Ex-NSA-medewerker wiens privé-pc geheimen liet uitlekken krijgt 5,5 jaar cel

De voormalige NSA-medewerker die jarenlang geheime documenten van de Amerikaanse inlichtingendienst meenam naar huis, heeft een gevangenisstraf van 66 maanden opgelegd gekregen.

De nu 68-jarige man blijft na de 66 maanden cel nog drie jaar onder toezicht. Hij krijgt de straf opgelegd voor het opzettelijk meenemen van geheime informatie van de nationale defensie. De man had meerdere geheimhoudingsverklaringen ondertekend en tal van cursussen gevolgd over de omgang met geheime documenten, waarmee hij moest weten dat hij niet geautoriseerd was de informatie mee naar huis te brengen.

De man was ontwikkelaar bij Tailored Access Operations van de NSA en had in die hoedanigheid de beschikking over informatie die als Top Secret en Top Secret // Sensitive Compartmented Information was bestempeld. Hij bekende eind vorig jaar de documenten en data vanaf 2010 tot en met maart 2015 mee naar huis genomen te hebben, zowel op papier als digitaal.

Op zijn persoonlijke computer stond beveiligingssoftware van Kaspersky. De Amerikaanse overheid beschuldigde het Russische antimalwarebedrijf ervan dat de geheimen uitlekten via die software en zo in handen kwamen van de Russische spionagedienst. De gegevens belandden uiteindelijk op straat, via een groep die zichzelf The Shadowbrokers noemde. Kaspersky kwam na eigen onderzoek tot de conclusie dat er een enkel incident in 2014 had plaatsgevonden, waarbij de software verschillende monsters en broncode van NSA-malware van de thuis-pc naar de servers van Kaspersky stuurde voor een analyse. Die gegevens zouden toen vernietigd zijn.

Kaspersky zelf was in 2015 slachtoffer van een geavanceerde overheidsaanval, waarbij vermoed werd dat het om Israël ging. De inlichtingendienst van dat land zou de VS ingelicht hebben over de diefstal van de NSA-gegevens. De Amerikaanse overheid maakt inmiddels geen gebruik meer van Kaspersky.

Door Olaf van Miltenburg

Nieuwscoördinator

26-09-2018 • 08:24

52

Reacties (52)

52
48
24
0
0
16
Wijzig sortering

Sorteer op:

Weergave:

Als informatie geheim is, waarom is het dan zo makkelijk om mee te nemen naar huis? En dat onopgemerkt voor vijf jaar?

De medewerker moest weten dat het niet mag, en de NSA moest weten dat het kan gebeuren. Volledig voorkomen kan niet. Zorg er daarom voor dat als het gebeurt dat het herkend wordt en dat er snel wordt ingegrepen om potentiële schade te beperken en herhaling te voorkomen.

Voor een geheime dienst is het gênant als zo lang zoveel informatie kan lekken. Zowel de medewerker als de NSA waren fout bezig.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 15:19]

Wie zegt dat het makkelijk was? Het kan best dat deze persoon een vindingrijke methode heeft ontwikkeld om informatie naar buiten te smokkelen.

Sowieso is het lastig om bijvoorbeeld informatie op papier te controleren als het gemengd is tussen onschuldige documenten.

[Reactie gewijzigd door TWyk op 27 juli 2024 15:19]

Van buiten leren en thuis weer intypen...
Op dit niveau moeten er gewoon hele strenge regels gesteld worden en beveiligingsmaatregelen toegepast worden. En aangezien ik DENK dat deze meneer de documenten niet verstopte op een plekje waar geen daglicht komt is er ook door de NSA gefaald.
Schijnbaar is het eenvoudig als hij het 5 jaar land kon doen. (van 2010 tot 2015)
Snowden kon in die tijd ook giga veel info downloaden.

Als het dus 5 jaar lang mogelijk was, kun je stellen dat de controle gewoon niet goed was.

Je voorbeeld papier controleren is heel eenvoudig en mag gewoon geen papier welk dan ook het pand verlaten. Daarnaast steekproef om alles te controleren als papier met clearance wel pand mag verlaten.
Ik begrijp helemaal niet waarom een ontwikkelaar hier ooit bij zou moeten kunnen...
Ontwikkelen doet men op de ontwikkelomgeving. Daarna wordt het opgeleverd naar de testomgeving en getest door testers, vervolgens wordt het opgeleverd naar een acceptatieomgeving en kunnen gebruikers/functioneel beheerders ernaar kijken en als laatste gaat het naar productie (standaard OTAP straat).

Een ontwikkelaar hoeft in principe niet bij de data van de productieomgeving (lees de geheimen) te kunnen. Zijn ontwikkelomgeving kan gewoon gevuld zijn met dummy data. Die van de testers ook.
Enige wanneer een ontwikkelaar iets op productie te zoeken zou kunnen hebben, is voor het oplossen van incidenten, maar ook daarvoor geldt dat dat eigenlijk (bij een goed lopende functioneel beheer afdeling) niet eens hoeft.
Waarschijnlijk was gewoon de applicatie top secret. En nam hij dat mee. Anyway. Om een kantoor functioneel te houden kan het vrijwel niet anders dat mensen documenten kunnen uitprinten oid. En je gaat niet elke dag iedereen fouilleren. Dat gebeurt waarschijnlijk steeksproefsgewijs en dan ook nog eens behoorlijk discreet.
Om een kantoor functioneel te houden kan het vrijwel niet anders dat mensen documenten kunnen uitprinten oid.
Ik heb kantooromgevingen gezien die buiten de toiletten om nagenoeg papiervrij waren. Het is vaak niet het middel (papier) maar het proces dat erop aangepast moet worden.
mja dat is ook wat ik bedoel...als zij de beveiliging serieus namen, had de ontwikkelaar dat soort zaken nooit onder ogen gekregen.
neemt niet weg dat het fout is dat ie ze meeneemt, maar om nu 66 mnd cel op te leggen omdat zij de beveiliging niet serieus nemen, vind ik wel erg...
De mens blijft altijd de zwakste schakel in je beveiliging. Maar dit had op meerdere (vrij simpele) manieren voorkomen kunnen worden.
Ik denk dat de chip deze positie wel heeft over genomen.
:P

Die geven geheimen 'by design' door. }>
Bekijk eens film of documentaire over soortgelijke gevallen.

Als je iets veilig wilt houden moet je niet van mensen afhankelijk zijn.
Ahhh, de zepster. Dat komt omdat mensen die toegang hebben tot gerubriceerde informatie deze nou eenmaal gemakkelijk mee kunnen nemen. Het gaat om informatie, niet om een staaf goud uit Fort Knox.
Het begon in 2010, voor Snowden. Die kon moeiteloos overal bij. Dat hij nog twee jaar na Snowden kon doorgaan bewijst dat het lastig is om dit te realiseren.
Snowden kon overal bij omdat hij tot de absolute top behoorde van de daar aanwezige developers en beheerders..
Wat heeft die 3 jaar onder toezicht nog voor zin?
Wellicht moet deze man dan al zijn devices doorgeven en kunnen ze voorzien worden van een monitoring app, kunnen ze hem online in de gaten houden.
Wauw, dit is wel heel roekeloos van die man. Als developer lijkt het mij dat je sowieso al zeer omzichtig omspringt met broncode, laat staan na x-tal cursussen en geheimhoudsverklaringen.
Waarom zit mevrouw Clinton niet in de gevangenis dan? Die had ook vele mails met geheime classificatie op prive servers staan
Of dat dan ook een soort diefstal was vraag ik me af.
Tja. Grote hand boven het hoofd he. Misschien omdat ze minder goed gebriefd was. Of dat de geheimen niet als zodanig geclassificeerd waren. Wat natuurlijk ook een fout is van iemand. De hoogste classificering die in haar mail stond was confidentieel.
De man had meerdere geheimhoudingsverklaringen ondertekend en tal van cursussen gevolgd over de omgang met geheime documenten, waarmee hij moest weten dat hij niet geautoriseerd was de informatie mee naar huis te brengen.
Ik gok dat mevrouw Clinton wel de juiste security clearance had daarvoor. Overigens heeft Clinton geen wetten doorbroken. Die wetgeving die het specifiek verbied is daarna pas gekomen.
Als dat al waar is, dan zou niet mevrouw Clinton, maar de afzender van die e-mails in de gevangenis moeten. Geheimen via e-mail versturen 8)7
Omdat zoals SoloH al zei er een groot verschil is tussen confidentieel en top secret...
Geld en corruptie is het antwoord.
Misschien omdat we hier op een wat hoger niveau zitten dan het ‘whatabout’ zoals in de us. ;)
Tja, niet willen begrijpen is ook een ding.
"De Amerikaanse overheid beschuldigde het Russische antimalwarebedrijf ervan dat de geheimen uitlekten via die software"

Natuurlijk, altijd weer een andere partij de schuld geven :P
Je hebt het toch gelezen? Klinkt plausibel. Ze hebben zelfs toegegeven dat ze de data in handen hadden.
Klopt maar ik vindt dat er (meestal) te snel word gewezen naar een buitenlands bedrijf. Elk antivirus bedrijf collect samples
Ok dat is nieuw voor me. Pff nog erger dan Google :-) dan weet je dus echt niet welke documenten worden verstuurd.

Maat dan is het dus terecht dat overheden geen Russische av software gebruiken.

[Reactie gewijzigd door SoloH op 27 juli 2024 15:19]

Een anti-virus moet malware verzamelen om er tegen te kunnen beschermen. Dus terecht? Tenzij de US government niet wil dat hun eigen malware herkend word, maw ze deze op eigen personeel inzetten? Dat lijken me eerder Chinese toestanden.
Dus terecht dat Westerse (NATO) overheden geen gebruik maken van Russische of Chinese, Iraanse, etc anti-virus software. Lijkt me toch logisch.
Ahh en toch zou ik hetzelfde doen. :)

[Reactie gewijzigd door kuurtjes op 27 juli 2024 15:19]

Als je je eigen burgers in het donker moet houden ben je gewoon fout bezig. Iedereen die daar tegen vecht loop ik maar al te graag in de voetsporen.
NSA zet op twitter: "We zijn verdachte X op het spoor in diens onderduikadres op Ystraat 12"
Verdachte X gaat dan vervolgens gewoon weg.

Er zijn zeer goede redenen om dergelijke informatie niet publiek te maken.
Of verdachte X wordt door heel de straat tegengehouden. Enigste reden van geheimhouding is dat wij als burger niet vertrouwd worden. Dus moeten wij een overheid vertrouwen die ons niet vertrouwd?
Case1: Burger probeert verdachte X tegen te houden. Wordt neergestoken.
Case2: Burger gebruikt teveel geweld en is nu zelf schuldig aan een misdrijf.
Dat is het hele punt van defensie. De burgers beschermen en de wet handhaven. Het gaat helemaal niet om een gebrek aan vertrouwen in de burger. Je zou een gemiddelde leek ook niet een nucleaire centrale toevertrouwen ook al heeft die de beste intentie, defensie is ervoor opgeleid, een gemiddelde burger niet.
Er werken daar gewoon burgers hoor. Geen vijand van de burgers. Je kan geen militaire macht hebben als je geen geheimen kan bewaren. En nee blijkbaar zijn niet alle burgers te vertrouwen, Kuurtjes.
Dus als jij bij een geheime dienst zou werken, en er wordt een dossier aangelegd over mogelijk terroristen, dan zou jij die gewoon openbaar maken, zodat de terroristen precies weten wat je van ze weet en daar hun gedrag op kunnen aanpassen?
Dat is hier toch geen sprake van? Had hij geen tools gelekt waarmee de NSA mensen konden hacken?
Dat hangt natuurlijk van de situatie af. Stel je voor de overheid houdt een aanslag niet tegen omdat ze de telefoonnummer willen waar de dader na de daad naar gaat bellen om te zeggen dat het gelukt is. Je weet gewoon niet op welk moreel niveau er gehandeld wordt, en daarom moet informatie zoals dit publiek zijn. En is het op dit moment gevaarlijk dan publiceren we het later.
Daar geef je teveel informatie mee weg over de modus operandi en maakt je extreem voorspelbaar. Dat is dus een heel erg slecht plan. Misschien na 30 jaar ofzo, maar dan nog...
Terroristen is het grootste excuus voor het volgen en in de gaten houden van ontschuldige burgers.
elk land zal een geheime dienst hebben, waar haar medewerkers waarschijnlijk allemaal geheimhoudings-- plicht hebben
Want jij bent ook een open boek zonder geheimen? Iedereen heeft dingebdie ze verbergen. Ook overheden en daar hoeft niets mis mee te zijn. Hoe anders ga je criminelen (of erger) opsporen? Hoe wil je onderhandelingen voeren en druk zetten als al je kaarten op tafel liggen?
heb je het nu over Facebook?

Op dit item kan niet meer gereageerd worden.