DOD’ye Eleştiriler: İletişim Güvenliği Yetersizliği
İki ABD senatörü, Savunma Bakanlığı’nın (DOD) askeri personelin iletişimlerini koruma konusunda yeterince önlem almadığını savunuyor. Bu eleştiriler, ABD hükümetinin, Amerikan telefon ve internet devlerini hedef alan bir Çin siber saldırı kampanyası ile karşı karşıya olduğu bir dönemde geliyor.
Eski İletişim Yöntemleri Tehdit Altında
Oregon Demokrat Senatörü Ron Wyden ve Missouri Cumhuriyetçi Senatörü Eric Schmitt, DOD’nin hala eski tarz sabit hatlı telefonları ve şifrelenmemiş cep telefonlarını kullandığını belirterek bu yöntemlerin, yabancı casusların işine yarayabileceğini vurguladılar.
Senatörler, özellikle Çin hükümeti‘ne bağlı Salt Typhoon adlı casusluk grubundan söz ediyor. Bu grup, yakın dönemde büyük ABD telekomünikasyon sağlayıcılarına, örneğin AT&T ve Verizon’a sızarak Amerikalıları gözetlemekle suçlandı.
Güvenlik Önlemleri Yetersiz
Senatörler, bu durumun DOD’nin yüksek-kaliteli iletişim güvenliği standartlarını uygulamamasıyla bağlantılı olduğunu ifade ediyor. Her iki senatör, DOD’ye gönderilen bir mektupta, şifreleme‘nin uygulanmamasının, iletişim güvenliğini tehlikeye attığını belirttiler.
Mektuplarında, SS7 olarak bilinen, dünya genelindeki telefon operatörlerinin hala kullandığı ve sıklıkla casusluk için istismar edilen eski bir protokol ile onun halef protokolü Diameter‘ın, DOD çalışanlarının karşılaştığı zayıflıklar olduğunu vurguladılar.
Çözüm Önerileri ve DOD’nin Yanıtı
Senatörler, DOD’dan ABD telekomünikasyon şirketleriyle olan sözleşmelerini gözden geçirmesini ve onlarla anlamlı siber savunmalar talep etmesini istediler. Ayrıca, üçüncü taraf siber güvenlik denetimlerini DOD ile paylaşmalarını da önerdiler.
Senatörlerin mektubunda, DOD’nin siber güvenlik durumu ile ilgili sorulara verdiği yanıtları içeren iki rapor da yer alıyor. DOD’nin şef bilgi sorumlusunun, SS7’nin güvenli olmadığını kabul ederek, telekomünikasyon sağlayıcılarının güvenlik açıklarının olduğu sonucuna vardığı belirtildi.
DOD, telefon operatörlerinin kendi denetimlerine ve bağımsız denetimlere dayandığını ancak bu denetimleri incelemediğini çünkü taşıyıcıların bu bilgileri avukat-müvekkil gizliliği olarak koruduklarını belirtti.
Ayrıca, DOD’nin roaming özelliğini kapatmadığı ve “Yüksek riskli ülkelerde” yer alan telefon ağı trafiğini (SS7 ve Diameter) reddetmediği, bunun arasında Rusya, Çin gibi siber saldırıların sıklıkla gerçekleştiği yerler de bulunuyor.
DOD’nin denetim kurulu sözcüsü Jeffrey Castro, TechCrunch’a verdiği bilgide, mektubun alındığını ve incelendiğini belirtti.