Numrush

Vijf jaar na Snowden: beveiliging NSA nog steeds niet op orde

Het is inmiddels 5 jaar geleden dat klokkenluider Edward Snowden zijn onthullingen over de Amerikaanse inlichtingendienst NSA deed. In de tussentijd is de beveiliging van de inlichtingendienst echter nog steeds niet op orde. Dat blijkt uit het eerste openbare onderzoek (pdf) naar de beveiliging, meldt Nextgov.

Volgens het onderzoek is de zogenoemde tweepersoonstoegangsregeling nog steeds niet goed toegepast, aldus het onderzoek. In 2013 werd die regeling toegevoegd toen Snowden duizenden geheime documenten aan journalisten lekte. Hij had onbelemmerd toegang tot de documenten en kon ze van het netwerk van de NSA kopiëren.

De tweepersoonstoegangsregeling moet dat soort scenario’s in de toekomst voorkomen. Volgens de regeling moet toegang tot geheime data voortaan door een tweede medewerker van de inlichtingendienst goedgekeurd worden. Maar na 5 jaar is die extra controle nog niet toegepast in de datacentra en technische ruimtes van de NSA.

Andere tekortkomingen

En ook op andere punten zijn er nog problemen in de beveiliging van de inlichtingendienst. De dienst houdt bijvoorbeeld niet goed bij of werknemers wel toegang mogen hebben tot de geheime data die ze kunnen bekijken. Verder zijn de beveiligingsplannen van de interne systemen onjuist of onvolledig, waardoor het moeilijker is om lekken op te sporen.

Gegevensdragers als USB-sticks worden bovendien niet altijd op malware en virussen gecontroleerd. En er wordt regelmatig verzuimd om alle goedkeuringen te verzamelen voor een nieuw computersysteem in gebruik wordt genomen. De processen worden niet goed doorlopen, waardoor de kans op programmeerfouten en kwetsbaarheden groter is.

Openbaar onderzoek

Het is niet voor het eerst dat er een onderzoek is naar de beveiliging van de NSA. Die worden ieder half jaar uitgevoerd door de inspecteur-generaal. Tot nu toe waren ze echter geheim. De inspecteur-generaal spreekt in het eerste openbare onderzoek van “substantiële cyberkwetsbaarheden” die snel moeten worden aangepakt.