Hükümet Dijital Hizmeti (GDS), güvenlik kaygılarının ilk kez gündeme gelmesinden yaklaşık üç yıl sonra GOV.uk One Oturum Açma Dijital Kimlik Sistemi için kilit ulusal siber güvenlik standartlarına uygunluk elde etmemiştir.
Bir giriş ekibi hala Ulusal Siber Güvenlik Merkezi (NCSC) yönergelerini tam olarak karşılamak için çalışıyor. Computer Weekly, ekibin NCSC Siber Değerlendirme Çerçevesi’nde (CAF) detaylandırılan 39 sonuçtan 21’ine uyduğunu öğrendi – bir yıl önce başarıyla izlediği beş sonuç üzerinde bir iyileşme.
CAF, “kritik ulusal hizmetleri esnek hale getirmek için tasarlanmıştır. [cyber] Hükümete göre Saldırı ”. NCSC tarafından“ temel işlevlere yönelik siber risklerin sorumlu kuruluş tarafından ne ölçüde yönetildiğini değerlendirmek için kapsamlı bir yaklaşım ”sağlamak için geliştirilmiştir. CAF, Nisan 2023’te başlatılan Hükümet Güvenlik Grubu (GSG) tarafından yürütülen bir siber esneklik inceleme süreci olan Govassure’un bir parçasıdır.
Bir giriş, vatandaşların çevrimiçi kamu hizmetlerine erişmesinin birincil yolu haline gelmesi amaçlanmıştır. 2022’de, projeye 330 milyon sterlin üzerinde harcamayı haklı çıkarmak için kullanılan bir oturum açma davası, sistemin CAF tarafından “desteklendiğini” söyledi – 2024 kadar yakın zamanda sadece beş önlemin uygulanması durumunda sorgulanması gereken bir iddia.
Son zamanlarda değerlendirildi
CAF, her biri daha düşük seviyeli “iyi uygulama göstergeleri” (IGPS) olan 39 “katkıda bulunan sonuç” içerir. Sistemler ikili bazda derecelendirilir, böylece bir IGP’yi karşılayamaması, diğer tüm IGP’lerin karşılanmış olsa bile, genel sonucu karşılamamasıyla sonuçlanır.
Bir giriş, yakın zamanda bir yıl içinde GDS Dijital Kimlik ekibinin 39 CAF sonucunun sadece beşini 21’e karşıladığını tespit eden bir Govassure incelemesinin bir parçası olarak değerlendirildi.
GDS, CAF değerlendiricilerinin bir girişin “siber güvenlik anlayışı” nı belirttiğini ve yıl sonuna kadar CAF uygunluğunun “son derece yüksek standartlarını” elde etmek için planların mevcut olduğunu belirtti.
Bununla birlikte, bir giriş Haziran 2022’den beri canlı ve üç milyondan fazla kullanıcı ile, NCSC’nin CAF’ın kurulmasında gerektirdiği “çok sağlam siber güvenlik ve esneklik seviyelerinin” uygulanması tam olarak kritik bir sistemdir.
Ayrıca, Hükümet Siber Güvenlik Standardı, tüm dijital hizmetlerin tasarım (SBD) ilkelerine uygun olarak uyması gerektiğini zorunlu kılmaktadır. Computer Weekly, GDS’nin sistemin “bu ilkeleri karşıladığını” söylese de, GDS dijital kimlik ekibinin henüz SBD’yi tam olarak uygulamadığını öğrendi.
GDS, bu yıl Ocak ayına kadar SBD ile canlı olarak yayınlanacaktı, ancak en az Ekim ayına kadar tam uygulamasını geciktirdi.
Bu, Silahlı Kuvvetler Gaziler Kartının elektronik versiyonunu Gov.uk dijital cüzdanında saklama planlarının bir parçası olarak SBD uyumuyla ilgili bir giriş ekibine soru sormasına yol açtı.
GDS, tasarım çerçevesine karşı güvenliğe karşı resmi akreditasyonun henüz bir giriş için geçerli olmadığını ve bu akreditasyonun şu anda resmi olarak güvence altına alınamasa da, GDS veya bir girişin tasarım ilkeleri tarafından güvenli bir şekilde karşılaşmadığını “bildirmek yanlış” olduğunu söylüyor.
Tarihi Sorunlar
Bununla birlikte, bir girişin NCSC ve GSG yönergelerine genel uygunluğu konusundaki endişeler, bir girişte tarihi güvenlik sorunlarının açıklanmasından kısa bir süre sonra gelir.
Computer Weekly, bu ayın başlarında, bir girişin, kabine ofisinden ve Ulusal Siber Güvenlik Merkezi’nden siber güvenlikte “ciddi veri koruma başarısızlıkları” ve “önemli eksiklikler” hakkında uyarılar aldığını açıkladı – Kasım 2022’de canlı sistemin askıya alınması gerektiği yönündeki bir tavsiye.
Bu uyarıların ve o zamandan beri endişeleri daha geniş bir şekilde gündeme getirmek amacıyla bilgi uçuran bir güvenlik uzmanı tarafından işaretlenen önceki sorunların ardından – GDS Baş Bilgi Güvenlik Görevlisi (CISO) tarafından yönetilen bir ekip, sorunların şiddetini değerlendirmek için Ekim 2023’te bir iç risk denetimi gerçekleştirdi.
Bir girişin çevrimiçi olarak kamu hizmetlerine erişmenin anahtar yolu olması amaçlandığı göz önüne alındığında, bu derinden endişe vericidir. Başka bir doğrulama fiyasko görmek üzereyiz? Bakanların bunun doğrudan bir tutuşunu almaları gerekiyor
Tim Clement-Jones, Liberal Demokratlar
GDS, 2022 ve 2023’te tanımlanan sorunların nasıl ele alındığına dair ayrıntılı bir dökümle bu iddialara yanıt verdi (Aşağıdaki tabloya bakın), ancak hizmetin neden bilinen güvenlik riskleriyle yaşamasına izin verildiğine dair sorular devam ediyor.
Bir hükümet sözcüsü şunları söyledi: “Yakalanan endişeler modası geçmiş ve 2023’te teknolojinin bebeklik döneminde olduğu zamandan ilk görüşü özetliyor. Tüm bu endişeleri birden fazla dış bağımsız değerlendirme ile kanıtladığı gibi ele almak için çalıştık. Aksi takdirde herhangi bir öneri asılsız.
“Gov.uk Bir giriş, devlet ve özel sektör hizmetleri için en yüksek güvenlik standartlarını takip ediyor-7/24 göz alıcı izleme ve olay yanıtı dahil. Halkın haklı olarak beklediği gibi, devlet hizmetlerinin güvenliğini ve kullanıcıların değişen siber tehdit manzarasına ayak uydurmaları için verileri ve gizliliğini korumak çok önemlidir.”
Lordlar Kamarası’ndaki dijital ekonomi liberal Demokrat sözcüsü akran Tim Clement-Jones, bir girişi çevreleyen güvenliğin ayrıntılarını isteyen Bilim, İnovasyon ve Teknoloji Bölümü’ne bir dizi parlamento soru sundu. Sistemin mevcut siber güvenlik uygunluğu hakkında daha fazla endişe duyduğunu ifade etti.
“Bir girişin çevrimiçi olarak kamu hizmetlerine erişmenin kilit yolu olması amaçlandığı göz önüne alındığında, bu derinden endişe duyuyor. Başka bir doğrulama fiyasko görmek üzerey miyiz? Bakanların bunun doğrudan bir tutuşunu almaları gerekiyor” dedi.
CISO Review
Computer Weekly, GDS CISO’nun bir dizi risk listeleyen ve her birini “düşük” den “son derece yüksek” olarak derecelendiren 2023 inceleme bulgularının ayrıntılarını gördü. GDS’den, aşağıdaki tabloda detaylandırılmış olan durumlarına göre risklerin her biri hakkında bir güncelleme yapmasını istedik.
Güvenlik güvencesi için bir giriş ekibini desteklemek için getirilen Danışmanlık 6point6’ya yakın kaynaklardan elde edilen anekdot kanıtları, daha önce yetersiz güvenlik bilgisi, zayıf kontroller ve birkaç standardı olan bir ekibin resmini çiziyor.
GDS’nin bir girişin güvenlik sorunlarının çözülmesinde ilerleme iddiaları, durumun iyileştiğini ve sorunların ele alındığını göstermektedir – ancak bir girişin başlangıçta bilinen sorunlarla nasıl ve neden yaşanmasına izin verildiğine ve tüm kritik çevrimiçi kamu hizmetlerinden beklenen kilit hükümet standartlarına uygun olmayan sorular devam etmektedir.
Bilgisayar Haftası’nın isimlendirilmemeyi kabul ettiği, ancak uzun yıllar siber güvenlik deneyimine sahip olan ve GDS’de üst düzey bir bilgi güvenliği yönetimi rolünde çalışan bilgi uçurma, GDS’nin yanıtının bağımsız olarak doğrulanması olmadan herhangi bir tarihi veya mevcut güvenlik sorununun çözülüp çözülmediğini doğrulamanın “mümkün olmadığını” söyledi.
“CAF’ta katkıda bulunan 39 sonuçtan 21’ine ulaştığı haklı iddiaya inanılamıyor ve gerçek puan ancak operasyonel olarak bağımsız güvencenin tek giriş programına tam erişime izin verilmesi durumunda bilinecek” dedi.