Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 18 april 2025

Klokkenluider doet boekje open over werkwijze DOGE bij Amerikaanse waakhond NLRB

Een klokkenluider trekt in de Verenigde Staten (VS) aan de bel over de werkwijze van het Amerikaanse Department of Government Efficiency (DOGE). Het ministerie zou werknemers in strijd met de regels accounts geven met hoge rechten, waarmee zij onder meer data kunnen bewerken, kopiëren en verwijderen. Ook zou DOGE data hebben gedownload en inloggegevens hebben laten uitlekken.

Security Data protection Overheid
Klokkenluider doet boekje open over werkwijze DOGE bij Amerikaanse waakhond NLRB image

Dit stelt althans Dan Berulis, een DevSecOps-archjitect van NLRB, in een verklaring gericht aan het Amerikaanse congres. Berulis gaat daarbij in op de werkwijze van DOGE bij de National Labor Relations Board (NLRB), een overheidsorgaan dat de rechten van werknemers in de private sector verdedigt.

'Onbeperkte toegang'

Berulis hekelt de toegang die DOGE kreeg tot systemen van de NLRB. De klokkenluider stelt dat DOGE-medewerkers in feite onbeperkte toegang kregen tot systemen, inclusief de mogelijkheid data te downloaden, bewerken en verwijderen. De klokkenluider wijst erop dat er binnen de NLRB accounts beschikbaar zijn die specifiek voor auditors zijn gemaakt, en het mogelijk maken data in te zien zonder deze te kunnen manipuleren. Het gebruik van deze auditor-accounts zou echter zijn afgewezen.

Ook stelt de klokkenluider dat DOGE-medewerkers onder meer monitoringssystemen hebben uitgeschakeld. Daarnaast zou multifactor-authenticatie zijn aangepast. Berulis stelt ook dat gigabytes aan data is gedownload uit een casemanagementsysteem, naar een externe locatie zijn gekopieerd en uit de systemen van de NLRB zijn verwijderd. Het is volgens de klokkenluider onduidelijk om welke data het exact gaat; hij stelt alleen grote datastromen te hebben waargenomen maar niet erin te zijn geslaagd meer inzicht te krijgen in deze stromen.

Inlogpogingen vanuit Rusland

De klokkenluider meldt ook vanuit Rusland is geprobeerd in te loggen op een account op dat op instructie van DOGE is opgezet. Daarbij zouden de correcte inloggegevens zijn gebruikt. De inlogpoging is geblokkeerd aangezien de NLRB het niet mogelijk maakt in te loggen uit andere landen dan de VS. De inlogpogingen zouden slechts vijftien minuten na het aanmaken van het account zijn begonnen.

Hierop trok het team van de NLRB volgens de klokkenluider aan de bel bij het United States Computer Emergency Readiness Team (US-CERT), dat zich onder meer richt op de digitale veiligheid van overheidssystemen. Later zou de US-CERT echter van hoger hand opdracht hebben gekregen het onderzoek hiernaar te staken. De klokkenluider stelt zich daardoor genoodzaakt te zien aan de bel te trekken over de gang van zaken en naar het Amerikaanse congres te stappen.

Meer informatie is beschikbaar bij The Register.

DIC Security Day BW tm 1 juli 2025 Verkada BW 10-04 tm 25-04-2025

Dutch IT events

Event icon

Event

Dutch IT Security Day

Event icon

Event

Dutch IT Golf Cup

Alle events
Jamf Cybersec 2025 2 BW + BN