Dua senator AS menuduh Departemen Pertahanan (DOD) tidak berbuat cukup untuk melindungi komunikasi personel militernya, ketika pemerintah AS menghadapi kampanye peretasan Tiongkok yang menargetkan raksasa telepon dan Internet AS. Para senator mengatakan Departemen Pertahanan masih terlalu bergantung pada panggilan telepon rumah dan pesan teks ke ponsel yang tidak terenkripsi, yang rentan untuk dimata-matai oleh mata-mata asing.
Senator Demokrat Ron Wyden dari Oregon dan Senator Republik Eric Schmitt dari Missouri secara khusus menyebutkan adanya ancaman, seperti kelompok mata-mata pemerintah Tiongkok yang dikenal sebagai Salt Typhoon, yang baru-baru ini terjadi. dituduh membobol penyedia telekomunikasi besar AStermasuk AT&T dan Verizon, untuk memata-matai orang Amerika.
“Adopsi yang luas atas alat-alat yang bersifat eksklusif dan tidak aman adalah akibat langsung dari kegagalan pimpinan Departemen Pertahanan untuk mewajibkan penggunaan enkripsi end-to-end default, praktik terbaik keamanan siber, serta kegagalan dalam memprioritaskan keamanan komunikasi ketika mengevaluasi berbagai platform komunikasi. “para senator dia menulis dalam surat bipartisan kepada pengawas pemerintah Departemen Pertahanan. “Kegagalan DOD untuk mengamankan komunikasi suara, video dan teks yang tidak dirahasiakan dengan teknologi enkripsi end-to-end telah menjadikannya rentan terhadap spionase asing.”
Para senator juga menyebutkan SS7, sebuah protokol berusia puluhan tahun yang masih digunakan oleh operator telepon di seluruh dunia untuk mengarahkan panggilan dan pesan teks. dan umumnya dieksploitasi untuk spionase – dan protokol penerusnya, Diameter, sebagai kelemahan yang masih rentan bagi karyawan DOD, karena perusahaan telekomunikasi global belum mengadopsi metode baru untuk melindungi panggilan reguler dan pesan teks dalam perjalanan.
Wyden dan Schmitt menyerukan kepada Departemen Pertahanan untuk mempertimbangkan kembali kontraknya dengan perusahaan-perusahaan telekomunikasi AS dan sebagai gantinya “bernegosiasi ulang dengan penyedia layanan nirkabel yang dikontrak, untuk mewajibkan mereka mengadopsi pertahanan dunia maya yang berarti terhadap ancaman dari pengawasan dan, jika diminta, untuk berbagi informasi ketiga mereka. audit keamanan siber pihak. dengan Departemen Pertahanan.”
Surat senator mencakup dua dokumen teknis, satu dari awal Juli dan satu lagi dari Oktober, yang dikirimkan Departemen Pertahanan ke kantor Wyden, menjawab serangkaian pertanyaan terkait postur keamanan siber departemen tersebut.
Menanggapi pertanyaan tentang SS7, CIO DOD mengakui bahwa DOD setuju bahwa SS7 dan Diameter tidak aman, menulis bahwa “ada perlindungan terbatas” terhadap kelemahan yang dimiliki oleh operator itu sendiri. Oleh karena itu, solusi seluler yang dikelola DOD mengenkripsi data saat transit untuk melindungi dari pengumpulan pasif.
Pada saat yang sama, CIO menulis bahwa DOD tidak melakukan auditnya sendiri, melainkan mengandalkan audit yang ditugaskan oleh vendornya sendiri dan pihak ketiga. Namun Departemen Pertahanan belum meninjau audit tersebut karena perusahaan menganggap audit tersebut dilindungi sebagai informasi istimewa pengacara-klien.
CIO juga mengakui bahwa DOD belum menonaktifkan roaming atau menolak lalu lintas SS7 dan Diameter, termasuk untuk pengguna DOD di Rusia, Tiongkok, dan negara berisiko tinggi lainnya yang diketahui melakukan serangan siber pada ponsel.
Jeffrey Castro, juru bicara inspektur jenderal Departemen Pertahanan, mengatakan kepada TechCrunch bahwa pengawas telah menerima surat tersebut dan sedang meninjaunya.
