Podrobnosti tatvine še vedno niso povsem jasne, domnevno naj bi jo izpeljal eden od uslužbencev agencije, na plan pa je prišla marca 2017, ko je žvižgaško spletno mesto WikiLeaks pod skupnim imenom Trezor 7 objavilo vrsto dokumentov, v katerem so razkrili, kako ameriški obveščevalci izrabljajo slabosti v spletnih sistemih za digitalne vdore. Hitro se je izkazalo, da gre za največjo nedovoljeno objavo zaupnih podatkov v zgodovini Cie, eden njenih takratnih vodilnih je dejal, da je šlo za "digitalni Pearl Harbor". Cia je morala ustaviti nekaj svojih obveščevalnih operacij, njeni cilji v tujini pa so dobili jasen vpogled v uporabljane tehnike in so lahko hitro sprejeli obrambne ukrepe.
Poročilo izvira iz jeseni 2017 in kaže na "zaskrbljujoče površne" varnostne postopke v posebni enoti, ki je snovala in gradila digitalno orožarno. Tako niso imeli niti nadzora nad tem, kdo vse ima dostop do nje. Brez objave na WikiLeaksu morda sploh ne bi vedeli, da se je zgodila kraja. "Če bi podatke ukradli za nasprotnika in jih ne bi objavili, morda še vedno ne bi vedeli, da se je to zgodilo," so zapisali preiskovalci. Po njihovem mnenju bi se pristojni morali zavedati nevarnosti v domačih vrstah, saj je nekaj let pred tem vojaška obveščevalna analitičarka Chelsea Manning s pomočjo WikiLeaksa razkrila zaupne podatke obrambnega in zunanjega ministrstva, Edward Snowden pa je izbranim novinarjem predal podatke Nacionalne varnostne agencije.
Poročilo Cie je bilo deloma dostopno za javnost že med sojenjem Joshui Schulteju, nekdanjemu uslužbencu agencije, ki so ga osumili kraje, a se porota marca ni mogla poenotiti, ali je zares kriv. Obsodili so ga le laganja zvezni policiji FBI in neupoštevanja ukazov sodišča, ker mu je iz preiskovalnega zapora uspelo novinarje obveščati o svojem primeru. Toda njegove pravne težave še niso končane, zvezni agentje naj bi med preiskavo na njegovih elektronskih napravah našli več kot 10.000 slik in posnetkov otroške pornografije. Kar je vedno prikladno za pritiske na osumljenca.
Milijarde ukradenih strani
Digitalna forenzična analiza, ki so jo opravili v osrednji obveščevalni agenciji, je pokazala, da naj bi se Schulte dokopal do privilegija administratorja sistema in nato s svojega delovnega računalnika imel dostop do stare varnostne kopije datotek. Ta se ujema z dokumenti, objavljenimi na strani organizacije WikiLeaks. Prav tako je imel na domačem računalniku naložen program, ki ga žvižgaška organizacija priporoča kot varen način za predajo dokumentov na njene strežnike. Obramba Schulteja je med sojenjem trdila, da je imelo omrežje Cie tako slaba gesla in splošno znane varnostne slabosti, da bi lahko vanj vdrli ne samo drugi uslužbenci agencije, ampak tudi zunanji napadalci.
Omenjeno poročilo o tatvini navaja, da večina orodij za digitalne vdore ni bila posebej zaščitena, uporabniki so si med sabo delili gesla za najvišji, administrativni dostop. Prav tako ni bilo ustrezne zaščite, ki bi preprečevala uporabo odstranljivih spominskih enot, kot so USB-vtičniki. Uporabniki so imeli hkrati neomejen dostop do varnostnih kopij sistema. Tako naj bi storilec odnesel kar 34 terabajtov podatkov, kar pomeni okoli 2,2 milijarde strani dokumentov. Poročilo trdi, da je notranje grožnje v sistemu zelo težko odpraviti, vendar bi morali varnostni ukrepi nezadovoljnim zaposlenim precej bolj otežiti krajo zaupnih podatkov. Toda sistem, na katerem je bila orožarna Cie, menda ni imel niti nadzora nad dostopanjem do podatkov.
Poročilu manjka vsaj trideset strani, nekaj zapisov pa je zakritih, v javnost pa je prišlo iz pisarne demokratskega senatorja Rona Wydena, člana senatnega odbora za obveščevalno dejavnost, ki se zavzema za večjo digitalno varnost na tem področju. Ta je v pismu Johnu Ratcliffu, direktorju nacionalne obveščevalne dejavnosti, zapisal, da je bila odločitev kongresa, s katero so obveščevalne agencije izločili iz zveznih zahtev po minimalni spletni varnosti, očitno napaka. Prav tako so napake obveščevalcev deležne premajhne pozornosti kongresnikov, saj je bil v agencijo za posojilne ocene Equifax deležen veliko bolj skrbne preiskave kot pa vdora v NSA in Cio, trdi Thomas Rid, profesor za informacijsko varnost na univerzi Johns Hopkins.
KOMENTARJI (18)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.