Министерство внутренней безопасности', уполномоченное осуществлять внутреннюю слежку, беспокоит сторонников неприкосновенности частной жизни с момента создания организации после терактов 11 сентября. Утечка данных, затронувшая разведывательное подразделение МНБ, пролила свет не только на то, как министерство собирает и хранит конфиденциальную информацию - в том числе о слежке за американцами, - но и на то, как оно однажды оставило эти данные доступными для тысяч государственных и частных служащих и даже иностранных граждан, которые никогда не имели права их видеть.
Эта статья стала бесплатной для всех, поскольку она основана в основном на материалах, полученных в результате запросов по Закону о свободе информации. Пожалуйста, оформите подписку, чтобы поддержать нашу журналистику.
Во внутренней служебной записке МНБ, полученной в результате запроса по Закону о свободе информации (FOIA) и предоставленной в распоряжение, говорится, что с марта по май 2023 года онлайн-платформа МНБ, используемая Управлением разведки и анализа МНБ (I&A) для обмена секретной, но несекретной разведывательной информацией и результатами расследований между МНБ, ФБР, Национальным контртеррористическим центром, местными правоохранительными органами и центрами объединения разведок по всей территории США, была неправильно настроена, что случайно привело к раскрытию закрытой разведывательной информации для всех пользователей платформы.
Доступ к данным, согласно расследованию МНБ, описанному в служебной записке, должен был быть ограничен пользователями разведывательного раздела Информационной сети национальной безопасности (Homeland Security Information Network'), известного как HSIN-Intel. Вместо этого она была настроена на предоставление доступа "всем", что открыло доступ к информации десяткам тысяч пользователей HSIN. Среди неавторизованных пользователей, получивших доступ, были сотрудники правительства США, занятые в областях, не связанных с разведкой или правоохранительной деятельностью, таких как ликвидация последствий стихийных бедствий, а также подрядчики из частного сектора и сотрудники иностранных правительств, имеющие доступ к HSIN.
"Министерство здравоохранения рекламирует HSIN как защищенную и говорит, что хранящаяся в ней информация является конфиденциальной, критической информацией национальной безопасности, - говорит Спенсер Рейнольдс, адвокат Центра Бреннана по вопросам правосудия, который получил служебную записку через FOIA и сообщил о ней. - Но этот инцидент ставит под вопрос то, насколько серьезно они относятся к информационной безопасности". Тысячи и тысячи пользователей получили доступ к информации, которой они не должны были обладать."
Данные HSIN-Intel включают в себя все: от выводов и подсказок правоохранительных органов до отчетов об иностранных хакерских и дезинформационных кампаниях и анализа внутренних протестных движений. В служебной записке о взломе HSIN-Intel упоминается, например, отчет, в котором обсуждались "протесты, связанные с полицейским учебным центром в Атланте" - вероятно, протесты Stop Cop City против создания учебного центра общественной безопасности в Атланте - и отмечается, что в нем основное внимание уделялось "средствам массовой информации, восхваляющим такие действия, как бросание камней, фейерверков и бутылок с зажигательной смесью в полицейских"."
В общей сложности, согласно служебной записке о внутреннем расследовании МНБ, к 439 "продуктам" I&A на части платформы HSIN-Intel неправомерно обращались 1 525 раз. Из этих случаев несанкционированного доступа, согласно отчету, 518 были пользователями из частного сектора и еще 46 - не гражданами США. Случаи доступа иностранных пользователей были "почти полностью" сосредоточены на информации о кибербезопасности, отмечается в отчете, и 39 процентов всех неправомерно полученных разведывательных продуктов касались кибербезопасности, например, спонсируемых иностранным государством хакерских групп и иностранных атак на правительственные ИТ-системы. В меморандуме также отмечается, что некоторые из неавторизованных пользователей США, просматривавших информацию, могли бы получить доступ к информации ограниченного доступа, если бы попросили рассмотреть возможность получения разрешения.
"Когда эта ошибка в кодировке была обнаружена, I&A немедленно устранили проблему и расследовали возможный ущерб", - говорится в заявлении представителя Министерства здравоохранения. "После всесторонней проверки многочисленные надзорные органы пришли к выводу, что серьезного нарушения безопасности не было. МНБ серьезно относится ко всем мерам безопасности и конфиденциальности и стремится обеспечить обмен разведывательной информацией с федеральными, государственными, местными, племенными, территориальными и частными партнерами для защиты нашей родины от многочисленных враждебных угроз, с которыми мы сталкиваемся"
Управление директора национальной разведки, контролирующее разведывательные службы США, не ответило на просьбу о комментарии.
Хотя разоблачение произошло при администрации Байдена, меморандум подчеркивает риски, связанные со сбором данных о слежке за американцами, которые сохраняются и при нынешней администрации, утверждает Джерами Скотт, директор программы по надзору за слежкой в Информационном центре электронной конфиденциальности, некоммерческой организации, занимающейся защитой цифровых прав. По его словам, относительная непрозрачность администрации Трампа и враждебность DHS к мерам по надзору говорят о том, что если бы подобная утечка данных произошла сейчас, общественность могла бы никогда об этом не узнать. В качестве примера он приводит фактическое закрытие отдела надзора МНБ, состоящего из 150 человек и известного как Управление по гражданским правам и гражданским свободам. "Если это происходило тогда, то будут ли подобные вещи фиксироваться сейчас?" спрашивает Скотт. "Все должны быть обеспокоены тем, что подобные вещи случаются, а надзор только ухудшился после этого инцидента.
Согласно меморандуму о расследовании МНБ', Управление по защите персональных данных МНБ первоначально считало, что нарушение имело "минимальное или незначительное воздействие".Однако автор служебной записки, чье имя было отредактировано в форме, опубликованной в соответствии с законом о свободе информации, определил, что Управление по защите частной жизни не в полной мере учитывало персональную информацию (PII), раскрытую в результате утечки, особенно информацию об американцах, что противоречит оценке "незначительного воздействия". В меморандуме в качестве одного из выводов расследования рекомендуется, чтобы I&A провело переподготовку сотрудников по определению PII.
Два законодательных акта, находящихся на рассмотрении Конгресса, направлены на реформирование или ограничение полномочий DHS по наблюдению: один называется "Закон об усилении надзора за разведкой DHS", а другой - "Закон о полномочиях в области разведки от 2026 года", который введет новые ограничения на финансирование некоторых программ внутреннего наблюдения DHS. Рейнольдс из Brennan Center отмечает, однако, что поправки содержат конкретные исключения для обмена разведывательной информацией между МНБ и другими правительственными агентствами или подрядчиками, поэтому, скорее всего, не затронут HSIN-Intel.
В служебной записке о расследовании МНБ по факту утечки данных HSIN-Intel, как отмечает Рейнольдс, не оцениваются последствия утечки для всех других организаций, чьи данные были утечены в ходе инцидента, и даже не упоминается, что пострадали другие агентства' с большим количеством конфиденциальных данных. "Учитывая объем данных, весьма вероятно, что они были бы затронуты", - говорит Рейнольдс. "Это должно вызвать тревогу у агентств по всей стране, которые доверяют свою информацию Управлению разведки и анализа".
В более широком смысле Скотт из EPIC утверждает, что утечка должна касаться не только МНБ или его партнерских агентств, но и всех, кто потенциально попадает в сферу наблюдения МНБ - другими словами, каждого американца. "Это касается каждого жителя США из-за широты программ слежки и разведки, которые они проводят", - говорит Скотт. "Мы говорим об агентстве, которое занимается внутренней разведкой. Это затрагивает всех нас"
.