NSA-directeur Keith Alexander stelt een ‘tweepersoonsregel’ voor die in betere toegangscontrole tot data voorziet en voorkomt dat data zonder autorisatie vanuit NSA-systemen gekopieerd kan worden. Als een tweede persoon – iemand werkzaam in een soortgelijke rol – geen toestemming voor de actie geeft, kan deze niet worden uitgevoerd.

In een reactie aan Computerworld.com zegt SANS-onderzoeker en voormalig NSA-agent John Pescatore dat weinig organisaties gebruikmaken van de tweepersoonsregel omdat deze lastig te implementeren is. Pescatore zegt dat het zeer onhandig is om routinematige taken te laten controleren en dat met name systeembeheerders op deze manier nauwelijks hun werk kunnen doen, maar dat hij het zich goed voor kan stellen dat de NSA de maatregel doorvoert.

De NSA onderzoekt daarnaast nieuwe technologie die de noodzaak van systeembeheerders terugbrengen naar een absoluut minimum, zegt Alexander.

Snowden kopieerde topgeheimen op een USB-stick

De geheime dienst onderzoekt op dit moment hoe het heeft kunnen gebeuren dat Booz Allen Hamilton-consultant Edward Snowden topgeheime documenten over het PRISM-programma heeft kunnen kopiëren binnen een NSA-kantoor op Hawaii. Snowden lekte deze documenten anderhalve week geleden aan kranten als The Washington Post en The Guardian.

“We kijken nu naar waar het toezicht heeft gefaald”, zegt Alexander in een dinsdag gehouden hoorzitting in het Amerikaanse Huis van Afgevaardigden. De NSA-directeur blijft volhouden dat Snowden zeer beperkt toegang had tot NSA-netwerken – bijvoorbeeld tot documenten met projectnamen en beschrijvingen, maar dat hij geen toegang kon verkrijgen tot data die voor de projecten werd verzameld en zelf ook niet in de informatie kon zoeken.

Nu nog circa duizend IT-beheerders werkzaam

De NSA verschaft op dit moment werkgelegenheid aan zo’n 1000 systeembeheerders, voornamelijk ingehuurde krachten, die net als Snowden zeer beperkt toegang hebben tot systeemdata, vertelt Alexander.

Tijdens de hoorzitting verklaarde Alexander verder dat afluisterprogramma PRISM “nooit eenzijdig informatie heeft verzameld van de servers van Amerikaanse bedrijven”. Ook zou NSA sinds 11 september 2011 dankzij gegevens uit telefoongesprekken en internetgebruik zeker 50 potentiële terreuraanslagen hebben voorkomen.