Dat constateert de inspecteur-generaal van de NSA in het eerste openbare onderzoek (pdf) naar de beveiliging van de inlichtingendienst, meldt Nextgov. Tot nu toe waren de halfjaarlijkse onderzoeken van de inspecteur-generaal geheim.

De NSA heeft volgens het onderzoek nog steeds de zogenoemde tweepersoonstoegangsregeling niet goed toegepast. Die regeling werd in 2013 ingevoerd nadat klokkenluider Edward Snowden duizenden geheime documenten van de NSA lekte aan journalisten.

Snowden had onbelemmerd toegang tot die documenten en kon ze ongemerkt van het netwerk van de NSA kopiëren. Om dat in het vervolg te voorkomen, moest toegang tot geheime data voortaan door een tweede NSA-medewerker goedgekeurd worden.

Die extra controle is na vijf jaar echter nog steeds niet toegepast in de datacentra en technische ruimtes van de NSA, stelt het onderzoek. Ook op andere vlakken schiet de beveiliging van de NSA nog tekort.

Zo wordt niet goed bijgehouden of medewerkers wel toegang mogen hebben tot de geheime data die zij kunnen bekijken. De beveiligingsplannen van interne systemen zijn onjuist of onvolledig, waardoor lekken moeilijker kunnen worden opgespoord. Ook worden gegevensdragers zoals usb-sticks niet altijd gecontroleerd op malware of virussen.

De NSA zou daarnaast regelmatig verzuimen om alle goedkeuringen te verzamelen voordat een nieuw computersysteem in gebruik wordt genomen. Omdat de processen niet goed worden doorlopen, is de kans op programmeerfouten en daarmee kwetsbaarheden groter.

De inspecteur-generaal spreekt van 'substantiële cyberkwetsbaarheden' die snel moeten worden aangepakt.