Wat informatiebeveiliging betreft, blijkt de NSA eerder dit jaar flink de mist in te zijn gegaan. Klokkenluider Edward Snowden bemachtigde documenten die hij niet had mogen inzien – laat staan downloaden – omdat hij zichzelf als beheerder van het NSA-netwerk hogere toegangsrechten gaf. Via zijn thin client verschafte hij zich zo toegang tot delen van de server waar alleen topfunctionarissen bij kunnen.

Zichzelf rechten toebedeeld

De rechten voor bestandstoegang werden uitgedeeld via accountbeheer en Snowden had via zijn eigen account enkel toegang tot documenten die de status ‘top secret’ – een standaardclassificatie in inlichtingendiensten – hadden. Gevoeligere documenten konden alleen worden ingezien door topmensen binnen de NSA.

Maar als IT’er beheerde Snowden deze profielen, vertelt ex-overheidsfunctionaris Jason Healey en nu voorzitter van een cyberdenktank aan de Amerikaanse nieuwszender NBC. Daarom kon hij zich eenvoudig voordoen als zo’n topfunctionaris binnen het netwerk en zo de gevoelige documenten bekijken die nu steeds uitlekken via de Guardian en de New York Times.

Downloadfunctionaliteit

Omdat systeembeheer rechten had om deze bestanden vervolgens ook te kunnen verplaatsen, kon de klokkenluider de bestanden downloaden via zijn client op usb-drives zetten. Normale NSA-agenten hebben deze functionaliteit niet en een gedetacheerde IT’er van dienstverlener Booz Allen had deze functionaliteit vanuit een infosec-oogpunt ook niet mogen hebben.

Bovendien kon hij van buitenaf het intranet benaderen, terwijl het doel daarvan juist moest zijn dat dit netwerk afgeschermd was en alleen binnen het NSA-hoofdkwartier in Maryland bereikt kon worden. Voor Booz Allen was blijkbaar een uitzondering gemaakt. Hierdoor kon Snowden op zijn gemak de documenten naar buiten smokkelen, omdat hij via zijn client op afstand werkte in Hawaï.

Geen briljante mensen

Zo werd het bestaan van een groot afluisternetwerk uiteindelijk wereldkundig. “Op een schaal van 1 tot 10 is de schade een 12”, stelt een anonieme overheidsfunctionaris tegenover NBC. “Dit is dus waarom je geen briljante mensen moet aannemen voor dit soort werk. Je moet slimme mensen aannemen. Briljante mensen zorgen voor problemen.”

De NSA past nu de procedures aan. Externe werknemers zijn onderdeel van een antecedentenonderzoek dat niet scherp genoeg wordt uitgevoerd, zo concludeerde een overheidscommissie onlangs. Ook wordt het aantal mensen dat adminrechten heeft drastisch teruggebracht.