ABD genelinde devlet kurumları tarafından kullanılan yazılım platformlarında yüksek ve kritik öneme sahip hataların gerçek bir listesi ortaya çıkarıldı.
Govtech sistemleri piyasadaki en kritik sistemlerden bazılarıdır ve ABD vatandaşlarının sahip olduğu en hassas kişisel kimlik bilgilerini (PII) depolamaktan sorumludur: Sosyal Güvenlik numaraları (SSN’ler) ve kimlikler; yasal ve tıbbi kayıtlar; seçmen kayıtları; ve çok daha fazlası. Bu sistemlerin aynı zamanda güvenlik açıklarıyla dolu olması pek az kişiyi şaşırtacak ve kimseyi rahatlatmayacaktır.
Güvenlik araştırmacısı Jason Parker ortaya çıktı bu tür 19 platformdaki sorunlar bu yıl, geçen hafta sonlarında bir avuçtan fazlasını açıkladık. Georgia eyaletinin seçmen kayıtlarını iptal etme portalında bir hata vardı, Florida genelindeki ilçelerdeki mahkeme belgelerini açığa çıkaran erişim kontrolü sorunu ve yüzlerce şehir, ilçe ve bölge tarafından kullanılan kamu kayıt talep yönetimi platformunu çıkmaza sokan birçok kritik güvenlik açığı vardı. ülke çapında eyalet hükümetleri.
Örnek Olay: Bir Seçmen Kayıt Sorunu
Bazıları hükümet böceklerinin ne zaman havalı ve yaratıcı olduğunu hatırlayacak kadar yaşlı olabilir. Örneğin “Şey”, keşfedilmeden önce yedi yıl boyunca ABD’nin Moskova büyükelçisinin evinde asılı duran ahşap bir mührün içine yerleştirilmiş bir dinleme cihazı.
Günümüzün hükümet hataları oldukça sıradan; erişim kontrolü kusurları veya kullanıcı girişinin uygunsuz şekilde doğrulanması. Ancak bilgisayar korsanlarının bunları kullanabileceği şeyler hiç de sıkıcı değil.
Örneğin Temmuz ayının sonunda Gürcistan bir seçmen iptali talep portalı başlattı. Birkaç gün içinde araştırmacılar siteyle ilgili birçok sorun keşfettiler. Örneğin Parker, ehliyet veya SSN gibi daha ciddi PII gerekliliklerini atlayarak herkesin yalnızca kamu kaynaklarından kolayca toplanan bilgileri (isimler, doğum tarihleri, ikamet edilen ülkeler) kullanarak iptal talebinde bulunabileceğini buldu. Sorun, Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) tarafından 10 üzerinden 8,6 puanla “yüksek” bir puan aldı ve ilk açıklamadan kısa bir süre sonra düzeltildi.
Ancak bu arada halkın bu sorunlardan gerçek anlamda yararlanmaya çalıştığı ortaya çıktı. başarısız bir şekilde kayıt silme Temsilci Marjorie Taylor Greene ve Georgia Dışişleri Bakanı Brad Raffensperger, eyaletin önde gelen iki Cumhuriyetçisi.
Bir GovTech Hataları Panoplisi
Bu tür temel kimlik doğrulama eksikliği, Parker’ın karşılaştığı güvenlik kusurlarının simgesiydi.
Örneğin Georgia hatasının yanı sıra Granicus’un GovQA’sındaki üçlü hata da vardı. GovQA’nın web sitesine göre GovQA, ABD’nin en büyük şehirlerinin üçte birinden fazlası, 80’den fazla devlet kurumu ve “en iyi” ABD ilçelerinin neredeyse yarısı tarafından kullanılan bir kamu kayıt yönetim sistemidir.
Granicus’un elektronik dosyalama sistemindeki bir dizi hata, hassas bilgilerin sızmasına, kullanıcı oturum açma işlemlerinin engellenmesine veya izinsiz hesaplarda değişiklik yapılmasına ve ayrıcalıkların yükseltilmesine olanak sağladı. “Kritik”, 9,8 CVSS dereceli hataların Nisan ayında düzeltildiği bildirildi.
Benzer bir platform olan Thomson Reuters’in C-Track eFiling’i, saldırganların kayıt sürecinde belirli alanları manipüle ederek normal kullanıcı hesaplarından mahkeme yöneticileri için kaydedilen hesaplara geçmelerine olanak tanıdı. “Kritik” 9.1 dereceli hataya yönelik bir yama geçen hafta doğrulandı.
Florida, Arizona, Georgia, Güney Carolina ve diğer bölgelerde kullanılan mahkeme kayıt sistemlerinde benzer önemde daha fazla sorun ortaya çıkarıldı.
GovTech Neden Bu Kadar Kusurlu?
Hükümet teknolojileri tahmin edilebilecek tüm nedenlerden dolayı kusurlu olma eğilimindedir.
Parker, “Gördüğüm sistemlerin çoğu kelimenin tam anlamıyla 20 yaşında” diye açıklıyor. “Yıllardır bu eski platformların üzerine ne varsa ekliyorlar.”
Standart bürokrasinin yanı sıra modası geçmiş ve sevilmeyen teknoloji, yeterli fon eksikliği bunları koruyacak yeni sistemler, hizmetler ve güvenlik çözümleri için. Ve satıcılar her zaman pazarlığın kendi taraflarında yetersiz kaldıkları yollardan sorumlu tutulmuyor.
Parker, eğer bir şey değişecekse şununla başlayacağını söylüyor: Federal Risk ve Yetki Yönetimi Programı (FedRAMP) — bulut güvenliği değerlendirmesi, yetkilendirme ve sürekli izlemeye yönelik hükümet çapında bir program — ve StateRAMP — eyalet ve yerel yönetimler için benzer bir program sunan kar amacı gütmeyen bir kuruluş. Parker, “Bunlar siber güvenlik için minimum gereksinimlerdir ve giderek daha fazla eyalet ve ilçe tarafından da benimsenmektedir.”