Whoops.Foto: Krakenimages.com (Shutterstock)
Karyawan Pentagon menggunakan aplikasi yang dilarang dan tidak sah untuk menemukan koneksi, menonton TikToks, dan membeli crypto di ponsel dan perangkat pemerintah, menurut penyelidikan Departemen Pertahanan baru yang diluncurkan karena kekhawatiran seputar TikTok. Daftar yang diunduh karyawan DoD meskipun ada larangan termasuk aplikasi kencan, aplikasi drone China, jaringan pribadi virtual pihak ketiga, aplikasi cryptocurrency, game, dan aplikasi yang terkait dengan skema pemasaran multi-level.
Kantor inspektur jenderal Departemen Pertahanan mengaudit perangkat yang dikeluarkan pemerintah, serta kebijakan yang dimaksudkan untuk melindungi DoD dari aplikasi yang tidak sah dan berpotensi berbahaya. Investigasi memeriksa toko aplikasi khusus DoD sendiri dan menemukan sejumlah aplikasi yang tidak disetujui yang dirahasiakan, dan menetapkan bahwa karyawan dapat mengakses aplikasi apa pun yang mereka inginkan di perangkat pemerintah melalui toko aplikasi reguler yang tersedia untuk konsumen.
Beberapa aplikasi yang ditemukan di telepon kantor karyawan memiliki “risiko keamanan siber, risiko keamanan operasional, [or] konten yang berpotensi tidak pantas,” menurut laporan inspektur jenderal tentang penyelidikan, yang dirilis Kamis.
Dalam langkah yang dapat membahayakan keamanan nasional lebih dari sekadar tanggal Tinder yang tidak bersemangat, karyawan juga menggunakan aplikasi perpesanan yang tidak disetujui untuk membahas Informasi Tidak Sah Terkendali, istilah pemerintah untuk informasi sensitif yang seharusnya dilindungi dengan tindakan pencegahan khusus dan hanya dibagikan di saluran resmi, kata laporan.
“Personil melakukan bisnis resmi di perangkat seluler DoD mereka menggunakan aplikasi seluler yang melanggar kebijakan penyimpanan pesan dan catatan elektronik Federal dan DoD,” menurut laporan tersebut. “Karyawan DoD mengunduh aplikasi yang dapat menimbulkan risiko operasional dan keamanan siber terhadap sistem informasi dan informasi DoD.”
G/O Media dapat memperoleh komisi
12 Set Lego Raksasa untuk Anak Raksasa di Dalam Diri Anda
Set Lego untuk dinikmati siapa saja dari segala usia
Siapa pun yang mengatakan Lego untuk anak-anak belum pernah melihat label harga pada kit ini. Dan bahkan jika itu benar, apa itu orang dewasa jika bukan anak-anak yang sangat besar? Sebenarnya Lego adalah untuk semua orang.
Inspektur jenderal memperingatkan bahwa karyawan telah mengunduh aplikasi yang “membutuhkan akses ke daftar kontak pengguna, data lokasi, dan perpustakaan foto”. Semua data lezat itu bisa mengungkapkan informasi militer yang sensitif.
Departemen Pertahanan tidak segera menanggapi permintaan komentar tentang bagaimana rencananya untuk memperbaiki masalah tersebut.
Laporan tersebut mencantumkan berbagai macam aplikasi, termasuk aplikasi untuk sepak bola fantasi, permainan peran online, aplikasi perpesanan, dan “aplikasi dealer kapal pesiar mewah”. Sayangnya, laporan itu tidak menyebutkan apakah pejabat Pentagon benar-benar membeli kapal pesiar, tetapi menyenangkan memikirkan tentang mereka yang merencanakan serangan bom di kapal pesiar akhir pekan.
Laporan tersebut disunting untuk menghapus nama aplikasi tertentu dan jumlah aplikasi yang dipermasalahkan. Namun, dari petunjuk konteks dan ukuran redaksi, jelas jumlah aplikasi setidaknya ratusan, jika tidak ribuan. Banyak referensi lain yang disunting atau tidak jelas juga mudah ditafsirkan.
Misalnya, dalam referensi yang tampaknya jelas tentang TikTok, inspektur jenderal menulis, “Contoh aplikasi dengan konten yang berpotensi tidak pantas termasuk aplikasi untuk membuat video berdurasi pendek.” Militer secara eksplisit melarang TikTok dari perangkat pemerintah pada Januari 2020.
Laporan tersebut juga menjelaskan dua aplikasi dari “produsen drone komersial Cina,” yang hampir pasti adalah DJI, pemimpin dunia dalam drone komersial. DoD melarang penggunaan drone komersial, dan perangkat serta aplikasi DJI secara khusus dilarang di seluruh pemerintah karena potensi risiko keamanan dan dugaan dukungan perusahaan terhadap genosida Uyghur.
Menggunakan aplikasi drone China “tampaknya bertentangan dengan kebijakan DoD dan dapat menimbulkan masalah keamanan siber,” kata laporan itu.
Secara teori, risiko keamanan yang sama yang berlaku untuk TikTok juga berlaku untuk DJI. Secara hukum, pemerintah China dapat memaksa perusahaan yang berbasis di China untuk menyerahkan data pengguna.
Penggunaan VPN pihak ketiga yang tidak disetujui sangat mengkhawatirkan. Jaringan pribadi virtual dimaksudkan untuk membuat koneksi aman antara perangkat Anda dan internet dengan merutekan semua lalu lintas Anda melalui server eksternal, yang menyembunyikan data. Namun, perusahaan yang mengoperasikan VPN secara teoretis dapat mencegat semua informasi yang datang ke atau dari perangkat Anda, yang menimbulkan risiko signifikan bagi pegawai federal yang menangani informasi sensitif. Laporan tersebut menyebutkan penggunaan VPN yang tidak sah tetapi tidak merinci tentang masalah atau solusi potensial.
Laporan tersebut merinci tentang kebijakan yang membuat masalah menjadi tidak terkendali. Misalnya, DoD memiliki toko aplikasi khusus sendiri, yang disebut toko “Aplikasi Seluler Penggunaan Pribadi”, atau singkatnya PUMA. Namun, PUMA menyertakan aplikasi yang “tidak dikelola” oleh departemen TI Pentagon, dan karenanya berada di luar kendali pemerintah.
Lebih buruk lagi, perangkat pemerintah tampaknya membiarkan karyawan pergi ke toko aplikasi konsumen biasa, memungkinkan karyawan untuk mengatasi semua protokol keamanan buzzkill itu. Itu memberi karyawan DoD akses “tidak terbatas” ke aplikasi “yang dapat menimbulkan risiko operasional dan keamanan siber,” kata laporan itu.
Rupanya, larangan militer terhadap TikTok, DJI, dan ribuan aplikasi berbahaya lainnya secara teoretis sama dengan email dengan kata-kata yang keras. Laporan tersebut berargumen bahwa pelatihan keamanan tidak cukup untuk melindungi sumber daya pemerintah.
“Pelatihan perangkat seluler dan aplikasi DoD tidak memadai, tidak memenuhi persyaratan kebijakan, dan tidak diwajibkan setiap tahun,” kata laporan itu.
Pembaruan, 10 Februari, 15:41 EST: Kisah ini telah diperbarui dengan informasi tambahan tentang laporan tersebut.