Computer Weekly, Hükümetin amiral gemisi dijital kimlik sistemi olan Gov.uk One Login, Canlı Hizmette ciddi güvenlik açıkları buldu.
Mart ayında BT güvenlik danışmanlığı tarafından yapılan “kırmızı takım” alıştırması Cyberis, bir girişe ayrıcalıklı erişimin güvenlik izleme araçları tarafından tespit edilmeden tehlikeye atılabileceğini keşfetti.
Cyberis’e göre, kırmızı takım, bir kuruluşun bir olayı ne kadar iyi tespit edebileceğini ve yanıtlayabileceğini göstermek için siber saldırganların taktiklerini, tekniklerini ve prosedürlerini simüle ederek sistemlerin esnekliğini test eder.
Bilgisayar Haftalıkları, Bilim, İnovasyon ve Teknoloji Departmanı (DSIT) tarafından, devlet dijital hizmeti (GDS) sorunu çözmek isterken kırılganlığın daha fazla ayrıntısını açıklamaması istenmiştir.
Bir sisteme en yüksek erişim seviyesinden ödün vermek, kişisel veri ve yazılım kodunu açığa çıkarma riskini, kırılganlığı kullanabilen herhangi bir siber saldırgana riske atar.
Bir hükümet sözcüsü şunları söyledi: “En iyi uygulamayı sunarak, güvenlik altyapısını test etmek için rutin olarak kırmızı ekip egzersizleri yapıyoruz. Sorunların bulunduğu yerlerde, bunları çözmek için acilen çalışıyoruz.”
Mevcut ciddi bir kırılganlığın varlığı, vatandaşların kimliklerini kanıtlama ve çoğu çevrimiçi hükümet hizmetine giriş yapma şekli olması amaçlanan bir girişin güvenliği konusunda daha fazla endişe yaratacaktır.
Sistemin zaten altı milyon kullanıcısı var ve 50’den fazla çevrimiçi hizmete erişmek için kullanıldı.
Geçen ay, Computer Weekly, GDS’nin Kasım 2022’de Kabine Ofisi ve Eylül 2023’te Ulusal Siber Güvenlik Merkezi (NCSC) tarafından bir girişin veri ihlalleri ve kimlik hırsızlığı riskini artırabilecek “ciddi veri koruma başarısızlıkları” ve “önemli eksiklikleri” olduğunu açıkladı.
GDS, o zamanlar canlı hizmetleri desteklemek için kullanılmasına rağmen, endişelerin “modası geçmiş” olduğunu ve “teknoloji 2023’te bebeklik döneminde olduğunda” ortaya çıktığını söyledi. Bir sözcü, “Birden fazla harici bağımsız değerlendirme ile kanıtlandığı gibi tüm bu endişeleri ele almak için çalıştık. Aksi takdirde herhangi bir öneri asılsız” dedi.
Bir ihbarcı ilk olarak GDS içindeki bir girişle ilgili güvenlik endişelerini Temmuz 2022’ye kadar artırdı. Tespit edilen konular, sistem yönetimi, canlı sistemi tehlikeye atabilecek kötü amaçlı yazılım veya kimlik avı saldırıları gibi güvenlik açıklarını iletme riski ile uyumlu olmayan cihazlar aracılığıyla gerçekleştirildi.
NCSC, kilit devlet hizmetleri için sistem yönetiminin yalnızca bu amaç için kullanılan, ayrıcalıklı bir erişim iş istasyonu (PAW) olarak bilinen özel bir cihazdan veya alternatif olarak, cihazın güvenlik seviyesinin yönetilen sistemden her zaman aynı veya daha büyük olduğu “göz atma” cihazlarından yapılmasını önerir. Bilgi uçağı, pençelerin eksikliğinin ve göz atma uygulamasının kullanımının önemli riskler olduğu konusunda uyardı.
Bilgisayar Haftalık daha sonra bir giriş ekibinin henüz NCSC yönergelerini tam olarak karşılamadığını ortaya koydu – sistem sadece NCSC Siber Değerlendirme Çerçevesi’nde (CAF) detaylandırılan 39 sonuçtan 21’ine uyuyor – bir yıl önce başarıyla izlediği beş sonuçta bir iyileşme.
GDS, sistemin “bu ilkeleri karşıladığını” söylese de, tek giriş geliştirme ekibi henüz hükümetin güvenliğini tasarım uygulamaları ile tam olarak uygulamamıştır.
Bu haftanın başlarında, bir girişin dijital kimlik sistemleri için kendi güven çerçevesine karşı sertifikasını kaybettiğini, kilit bir teknoloji tedarikçisinin sertifikasının geçmesine izin verdikten ve sonuç olarak resmi akreditasyon planından bir giriş kaldırıldıktan sonra açıkladık.
Bu hafta (14 Mayıs Çarşamba) özel sektör dijital kimlik sağlayıcılarıyla yapılan bir toplantıda, DSIT Dışişleri Bakanı Peter Kyle, bir girişin sürüş lisansları gibi kilit hükümet belgelerinin dijital versiyonlarını sunmak için kullanılacak olan Gov.uk Cüzdanını nasıl destekleyeceğini açıkladı.
Kyle, hükümetin vatandaşlar için dijital kimlik hizmetleri sunmayı umduğu “hızlı yolculuk” hakkında konuştu ve bu tür sistemlerin “güvenli bir şekilde teslim edilmesinin önemini vurguladı [and] güvenli bir şekilde ”.
Hükümet sözcüsü şunları ekledi: “GOV.UK Bir giriş, 7/24 gözler arası izleme ve olay yanıtı dahil olmak üzere hükümet ve özel sektör hizmetleri için en yüksek güvenlik standartlarını takip ediyor. Halkın haklı olarak beklediği gibi, hükümet hizmetlerinin güvenliğini ve kullanıcıların değişen siber tehdit manzarasına ayak uydurması için verileri ve gizliliğini korumak çok önemlidir.”
Parlamentoda bir girişin güvenliği konusunda da sorular soruluyor. Son haftalarda, Liberal Demokrat akran ve dijital sözcüsü Tim Clement-Jones ve muhafazakar akran Simone Finn, DSIT’e sistem hakkında güvence isteyen parlamento soruları sundu.
Finn, hükümetin “içeriden gelen tehditlerin olasılığını ve potansiyel etkisini, yetkisiz ayrıcalıklı erişimin ve üretim ortamının bir giriş içinde uzlaştığını” sordu.
Yanıt olarak, DSIT gelecekteki dijital ekonomi ve çevrimiçi güvenlik bakanı, akran Maggie Jones şunları söyledi: “GOV.UK bir giriş ekibi, içeriden gelen tehditlerle ilişkili riskleri, yetkisiz ayrıcalıklı erişim ve üretim ortamının uzatılması, hükümet cyber güvenliği stratejisi 202030 ile uyuştu.
“İçeriden tehdit değerlendirmeleri yapılırken, bu değerlendirmelerin kopyaları, devam eden güvenlik önlemlerinin ve iç yönetişim süreçlerinin bir parçası oldukları için Meclis Kütüphanesine yerleştirilmeyecektir.”
Clement-Jones sordu: “Hangi adımlar [the government is] Bir giriş dijital tanımlama sistemindeki güvenlik sorunlarını ele almak mı? “
Jones yanıtladı: “Bir giriş, hükümet ve özel sektör hizmetleri için en yüksek güvenlik standartlarını takip ediyor. Halkın haklı olarak beklediği gibi, devlet hizmetlerinin güvenliğini ve kullanıcıların verilerinin ve gizliliğinin değişen siber tehdit manzarasına ayak uydurması çok önemlidir.
“Güvenlik En İyi Uygulamalar: Üretim erişimi olan tüm geliştiriciler için gerekli ‘güvenlik kontrolü’ temizliği olan personel için güvenlik açıklıkları; personelin kişisel bilgileri görüntülemesini veya değiştirmesini engelleyen kimlik ve erişim yönetimi kontrolleri; tasarım ve bölümlere ayrılmış sistem mimarisi; bina ve dağıtım etrafında teknik kontroller; kişisel olarak tanımlanabilir bilgileri ortaya çıkarmak ve izlemek için herhangi bir şekilde uyarıda bulunma ve izleme; erişim için yetkisiz veya hesaplanmamış. ”
Clement-Jones, Haftalık’a Güvenlik Endişeleri hakkında konuşan Clement-Jones şunları söyledi: “Hükümetin amiral gemisi dijital kimlik sistemi, göçmenlik kontrollerimizin kısa bir süresi oluşturması beklendiği göz önüne alındığında standartları nasıl bu kadar kötü bir şekilde karşılayamıyor? Cevaplara ve hızlı bir şekilde ihtiyacımız var.”