Pazartesi günü yayınlanan bir rapora göre, ABD Savunma Bakanlığı’nın (DoD) üç muharip komutanlığı ve BT destek ajansı, gizli mobil cihazların kullanımı sırasında siber güvenlik protokollerine uymakta başarısız oldu. Bu rapor, “Savunma Bakanlığı Sınıflandırılmış Mobil Cihazlarının Siber Güvenliğinin Denetimi” başlığını taşıyor ve büyük ölçüde sansürlenmiş bilgiler içeriyor. Raporda, ABD Avrupa Komutanlığı (EUCOM), ABD Özel Harekat Komutanlığı (SOCOM) alt birimleri ve Savunma Bilgi Sistemleri Ajansı (DISA) dahil olmak üzere çeşitli kurumların, mobil cihazlarının doğru envanter kayıtlarını tutmadığı ve bu durumun hassas bilgileri siber tehditlere karşı savunmasız hale getirebileceği vurgulandı.
Mobil Cihaz Yönetimindeki Eksiklikler
Raporda, cihazların envanter kaydında eksiklikler olduğu, örneğin cihazların kullanıcı adı, cihaz tipi, seri numarası, telefon numarası ve saklanan verilerin sınıflandırması gibi önemli bilgilerin kaydedilmediği belirtildi. Ayrıca, cihazların nasıl kullanılacağına dair açıklamalar da eksikti. Savunma Bilgi Sistemleri Ajansı’na ait 43 cihaz, ABD Avrupa Komutanlığı’na ait 21 cihaz, ABD Özel Harekat Komutanlığı Karargahı’na ait dört cihaz ve ABD Özel Harekat Komutanlığı Merkezi’ne ait beş cihaz, denetim kapsamında incelendi.
COVID-19’un Etkisi ve Yönetim Zorlukları
Raporda, COVID-19 pandemisinin 2020 yılında mobil cihaz kullanımını artırmasıyla birlikte, bu artışı yönetmede yaşanan zorluklara da değinildi. Uzaktan çalışmanın yaygınlaşması, cihaz yönetimi ve takibindeki zayıflıkların daha da belirginleşmesine yol açtı. Ayrıca, bazı envanterlerde yanlış bilgiler yer aldığı tespit edildi.
Öneriler ve Düzeltici Adımlar
DOD Müfettişlik Ofisi, ABD Avrupa Komutanlığı ve ABD Özel Harekat Komutanlığı’na, sınıflandırılmış mobil cihazların envanterlerini hemen düzeltmeleri, cihaz programlarını ve eğitimlerini güncellemeleri ve her bireyin sınıflandırılmış cihazı kullanma gerekliliğini gözden geçirmeleri gerektiği önerisini sundu. Bu öneri her iki kurum tarafından kabul edildi.
Savunma Bilgi Sistemleri Ajansı’na ise envanter kayıtlarını düzeltmesi ve doğru bir envanter tutmak için yeni bir süreç geliştirmesi talimatı verildi. Ajans, bu süreç için bir çözüm geliştireceğini belirtti.
Savunma Bakanlığı’nın Siber Güvenlik Stratejileri
Raporda ayrıca, Savunma Bakanlığı’na bağlı diğer kurumların da bu tavsiyelere uymaları için teşvik edilmesi gerektiği ifade edildi. DOD Genel Müfettişlik Ofisi, Mart ayında yayınladığı bir raporda, zayıf parolalar ve çok faktörlü kimlik doğrulamasının reddedilmesi gibi zayıf siber güvenlik uygulamaları konusunda yüklenicileri uyarmıştı. Bu rapor, 2018 ile 2023 yılları arasında yapılan denetimlerde, DOD yetkililerinin yüklenicilerin siber güvenlik gereksinimlerini etkin bir şekilde denetlemediğini ortaya koymuştu.
