NSA là một trong những cơ quan chính phủ tận cùng bí mật và mạnh mẽ nhất thế giới, bảo vệ các công cụ hack mạnh mẽ và các kho dữ liệu lớn được thu thập dưới lớp lớp chứng chỉ an ninh và bảo vệ kỹ thuật hàng đầu thế giới. Nhưng hóa ra, ba lần trong ba năm, an ninh đắt đỏ đó đã bị phá vỡ bởi một trong những nhân viên hợp đồng của chính nó đơn giản là mang theo những bí mật đó ra khỏi cửa.
Năm 2013, một nhà thầu của NSA tên là Edward Snowden rời khỏi tòa nhà của cơ quan ở Oahu, Hawaii, mang theo một USB chứa hàng nghìn tài liệu tối mật. Năm ngoái, một nhà thầu 53 tuổi của Booz Allen cho NSA tên là Hal Martin đã bị bắt giữ vì mang theo 50 terabytes dữ liệu ra khỏi cơ quan trong suốt khoảng hai thập kỷ. Và thứ Năm, Wall Street Journal đưa tin rằng vào năm 2015, một nhân viên hợp đồng thứ ba của NSA trong vòng ba năm mang về nhà một kho tài liệu phân loại bao gồm cả mã nguồn phần mềm và thông tin khác mà cơ quan sử dụng trong các hoạt động hack tấn công, cũng như chi tiết về cách bảo vệ hệ thống của Mỹ khỏi kẻ tấn công hacker.
Dữ liệu phân loại đó, không được phép mang ra khỏi khuôn viên nơi nhà thầu làm việc, sau đó bị mất từ máy tính cá nhân của nhà thầu bởi các điệp viên Nga, họ lợi dụng việc nhân viên không tên này cài đặt phần mềm antivirus từ Kaspersky, một công ty Nga. Và trong khi sự phát hiện này đã đặt ra một loạt các lo ngại nghiêm trọng và câu hỏi chưa được trả lời về gián điệp của Kremlin và vai trò của phần mềm thương mại phổ biến của Kaspersky, nó cũng chỉ ra một vấn đề an ninh cơ bản hơn cho NSA: Những bàn thua mà nó đã gây ra, khi một loạt các nhân viên trả tiền của mình tiết lộ một số bí mật nhạy cảm nhất của nó—bao gồm cả những kỹ thuật hack được bảo vệ và nguy hiểm nhất.
Trong khi Kaspersky là một tội đồ chính—mặc dù có thể là vô ý—trong vụ ăn cắp bí mật này, nguyên nhân cơ bản của việc vi phạm là do sự cẩu thả sâu sắc của nhân viên NSA đã vi phạm chứng chỉ an ninh của mình bằng cách mang về nhà các vật liệu cực kỳ nhạy cảm, theo Dave Aitel, một cựu nhân viên NSA hiện là giám đốc Công ty An ninh Immunity Inc.
"Những người này nghĩ gì thế này?" Aitel hỏi. "Rời khỏi NSA với các tài liệu tối mật và đặt chúng trên máy tính nhà là điều đầu tiên mà họ nói với bạn không nên làm. Tại sao nó vẫn tiếp tục xảy ra là một điều bí ẩn đối với tôi, và có lẽ đối với lãnh đạo tại NSA."
Việc tiết lộ về nhân viên hợp đồng mới nhất chưa được xác định, người làm việc cho một nhà tuyển dụng cũng chưa được công bố tên, xảy ra một năm sau khi Martin bị bắt khi để lại dữ liệu nhạy cảm trên ổ đĩa cứng ở nhà và trong ô tô, một bộ sưu tập bao gồm 75% các công cụ hacking được sử dụng bởi đội ngũ hacking hàng đầu của NSA, được biết đến với tên gọi là Tailored Access Operations, theo Washington Post. Các công tố viên trong vụ án của Martin đã nói rằng dữ liệu cũng chứa danh tính bí mật của các điệp viên ngầm.
Chưa rõ liệu Martin hay nhân viên hợp đồng mới nhất vi phạm quy tắc bảo mật của cơ quan này có ý định bán hoặc lợi dụng các tài liệu họ mang đi hay không. Đặc biệt, vụ việc gần đây nhất dường như là một trường hợp thiếu cẩn trọng, chứ không phải lợi nhuận hay ác ý, theo báo cáo của Wall Street Journal. Cả hai vụ rò rỉ này đều tương phản với những vụ đánh cắp dữ liệu được kích thích bởi nguyên tắc tiết lộ thông tin của Edward Snowden—một nhân viên hợp đồng khác của Booz Allen—who đánh cắp hàng nghìn tệp tin tối mật với ý định gửi chúng đến các phương tiện truyền thông.
Nhưng sau những vụ rò rỉ do Snowden thực hiện, việc xâm phạm bảo mật hoạt động và quản lý nhân viên hợp đồng của NSA vẫn là một vấn đề tiếp tục, đủ nghiêm trọng để Giám đốc NSA Admiral Michael Rogers bị khiển trách chính thức bởi cấp trên của mình, và một số quan chức cấp cao đã đề xuất với Tổng thống Obama rằng ông nên bị miễn nhiệm khỏi vị trí của mình, theo một số báo cáo năm ngoái. Rogers vẫn duy trì sự kiểm soát của NSA dưới chính quyền Trump. Một phát ngôn viên của NSA từ chối bình luận về "vấn đề nhân sự hoặc điều tra đang diễn ra," nhưng bảo vệ tư thế an ninh của cơ quan.
"Thượng úy Rogers đã đặt an ninh thông tin lên hàng đầu trong thời kỳ làm việc của mình. NSA hoạt động trong một trong những môi trường IT phức tạp nhất trên thế giới," người phát ngôn nói. "Trong những năm qua, chúng tôi đã tiếp tục xây dựng các cải tiến về an ninh nội bộ trong khi thực hiện nhiệm vụ bảo vệ đất nước và đồng minh của chúng tôi tròn giờ. Chúng tôi không chỉ tin tưởng vào một sáng kiến. Thay vào đó, chúng tôi đã thực hiện một bộ các biện pháp phòng thủ doanh nghiệp toàn diện và lớp lớp để bảo vệ thêm các hoạt động và tiến xa hơn trong việc thúc đẩy các phương pháp làm tốt trong cộng đồng tình báo."
Văn phòng báo chí của NSA từ chối làm rõ những biện pháp đó, hoặc cung cấp thêm chi tiết.
Thực tế, hai vụ rò rỉ gần đây của NSA có thể đã gây ra hậu quả đáng kể và có thể quan sát được: Nhiều người trong cộng đồng an ninh đều suy đoán—nhưng chưa xác nhận—rằng Shadow Brokers, một nhóm hacker không xác định đã phát hành một loạt các công cụ hacking của NSA bị đánh cắp trong năm qua, đã có được bộ công cụ hacking đó từ một trong hai vụ rò rỉ nội bộ sau Snowden. Những công cụ này đã được sử dụng lại bởi những hacker tội phạm và nhà nước để lan truyền worm ransomware WannaCry cũng như malware NotPetya, để cài đặt malware khai thác tiền điện tử trên máy tính của nạn nhân, và để thu thập tên người dùng và mật khẩu từ các mục tiêu gián điệp có giá trị thông qua Wi-Fi khách sạn.
Và tuy nhiên, các vụ rò rỉ vẫn tiếp tục. Điều đó có thể là vì dù vấn đề "mối đe dọa từ bên trong" có thể nguy hiểm, nhưng nó không có giải pháp dễ dàng, theo Susan Hennessey, một cựu luật sư của NSA hiện đang làm việc tại Viện Brookings. Nếu ai đó muốn lấy bí mật từ văn phòng của họ, có quá nhiều cách để làm điều đó, có thể đơn giản nhất là trên USB trong túi của họ.
"Bạn không thể điều hành một cơ quan liên bang lớn như sân bay, nơi mọi người đều được xoa bóp và kiểm tra khi vào ra," Hennessey nói. "Quy trình tuyển dụng và điều tra về quyền cấp phải giải quyết một số lo ngại, nhưng vào cuối ngày, các cơ quan tình báo nhất định phải đặt rất nhiều niềm tin vào nhân viên của họ. Vì vậy, các biện pháp hiệu quả chống lại mối đe dọa từ bên trong phải bắt đầu từ việc nhận ra rằng một số rủi ro không thể loại trừ, chỉ có thể quản lý được."
Nhưng mối quan hệ thân thiết của NSA với các nhà thầu cũng chịu một phần lớn tội, theo Tim Shorrock, tác giả cuốn sách Spies for Hire, tập trung vào tham nhũng trong ngành công nghiệp tình báo-nhà thầu. Anh lưu ý rằng các nhà thầu chiếm gần 30% số nhân viên của cơ quan, và 60% ngân sách của họ. Anh nhìn nhận rằng ba vụ rò rỉ gần đây là bằng chứng cho thấy những thanh toán khổng lồ đó không đi kèm với giám sát đúng đắn. "Họ để quá nhiều quyền lực cho các nhà thầu tự kiểm duyệt và rõ ràng hệ thống đó đang thất bại," Shorrock nói. "Cần có một cơ chế nào đó để kiểm soát các nhà thầu."
Shorrock cũng chỉ ra sự thiếu hậu quả cho các công ty cung cấp các nhà thầu đứng sau các vụ vi phạm gần đây. Anh cho rằng phần nào đó đến từ cánh cửa quay có quan chức giữa các cơ quan tình báo và tư nhân; cả hai giám đốc tình báo quốc gia dưới thời Tổng thống Obama và George W. Bush đều đã làm việc cho Booz Allen, ví dụ.
Nhưng cựu phân tích NSA Aitel tin rằng các vấn đề văn hóa tại NSA sâu sắc hơn là chỉ có các nhà thầu. Anh nói rằng trong thời gian làm việc tại cơ quan, thấy nhân viên cốt lõi của NSA cũng làm việc tại nhà, mặc dù không phải với các tài liệu phân loại thực sự, đọc các bài báo và nguồn thông tin công cộng về báo cáo an ninh thông tin, tìm kiếm thông tin kỹ thuật và thậm chí nói chuyện điện thoại với nhau bằng cụm từ mơ hồ hoặc mã hóa, điều mà anh coi là đặc biệt không khôn ngoan.
Aitel cho rằng những vụ rò rỉ gần đây của NSA bắt nguồn từ một vấn đề cơ bản hơn: Quy mô lớn của cơ quan và một cấu trúc không giới hạn nhân viên của nó đủ nhiều về thông tin theo nguyên tắc "cần phải biết". "Có một cái gì đó sai ở đây về cấu trúc và phân khúc. Rất khó để có một đội ngũ lớn mà mọi người đều biết về mọi thứ mà không có vụ rò rỉ," Aitel nói.