שערוריית סייבר בארה”ב: אנשי DOGE עקפו נהלי אבטחת מידע
פרשת אבטחת מידע חמורה נחשפה בסוכנות הלאומית ליחסי עבודה (NLRB), לאחר שהתברר כי אנשי צוות ממחלקת הייעול הממשלתית DOGE – מיזם שמקושר ישירות לאילון מאסק – קיבלו גישה חסרת תקדים למערכות הענן של הסוכנות, תוך עקיפת נהלים וחשד למעשים פליליים
via REUTERS
באפריל 2025 הוגש לוועדת המודיעין של הסנאט תצהיר מקיף בן 28 סעיפים, שנכתב על ידי דניאל ג’י ברוליס, מהנדס אבטחת מידע בכיר ב־NLRB. בתצהיר נטען כי אנשי DOGE ביצעו חדירה לא מורשית למערכות Azure של הסוכנות, תוך השגת גישת “Tenant Admin” – ההרשאה הגבוהה ביותר האפשרית, אף יותר מזו של מנהל מערכות המידע של הארגון.
בין היתר, נחשף כי אנשי DOGE עקפו את נהלי אבטחת המידע, מנעו תיעוד של פעולותיהם, כיבו רכיבי ניטור, והוציאו מידע רגיש באופן חשאי, כולל תיקים משפטיים ונתונים אישיים. עוד צוין, כי זמן קצר לאחר קבלת הגישה, נרשמו ניסיונות כניסה למערכת מכתובת IP ברוסיה – נתון שמעורר חשש להתערבות זרה.
הגוף תחת מתקפה – הסיפור מאחורי ה־NLRB
ה־NLRB הוא גוף פדרלי עצמאי שנוסד ב־1935 במסגרת “חוק וגנר”, ותפקידו להגן על זכויות עובדים בארה”ב, לאכוף את הזכות להתאגד ולנהל מו״מ קיבוצי. בסוכנות מועסקים כ־1,300 עובדים והיא מחזיקה בתקציב שנתי של כ־320 מיליון דולר.
לפי התצהיר, DOGE – גוף ממשלתי שנועד לקדם ייעול וחיסכון בפעילות משרדי הממשלה – קיבל סמכויות לטיפול במערכות ה־NLRB, אך פעל ללא פיקוח ובניגוד להנחיות של גופי אבטחת המידע הפדרליים. בין הפעולות שתוארו:
הענקת גישת־על (“Tenant Owner”) ללא אישור וללא תיעוד. הפעלת כלים טכנולוגיים להסתרת פעילות, כמו “opaque containers” ו־SAS tokens. כיבוי מערכות בקרה קריטיות, בהן Conditional Access Policies ו־Multi-Factor Authentication. הוצאת מידע רגיש לנקודות חיצוניות לא מזוהות, תוך השבתת מערכות ניטור (SIEM). מניעת דיווח לגופי הסייבר הלאומיים (US-CERT), בניגוד לחוקי FISMA.
איומים ושתיקה
לטענת ברוליס, ניסיונותיו לדווח על הממצאים נתקלו בהתנגדות פנימית מצד הנהלת הסוכנות. לדבריו, קיבל בהמשך מכתב מאיים שצורפו אליו תמונות של ביתו שצולמו ככל הנראה מרחפן – אות שנועד, כך פירש, להשתיקו. בהמשך פנה לקונגרס עם דו”ח whistle-blower מקיף.
החשדות סביב הפרשה מעמיקים נוכח הרקע המתוח בין אילון מאסק לבין ה־NLRB. בעבר הורה הארגון על החזרת עובדים שפוטרו בחברות טסלה ו-SpaceX, תוך קביעה כי מאסק עצמו הפר את חוקי העבודה בציוציו. רק בחודש מרץ האחרון פסק בית משפט לטובת ה־NLRB בתביעה מול SpaceX – ימים ספורים לפני שצוות DOGE נכנס לפעול בסוכנות.
כעת עולה שאלה מטרידה: האם החדירה נועדה לאסוף מידע לצרכים משפטיים עתידיים? האם מדובר בפעולה להחלשת גוף רגולטורי שמאתגר את פעילותן של חברות בבעלות מאסק? או שמא זהו מקרה קיצוני של ריגול – אולי אפילו מטעם מדינה זרה?
חקירה נדרשת
בעוד שסוכנות DOGE מצהירה כי מטרתה היא לייעל את פעילות הממשל ולצמצם בזבוז, עולות תהיות כבדות לגבי התנהלותה. חקירה מקיפה נדרשת כדי לברר האם מדובר בכשל מערכתי, פגיעה מכוונת בזכויות עובדים, או אפילו ניסיון התערבות חיצונית בביטחון הלאומי של ארה”ב.