ABD Ordusunda Mobil Telefon Güvenlik Açığı Ortaya Çıktı
ABD Savunma Bakanlığı Teftiş Kurulu’nun (DoD OIG) yayımladığı DODIG-2023-041 yönetim tavsiyesi raporu, Pentagon’un mobil cihaz kullanımında büyük bir güvenlik ve denetim zaafı olduğunu açıkça ortaya koydu.
DoD Mobile Application Crisis: DODIG-2023-041 Raporu ABD Ordusundaki Mobil Güvenlik Açığını Ortaya Çıkardı
ABD Savunma Bakanlığı Teftiş Kurulu’nun (DoD OIG; Department of Defense Office of Inspector General) yayımladığı DODIG-2023-041 yönetim tavsiyesi raporu, Pentagon’un mobil cihaz kullanımında büyük bir güvenlik ve denetim zaafı olduğunu açıkça ortaya koydu. Rapor, DoD personelinin resmi görevleri yürütürken kontrolsüz, DoD tarafından yönetilmeyen (unmanaged) mobil uygulamaları aktif olarak kullandığını; bunun hem operasyonel güvenlik (OPSEC) hem de siber güvenlik açısından ciddi tehdit oluşturduğunu vurguluyor. Bu bulgular, DoD’nin yıllardır hedeflediği Zero-Trust mobil güvenlik mimarisinin hâlâ tam olarak yerleşmediğini ve JADC2 vizyonunun kırılgan bir zemin üzerinde durduğunu gösteriyor.
Resmî Mesajların “Kayıt Dışı Uygulamalarda” Yürütülmesi Büyük Risk
Rapora göre birçok DoD personeli, Federal elektronik kayıt yasalarına ve DoD’nin elektronik mesaj yönetimi politikalarına aykırı şekilde kayıt dışı mesajlaşma uygulamalarını resmi işler için kullanıyor. Bu uygulamalar, resmî arşiv sistemlerine kaydedilmediği için hem komuta zincirinin takip edilebilirliğini azaltıyor hem de kritik operasyonel bilgilerin izsiz biçimde ortadan kaybolmasına neden oluyor. Kısacası, DoD içinde “gölgede yürütülen resmî iletişim” ciddi bir yapısal zafiyet oluşturuyor. Bu durum hem istihbarat hem de operasyon planlaması açısından kabul edilemez bir risk.
App Store Sorunu: DoD Cihazlarda Sınırsız Erişim, Sınırsız Risk
Raporun en çarpıcı tespitlerinden biri, DoD cihazlarına sahip personelin Apple App Store ve Google Play üzerinden neredeyse sınırsız uygulama indirebilmesi. Bu kontrolsüz erişim, hassas bilgilerin yabancı ülke bağlantılı uygulamalara sızabilmesi anlamına geliyor. OIG (Office of Inspector General), bazı uygulamaların bilinen siber riskler taşımasına rağmen DoD içindeki bazı birimler tarafından “yetkili” olarak sunulduğunu da tespit etmiş. Dahası, DoD’nin personeline kişisel kullanım sınırları ve yasak uygulamalar hakkında yeterli eğitim vermediği belirtiliyor. Yani, risk hem teknik hem kültürel düzeyde büyüyor.
Temel Sorun: DoD’nin Kapsamlı Bir Mobil Politikasının Olmaması
Raporun merkezindeki temel eleştiri şu:
ABD Savunma Bakanlığı’nın tamamını kapsayan, güncel, bütüncül bir mobil cihaz ve mobil uygulama politikası bulunmuyor.
Bu eksiklik nedeniyle:
-
Kuvvetler arasında tutarsız uygulamalar oluşuyor,
-
DISA’nın denetimi yetersiz kalıyor,
-
Kullanıcılar hangi uygulamanın “resmî, yönetilen, onaylı” olduğunu kolayca anlayamıyor,
-
Zero-Trust modeli her kurum tarafından eşit seviyede uygulanamıyor.
Bu tablo, DoD’nin en temel dijital modernizasyon girişimi olan JADC2 ile çelişen büyük bir eşgüdüm sorunu olarak değerlendiriliyor.
Rapordaki 5 Büyük Tavsiye: Pentagon’a Yol Haritası
Kayıt dışı mesajların arşive aktarılması ve tüm yetkisiz uygulamaların silinmesi
DoD CIO’nun tüm kuvvetlerde acil olarak şunları yapması isteniyor:
– Unmanaged uygulamalardaki tüm resmî mesajların resmî sistemlere aktarılması,
– Yetkisiz tüm uygulamaların cihazlardan kaldırılması,
– Riskli uygulamaların taranması ve silinmesi,
– Personelin App Store erişiminin kısıtlanması veya sıkı denetime alınması.
DoD genelinde yeni bir mobil cihaz + uygulama politikası oluşturulması
Yeni politika şunları kapsamalı:
– Resmî/k kişisel kullanım tanımları,
– Unmanaged uygulamaların OPSEC ve siber tehditleri,
– GPS, kamera, ekran görüntüsü gibi riskli özelliklerin denetimi,
– Text message kayıt zorunlulukları (5015.02 & 2022 direktifi),
– Kullanıcılara düzenli eğitim: etik, OPSEC, malware riski, kayıt yönetimi, gizlilik, erişilebilirlik.
“Managed vs. Unmanaged App” terminolojisinin netleştirilmesi
DISA ve DoD CIO’nun uygulama sınıflandırmalarını standartlaştırması öneriliyor.
DISA’nın daha aktif rol üstlenmesi
DISA’nın:
– cihazlara indirilen uygulamalar için düzenli rapor sunması,
– resmî uygulama listesini yayımlaması,
– riskli uygulamaları temizlemesi,
– yeni uygulama taleplerini “resmî kullanım” koşuluyla otomatik olarak managed hâline getirmesi gerekiyor.
CDAO/DDS ekiplerinin unmanaged uygulama kullanımına son vermesi
Tüm kayıt dışı uygulamaların bırakılması ve mesajların resmî hesaplara aktarılması zorunlu hale getiriliyor.
DefenceTrend Analizi: Bu Rapora Neden Önem Verilmeli?
Bu denetim raporu, ABD’nin mobil güvenlik ekosisteminin aslında göründüğünden çok daha zayıf olduğunu gösteriyor. Ukraynada da ki DELTA gibi sahada başarıyla kullanılan güvenli mobil mimarilere kıyasla, DoD’nin kurumsal mobil politikası oldukça parçalı durumda. Özellikle JADC2 kapsamında mobil COP, mobil C2 ve anlık karar destek uygulamalarına yönelen Pentagon için bu zaaf, operasyonel üstünlüğü doğrudan tehdit eden bir problem haline geliyor.
DoD bu tavsiyeleri tam olarak uygularsa, 2027 Zero-Trust hedefi gerçeğe çok daha yakın olacak. Ancak uygulamazsa, ABD’nin komuta-kontrol dijitalleşmesi ciddi siber riskler altında kalmaya devam edecek.
