รายงานจากพรรคเดโมแครตในวุฒิสภาได้ทำให้เกิดความกังวลอย่างจริงจังเกี่ยวกับวิธีที่ Department of Government Efficiency (DOGE) ของ Elon Musk จัดการกับข้อมูลส่วนบุคคลที่ละเอียดอันดับที่สุดของพลเมืองอเมริกันทุกคน ความขัดแย้งนี้มีจุดศูนย์กลางอยู่ที่ข้อกล่าวหาว่า DOGE ได้ย้ายฐานข้อมูลข้อมูล Social Security ทั้งหมดไปยังเซิร์ฟเวอร์คลาวด์โดยไม่มีการกำกับดูแลด้านความปลอดภัยที่เหมาะสม แม้จะมีคำเตือนภายในเกี่ยวกับผลที่ตามมาที่อาจเป็นหายนะ
ฐานข้อมูล NUMIDENT มีข้อมูลมากกว่าแค่ตัวเลข
การสนทนาในชุมชนเผยให้เห็นว่าฐานข้อมูลที่เป็นประเด็นนั้นเรียกว่า NUMIDENT ซึ่งมีข้อมูลมากเกินกว่าเลข Social Security ธรรมดา ฐานข้อมูลที่ครอบคลุมนี้รวมถึงวันเกิดและสถานที่เกิดของชาวอเมริกัน ชื่อของบิดามารดา นามสกุลเดิมของมารดา สถานะใบอนุญาตทำงาน และแม้แต่ลายเซ็นจากแบบฟอร์มใบสมัคร Social Security ต้นฉบับ ผู้แสดงความเห็นคนหนึ่งกล่าวว่านี่คือข้อมูลที่มากกว่าแค่ตัวเลข โดยเน้นย้ำว่าขอบเขตของข้อมูลที่อาจถูกเปิดเผยนั้นกว้างไกลกว่าที่หลายคนอาจคิดในตอนแรก
เนื้อหาในฐานข้อมูล NUMIDENT :
- หมายเลขประกันสังคม
- วันเกิดและสถานที่เกิด
- ชื่อบิดามารดาและนามสกุลเดิมของมารดา
- สถานะใบอนุญาทำงาน
- ลายเซ็นจากแบบฟอร์มใบสมัคร SS-5
การกำกับดูแลด้านความปลอดภัยถูกปิดกั้นอย่างสมบูรณ์
สิ่งที่น่าวิตกกว่าการโอนย้ายข้อมูลเองคือการขาดการกำกับดูแลด้านความปลอดภัยอย่างสมบูรณ์ เจ้าหน้าที่ Social Security Administration ซึ่งปกติจะรับประกันความปลอดภัยของโครงสร้างพื้นฐานคลาวด์ของหน่วยงาน ถูกปิดกั้นอย่างสมบูรณ์จากการตรวจสอบการดำเนินงานของ DOGE สภาพแวดล้อมการทำงานที่อธิบายในรายงานฟังดูเหมือนเหนือจริงเกือบจะ - ยามติดอาวุธควบคุมการเข้าถึง หน้าต่างถูกปิดด้วยถุงขยะสีดำและเทป และสำนักงานถูกเปลี่ยนเป็นห้องนอนส่วนตัวที่มีเตียงควีนไซซ์และทีวีจอใหญ่
การประเมินความเสี่ยงเผยให้เห็นการให้คะแนนความปลอดภัยแบบตามอำเภอใจ
ชุมชนด้านเทคนิคได้วิเคราะห์วิธีการประเมินความเสี่ยงที่ใช้ในรายงาน สิ่งที่ปรากฏในตอนแรกเป็นตัวเลขความเสี่ยง 65% ที่เฉพาะเจาะจง จริงๆ แล้วมาจากระบบการให้คะแนนแบบ 1 ถึง 5 ธรรมดาที่ยืมมาจาก Office of Information Security ของ FDA การให้คะแนน 3 ในระดับนี้แปลเป็นความเสี่ยงระดับกลางและถูกกำหนดช่วง 35% ถึง 65% แบบตามอำเภอใจ เผยให้เห็นว่าการสื่อสารความเสี่ยงด้านความปลอดภัยบางครั้งอาจทำให้เกิดความคลุมเครือมากกว่าชี้แจงระดับภัยคุกคามที่แท้จริง
มาตราส่วนการประเมินความเสี่ยง ( FDA Office of Information Security ):
- ความเสี่ยงต่ำมาก (1): น้อยกว่า 10%
- ความเสี่ยงต่ำ (2): 10% ถึง 35%
- ความเสี่ยงปานกลาง (3): 35% ถึง 65%
- ความเสี่ยงสูง (4): 65% ถึง 90%
- ความเสี่ยงสูงมาก (5): 90% ถึง 100%
บริบทที่กว้างขึ้นของความปลอดภัยข้อมูล
เหตุการณ์นี้เกิดขึ้นในบริบทที่ชาวอเมริกันหลายคนสันนิษฐานว่าหมายเลข Social Security ของพวกเขาถูกบุกรุกไปแล้วผ่านการละเมิดต่างๆ ตลอดหลายปีที่ผ่านมา อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่าการละเมิดในอดีตไม่ได้เป็นเหตุผลในการละทิ้งแนวทางปฏิบัติด้านความปลอดภัยที่เหมาะสมสำหรับข้อมูลที่ละเอียดอ่อนเช่นนี้ ฐานข้อมูล NUMIDENT เป็นเป้าหมายที่มีค่าเป็นพิเศษเพราะมีไม่เพียงแค่หมายเลข Social Security แต่ยังมีข้อมูลส่วนบุคคลครบชุดที่ทำให้การขโมยตัวตนและการฉ้อโกงเป็นไปได้
พรรคเดโมแครตในวุฒิสภาขณะนี้เรียกร้องให้รัฐบาล Trump ปิดสภาพแวดล้อมคลาวด์ของ DOGE ทันทีและเพิกถอนการเข้าถึงข้อมูลส่วนบุคคลจนกว่าจะสามารถรับรองการปฏิบัติตามกฎหมายความเป็นส่วนตัวที่เหมาะสมได้ พวกเขายังเรียกร้องความโปร่งใสอย่างเต็มที่เกี่ยวกับข้อมูลที่พนักงาน DOGE สามารถเข้าถึงได้และวิธีการป้องกัน
อ้างอิง: DOGE might be storing every American's SSN on an insecure cloud server