ABD Sosyal Güvenlik İdaresi'nden (SSA) bir yetkili, DOGE yetkililerinin, denetimden kaçan bir bulut ortamında ülkenin Sosyal Güvenlik bilgilerinin canlı bir kopyasını oluşturduğunu iddia etti. Bu iddia, veri güvenliği konusunda büyük endişelere yol açtı.
SSA Baş Veri Sorumlusu (CDO) Chuck Borges, kendisine ulaşan raporlar aracılığıyla, şu anda SSA'da çalışan DOGE yetkilileri tarafından organize edildiği düşünülen ciddi veri güvenliği açıkları hakkında bilgi sahibi olduğunu belirtti. Bu durum, 300 milyondan fazla Amerikalının Sosyal Güvenlik verilerinin güvenliğini riske atıyor. Sivil toplum kuruluşu Government Accountability Project, bu endişeleri ABD Kongresi üyelerine ve Özel Savcılık Ofisi'ne gönderdiği bir mektupla iletti.
DOGE'un dolandırıcılık kanıtı bulma çabasıyla Sosyal Güvenlik kayıtlarına erişim sağladığı daha önce bildirilmiş olsa da, milletvekillerine gönderilen mektupta, veritabanının canlı kopyasının daha önce kamuoyuna açıklanmadığı belirtildi. Mektuba göre, DOGE'un bu adımları SSA Bilgi Teknolojileri Sorumlusu (CIO) Aram Moghaddassi'nin yetkisi altında gerçekleştirildi ve SSA protokollerini ihlal etti.
Bu veritabanı kopyasının ele geçirilmesi durumunda ciddi sonuçlar doğabileceği vurgulanıyor.
SSA Güvenlik Sorununu Reddediyor
SSA, verileri güvensiz bir ortamda depolamadığını ve herhangi bir veri ihlalinden haberdar olmadığını belirtti. Kurumdan yapılan açıklamada, "Komiser [Frank] Bisignano ve Sosyal Güvenlik İdaresi, tüm ihbarcı şikayetlerini ciddiye alıyor. SSA, tüm kişisel verileri hayati bilgileri korumak için güçlü güvenlik önlemleri içeren güvenli ortamlarda saklar. Şikayette atıfta bulunulan veriler, SSA tarafından kullanılan ve internetten izole edilmiş köklü bir ortamda saklanmaktadır. Üst düzey kariyer sahibi SSA yetkililerinin bu sisteme idari erişimi bulunmaktadır ve bu erişim SSA Bilgi Güvenliği ekibi tarafından denetlenmektedir. Bu ortama dair herhangi bir ihlalden haberdar değiliz ve hassas kişisel verileri koruma konusundaki kararlılığımızı sürdürüyoruz." denildi.
Government Accountability Project mektubunda, Moghaddassi'nin Temmuz ayında NUMIDENT bulut projesini onayladığı belirtildi. Moghaddassi'nin, "İş ihtiyacının bu uygulamanın içerdiği güvenlik riskinden daha yüksek olduğuna karar verdim ve bu uygulamanın ve operasyonunun tüm risklerini kabul ediyorum" dediği aktarıldı.
Borges, bu yetkilendirmeyi "yetki istismarı" ve "ağır ihmal" olarak nitelendiriyor ve bulut ortamının oluşturulmasının birden fazla federal yasayı ihlal etmiş olabileceğini savunuyor. Mektupta, "450 milyondan fazla kişiye ait verileri içeren Yüksek Değerli Bir Varlığı bilinçli olarak kontrolsüz bir ortama yerleştirerek, talepte bulunanlar, görünüşe göre Moghaddassi ve muhtemelen diğerleri, FISMA [Federal Bilgi Güvenliği Modernizasyon Yasası] kapsamındaki yasal görevleri ihlal etmişlerdir" ifadesi yer alıyor.
Daha önce Elon Musk'ın şirketleri Neuralink ve X'te çalışan Moghaddassi, Çalışma Bakanlığı'nda DOGE için de görev yapmıştı. Mektupta, Moghaddassi'nin bu yılın Haziran ayında SSA'nın CIO'su olduğu belirtiliyor.
Government Accountability Project mektubu ayrıca, SSA'nın "korunan bilgisayar sistemlerine yetkisiz erişimi kolaylaştırarak Bilgisayar Dolandırıcılığı ve Kötüye Kullanım Yasası'nı" ihlal etmiş olabileceğini ileri sürüyor. Ek olarak, Moghaddassi'nin kendi kendine risk kabulü yetkilendirmesinin, hassas devlet bilgilerini koruma konusundaki federal yönergeleri aşan riskleri resmi olarak kabul ederek FISMA'nın sürekli izleme ve risk yönetimi gereksinimlerini ihlal etmiş olabileceği iddia ediliyor.
Donanma gazisi Borges, birçok federal kurumda çalıştıktan sonra bu yılın Ocak ayında SSA'nın CDO'su oldu. Mektupta, CDO olarak Borges'in SSA'daki kamu verilerinin güvenliği, bütünlüğü ve korunmasından sorumlu olduğu ve pozisyonunun veri erişimi, veri alışverişi ve SSA üretim sistemleri için kullanılan bulut tabanlı ortamlara tam görünürlük gerektirdiği belirtiliyor.
Kongre'den Soruşturma Çağrısı
Borges, endişelerini 6 Ağustos'ta üstlerine iletti. Bu görüşmede Borges'in, sahip olduğu Sosyal Güvenlik Numaralarının yeniden verilmesinin en kötü senaryo olabileceğini belirttiği ve amirlerinden birinin de bu olasılığı not ederek kamuya yönelik riski vurguladığı belirtiliyor.
Borges'in sonraki günlerde birçok yetkiliye endişelerini detaylandırdığı mektupta yer alıyor. Borges'in, bulut ortamının güvenliği hakkında talep ettiği bilgileri alamadığı, bu durumun kendisini NUMIDENT verilerinin maruz kalma riskiyle karşı karşıya bıraktığı ve CDO olarak sorumluluklarını yerine getirmesi için gerekli bilgilere sahip olmadığı yönünde makul bir inanca sahip olduğu ifade ediliyor.
Ayrıca, "Borges, Hukuk Müşavirliği Ofisi'nin çalışanlarına sorularına yanıt vermemeleri yönünde tavsiyede bulunduğunu biliyor. CDO'ya bilgi akışının bu şekilde kısıtlanması, Bay Borges'i rolünün sorumluluklarını yerine getirmesini engelleyen bir konuma sokmaktadır" denildi. Mektup, Borges'in milletvekilleri ve denetim mercileriyle görüşmeye hazır olduğunu belirtiyor ve Kongre ile Özel Savcılık Ofisi'ni "Bay Borges'in iddialarını araştırmaya ve milyonlarca Amerikalının verilerinin güvenliğinin derhal sağlanmasını sağlamaya" davet ediyor.
Sosyal Güvenlik verilerine erişim, federal mahkemelerde görülen çeşitli DOGE ile ilgili konulardan biri. Haziran ayı başlarında Yüksek Mahkeme, "SSA'nın, üyelerinin kendi işlerini yapabilmeleri için söz konusu kurumsal kayıtlara erişimine izin verebileceğine" karar verdi. Yargıç Ketanji Brown Jackson tarafından yazılan bir muhalefet şerhinde ise, çoğunluk kararının "DOGE'a, mahkemelerin DOGE'un erişiminin yasal olup olmadığını değerlendirmesine zaman tanımadan, bu kişisel, anonim olmayan bilgilere anında sınırsız erişim sağladığı" belirtildi.
