狗狗委員會：美國網路安全的潛在威脅？

總統唐納·川普為削減聯邦支出而設立的政府效能部門（DOGE），持續在華盛頓及聯邦官僚體系掀起波瀾。據報導，該部門團隊以近乎無限的授權進駐聯邦機構，依照近期的行政命令對聯邦政府進行改革。

身為一位擁有30年經驗的網路安全專家，我對DOGE到目前為止的活動深感憂慮。它在政府各部門的廣泛授權、看似不存在的監督，以及員工明顯缺乏的運作能力，都顯示出DOGE可能會創造出有利於發生影響全國的網路安全或資料隱私事件的條件。

傳統上，網路安全的目的是確保資訊和資訊系統的保密性與完整性，同時讓有需要的人能夠使用這些系統。但在DOGE成立的最初幾週，有報導指出其員工似乎忽視了這些原則，還可能使聯邦政府更容易遭受網路攻擊。

網路安全和資訊科技，就像其他商業職能一樣，依賴於接受過專門訓練的員工。就像你不會讓僅有急救資格的人進行開胸手術一樣，技術專業人員需要有基本的學歷、訓練和經驗，以確保最適合的人在崗位上。

目前，公眾、聯邦機構和國會幾乎不知道是誰在鼓搗政府的關鍵系統。DOGE的招聘流程，包括如何篩選申請者的技術、運作或網路安全能力，以及在政府工作的經驗，都是不透明的。而且，調查DOGE員工背景的記者還遭到了華盛頓代理檢察官的威脅。

DOGE僱用了剛從大學畢業或還在大學就讀、幾乎沒有政府工作經驗，但據稱有很強技術能力的年輕人。但有些人從事如此敏感的工作，其背景令人質疑。而且，一位在財政部工作的DOGE高層員工，因一系列種族主義的社交媒體貼文而辭職。

《連線》雜誌的凱蒂·德拉蒙德解釋了該雜誌記者對DOGE員工及其活動的調查結果。據報導，這些DOGE員工被授予了對各種聯邦系統的管理員級別的技術訪問許可權。這些系統包括處理所有聯邦支付的系統，如社會安全福利、醫療保險，以及國會撥款用於運營政府及其採購業務的資金。

據報導，DOGE人員正在迅速開發並部署對非常複雜的舊系統和資料庫的重大軟體更改。但考慮到更改的速度，很可能幾乎沒有正式的規劃或質量控制，以確保這些更改不會破壞系統。這種行為違反了網路安全原則和技術管理的最佳實踐。

因此，我們可能無法知道這些更改是否會使惡意軟體更容易進入政府系統，是否會使敏感資料被未經授權地訪問，或者DOGE的工作是否會使政府系統變得更加不穩定和脆弱。

如果你在資訊科技方面不知道自己在做什麼，可能會發生非常糟糕的事情。一個顯著的例子是2013年「健保網」網站的上線失敗。在財政部系統的情況下，這一點值得牢記，因為美國正走向另一場債務上限危機，公民們正期待著他們的社會安全福利金。

2025年2月6日，一名聯邦法官下令限制DOGE員工對財政部支付系統的訪問許可權，僅限於閱讀許可權，但挑戰他們訪問政府資訊科技系統合法性的法律程式仍在進行中。

DOGE明顯缺乏網路安全能力，從它最初的一些行動中就可以看出來。DOGE在聯邦政府各部門安裝了自己的電子郵件伺服器，以便在官方渠道之外與普通員工直接溝通，而忽視了經過時間考驗的網路安全和資訊科技管理最佳實踐。聯邦員工提起的一場訴訟稱，這些系統沒有按照現行聯邦網路安全標準進行安全審查。

聯邦政府有一套既定的程式來配置和部署新系統，以確保它們穩定、安全，並且不太可能造成網路安全問題。但DOGE忽視了這些做法，結果可想而知。

例如，一名記者能夠透過其中一臺伺服器向超過13000名國家海洋和大氣管理局的員工傳送他的時事通訊邀請。在另一個案例中，收集聯邦員工對DOGE「職涯岔路」買斷提議的回覆方式，很容易被惡意人士操縱——一個簡單的社交工程攻擊就可能錯誤地終止一名員工的工作。據報導，DOGE員工還將自己不可信賴的裝置連線到政府網路，這可能會為網路攻擊者提供新的途徑來滲透敏感系統。

然而，DOGE在保護自己方面似乎採用了創新的網路安全做法。它正在重新組織其內部通訊，以規避《資訊自由法》對其工作的調查請求，並使用網路安全技術來追蹤內部威脅，以防止和調查其活動的洩密情況。

但DOGE忽視的不僅僅是技術安全。2月2日，美國國際開發署的兩名安全官員拒絕讓一個DOGE團隊訪問敏感的財務和人事系統，直到按照聯邦要求核實了他們的身份和許可。然而，這兩名官員遭到了逮捕威脅，並被停職，而DOGE團隊最終獲得了訪問權。

川普政府還將聯邦首席資訊官（通常是擁有多年專業知識的高階職業員工）重新歸類為普通員工，可能會因政治原因被解僱。因此，聯邦政府很可能會出現資訊科技人才流失的情況，或者高階資訊科技領導和其他技術專家會不斷更替。這種變化幾乎肯定會對網路安全產生影響。

DOGE人員現在可以直接訪問人事管理局包含數百萬聯邦員工的資料庫，其中包括持有安全許可、擔任敏感職位的員工。如果沒有監督，這種訪問可能會導致隱私侵犯、篡改就業記錄、威脅或政治報復。

各級管理層的支援對於網路安全和技術管理的問責制至關重要。這在公共部門尤其重要，因為監督和問責制是良好民主治理和國家安全的關鍵職能。畢竟，如果人們不知道你在做什麼，他們就不知道你做錯了什麼。

目前，DOGE的運作似乎幾乎沒有受到任何有能力或願意對其行為負責的人的監督。

試圖遵循聯邦系統和資料的法律或網路安全做法的職業聯邦員工現在陷入了困境。他們要麼屈服於DOGE員工的指示，從而放棄最佳做法，忽視聯邦標準；要麼抵制他們，並面臨被解僱或紀律處分的風險。

聯邦政府龐大的資料庫涉及到每一位公民和公司。雖然政府系統可能不像以前那樣值得信賴，但人們仍然可以採取措施保護自己免受DOGE活動的不利影響。兩個好的起點是鎖定你的信用局記錄，以防你的政府資料被洩露，以及在聯邦網站上使用不同的登入名和密碼進行業務操作。

政府、國會和公眾必須認識到DOGE活動所帶來的網路安全危險，並採取有意義的措施，對該組織進行合理的控制和監督。