утечке данных в 2015 году
«Небрежный подход OPM к кибербезопасности напоминает о сбоях, которые привели к утечке данных в 2015 году». Утечка данных в 2015 году», — высказал свое мнение Коут. Для тех, кто не знаком со взломом OPM, произошедшим десять лет назад, злоумышленники использовали украденные учетные данные сотрудников, чтобы проникнуть в системы и завладеть личными данными примерно 21,5 миллионов человек, включая нынешних, бывших и потенциальных сотрудников и подрядчиков. Месяцем ранее также было совершено более мелкое нарушение, в результате которого было украдено четыре миллиона записей.
В своем постановлении судья Коут предупредила, что текущее решение OPM о доступе к DOGE повторяет ошибки в области кибербезопасности, которые привели к утечке данных в 2015 году. Она сказала, что сбои, такие как предоставление доступа к конфиденциальным записям без подтверждения законной необходимости и неспособность обеспечить прохождение лицами необходимой проверки и обучения, могут привести к еще одному серьезному инциденту с безопасностью.»Политика контроля доступа, которой якобы придерживается OPM, отошла на второй план», — сказала она, предоставив доступ DOGE. Это отклонение от стандартной практики «напоминает о «недостатках культуры и лидерства», которые, как указано в отчете Палаты представителей за 2016 год, привели к утечке данных OPM в 2015 году».
В соответствии с постановлением Cote, истцы просили запретить OPM предоставлять DOGE доступ к персоналу записи, разрешать доступ в будущем только в соответствии с Законом о конфиденциальности и APA, требовать от DOGE уничтожения любых раскрытых персональных данных, вводить новые меры защиты данных и предоставлять отчет с подробным описанием того, кто из DOGE по-прежнему имеет доступ к системам OPM.
Неясно, будут ли удовлетворены все эти просьбы в рамках фактического судебного запрета. Коут указала в своем решении, что объем судебного запрета будет определен в отдельном постановлении, которое еще не издано, и судья не указала, когда это постановление может быть отменено. Решение Cote аналогично приказу, изданному в марте судьей штата Мэриленд, который запретил DOGE получать доступ к персональным данным в OPM, Министерстве образования и Министерстве финансов США на том основании, что указанный доступ также нарушает административную процедуру и Законы о конфиденциальности. Впоследствии это постановление было отменено апелляционным судом. Аналогичным образом, Верховный суд США в пятницу предоставил DOGE доступ к данным налогоплательщиков в Управлении социального обеспечения после того, как суд низшей инстанции заблокировал этот доступ. Это решение также вполне может быть отменено в случае подачи апелляции — администрация Трампа активно выступала в защиту Дожа, а также добилась от федерального судьи отмены запрета на доступ команды к данным Министерства финансов.
Редакция не ответила на вопросы, касающиеся этой статьи. ®
