Hükümetin Gov.uk Bir Giriş Dijital Kimlik Sistemi, hükümetin dijital kimlik sistemleri için kendi güven çerçevesine karşı sertifikasını kaybetti.
Computer Weekly, bir giriş için kilit bir teknoloji tedarikçisinin sertifikasının geçmesine izin vermeyi seçtiğini ve sonuç olarak resmi akreditasyon planından bir girişin kaldırıldığını öğrendi.
Birleşik Krallık’taki tüm dijital kimlik sistemleri tedarikçilerinin, yazılımlarının herhangi bir kamu hizmeti için kullanılacaksa, Dijital Kimlik ve Öznitelik Güven Çerçevesi’ne (DIATF) uymaları beklenmektedir.
Örneğin, çalışma hakkı, kira hakkı veya bireyleri inceleme için açıklama ve yasaklama hizmeti gibi hizmetler için kimlik doğrulaması sağlamak isteyen şirketler DiAtf ile uyumlu olmalıdır. 50’den fazla çevrimiçi hükümet hizmeti zaten bir giriş kullanıyor ve DIATF kaydının kapsamını genişletecek daha fazla hizmet planlanıyor. Şu anda, 50’den fazla ürün çerçeveye karşı sertifika almıştır.
Hükümet Dijital Servisi (GDS), Ocak ayında teknoloji sekreteri Peter Kyle tarafından, sürüş lisansları gibi resmi belgelerin dijital versiyonlarını depolayacak olan Gov.uk cüzdanı için kimlik doğrulaması için bir girişin kullanılacağını duyurması öncesinde Aralık 2024’te bir giriş için DIATF onayı aldı.
Kyle’ın duyurusu, hükümetin ticari sektöre girdiğini ve potansiyel olarak ürünleriyle rekabet ettiğini gören mevcut DIATF tedarikçileri arasında şok dalgalarına neden oldu.
Bununla birlikte, Diatf sertifikası geçerken bir girişin kullanımı sorgulanmalıdır. Sistem, kimliklerini kanıtlayan kullanıcılar için biyometrik kimlik doğrulama sürecinin bir parçası olarak Tedarikçi IProov’un teknolojisini kullanır. Geçen ay, IProov DiATF uyumluluğunu yenilemedi, böylece tek giriş kaydı otomatik olarak süresi doldu.
Bir hükümet sözcüsü şunları söyledi: “Beta Trust çerçevesini güncellemeye devam ederken, sağlayıcıların gereksinimlerimizi karşıladıklarını göstermek için kendilerini yeniden sertifiktirmeleri gerekmektedir – bunun gerçekleşmediği veya yapmamaları, listeden kaldırıldıkları.”
Hükümetin amiral gemisi dijital kimlik sistemi standartları nasıl bu kadar kötü karşılayamıyor?
Tim Clement-Jones, Liberal Demokratlar
Şu anda Parlamento’dan geçen veri (kullanım ve erişim) faturası, bir girişin “beta” statüsünden yasal bir hizmete geçmesi için gerekli olan etkinleştirme mevzuatını getirecektir. Ancak, sistem 2022’den beri kullanılıyor ve zaten altı milyon kullanıcı var.
IProov sözcüsü şunları söyledi: “IPROOV, hem İngiltere’de hem de uluslararası alanda bir dizi sertifika düzenliyor, bu da müşteri gereksinimlerine karşı düzenli olarak gözden geçiriyoruz. Standart bir incelemenin ardından Güven Kayıtımız [DIATF] Sertifikasyonun geçmesine izin verildi. Müşteri gereksinimleri doğrultusunda yeniden yorumlamaya çalışacağız. ”
Bir giriş sertifikasının kaybı, sistem çevresindeki güvenlik ve veri koruma endişeleri hakkında bir dizi vahiy izler.
GDS, Kasım 2022’de Kabine Ofisi ve Eylül 2023’te Ulusal Siber Güvenlik Merkezi (NCSC) tarafından bir giriş dijital kimlik sisteminin veri ihlalleri ve kimlik hırsızlığı riskini artırabilecek bilgi güvenliğinde “ciddi veri koruma başarısızlıkları” ve “önemli eksiklikleri” olduğu konusunda uyarıldı.
GDS, o zamanlar canlı hizmetleri desteklemek için kullanılmasına rağmen, endişelerin “modası geçmiş” olduğunu ve “teknoloji 2023’te bebeklik döneminde olduğunda” ortaya çıktığını söyledi. Bir sözcü, “Tüm bu endişeleri birden fazla harici bağımsız değerlendirme ile kanıtlamak için çalıştık. Aksi takdirde herhangi bir öneri asılsızdır” dedi.
Bununla birlikte, Computer Weekly, bir giriş ekibinin henüz NCSC yönergelerini tam olarak karşılamadığını ortaya koydu – sistem sadece NCSC Siber Değerlendirme Çerçevesi’nde (CAF) detaylandırılan 39 sonuçtan 21’ine uygun – bir yıl önce başarıyla izlediği beş sonuçta bir iyileşme.
GDS, sistemin “bu ilkeleri karşıladığını” söylese de, tek giriş geliştirme ekibi henüz hükümetin güvenliğini tasarım uygulamaları ile tam olarak uygulamamıştır.
Ancak, bir girişin ciddi siber güvenlik ve veri koruma sorunları olduğu, ardından NCSC yönergelerine tam uyum eksikliği ve şimdi DiATF sertifikasını kaybettiği gösterilmesinin, kritik dijital kamu hizmetleri için bir giriş kullanımı hakkında önemli sorular gündeme getirmektedir.
Liberal Demokrat dijital sözcüsü akran Tim Clement-Jones şunları söyledi: “Göçmenlik kontrollerimizin önemli bir parçasını kısa bir süre oluşturması beklendiği göz önüne alındığında, hükümetin amiral gemisi dijital kimlik sistemi standartları nasıl bu kadar kötü bir şekilde karşılayamıyor? Cevaplara ve hızlı bir şekilde ihtiyacımız var.”
Hükümet siber güvenlik standardına göre, tüm kritik BT sistemleri CAF ile uyumlu olmalı ve tasarım ilkelerine göre güvenli olmalı, DIATF sertifikası kamu hizmetlerine bağlı dijital kimlik sistemleri için zorunludur.