探测:HealthCare.gov网站必须提高安全性

2019-06-04 11:26:00 宰父痿 26

国界的国会调查人员得出结论,健康保险网站HealthCare.gov是一个为超过500万美国人提供服务的健康保险网站,它存在严重的安全漏洞,使用户的个人信息面临风险。

政府问责办公室表示,奥巴马政府必须解决20多个与谁可以进入系统有关的具体安全问题,谁可以对其进行更改以及在复杂网络出现故障时该怎么做。

GAO,国会的调查机构,发现去年秋天,当系统尚未经过全面测试时,政府已经承担了HealthCare.gov的重大风险。 截至6月,一些测试尚未完成。

虽然政府“已采取重要措施将安全和隐私保护措施应用于HealthCare.gov及其支持系统,但仍存在重大缺陷,使这些系统及其所包含的敏感,个人信息面临妥协的风险,”GAO的主管Gregory Wilshusen表示。信息安全,在为众议院监督和政府改革委员会准备的证词中说。

委员会周二公布了他的证词。 GAO随附的78页报告后来发布。

该网站收集敏感的个人信息,包括姓名,出生日期,社会安全号码和家庭收入。

多个联邦和州政府机构以及许多承包商都可以访问。 然而,报告发现所有参与者对安全要求没有共同的理解。

该报告称,运行HealthCare.gov的机构“并不总是要求或强制执行强密码控制,充分限制对互联网的访问,一致地实施软件补丁和正确配置管理网络”。

卫生和公共服务部发言人Aaron Albright在回应行政当局时表示,威胁的不断变化使网站安全成为一个不断发展的过程,官员们已经采取了许多建议。

在其公开评估中,GAO概述了需要完成更多工作的六个广泛领域。 它们包括基础知识,如遵循政府机构推荐的最佳实践,全面测试系统的所有要素,以及为HealthCare.gov及其支持网络建立备份站点。

在一份未公开发布的相关报告中,Wilshusen表示该机构列出了22项具体技术建议,以解决安全漏洞。 他说,政府同意所有具体建议,但没有提出一些更广泛的建议。

一个主要的分歧是安全测试是否应该同时涉及整个系统 - 正如GAO建议的那样 - 或者每个组件是否可以像管理部门那样单独测试和认证。

HealthCare.gov今年夏天被黑了,但没有消费者信息被盗。 相反,黑客安装了可能被用于从联邦保险门户网站发起对其他网站的攻击的恶意软件。

联邦计算机系统每天都会收到数百次网络攻击,但这被认为是第一次涉及HealthCare.gov的成功网络攻击。

该医疗保健网站在去年秋天推出时遇到了许多技术问题,并且最初对大多数消费者来说是不可行的。 在当时涉及政府自己的技术专家的问题中,安全测试无法完成,因为系统正在进行如此多的最后一分钟更改。

作为消费者进入途径的HealthCare.gov部分最终通过了安全认证,但GAO透露,今年安全测试在其他处理健康计划信息和财务管理的重要组成部分上持续进行。 政府表示,这是因为这些组件仍处于发展阶段。

该报告还证实了美国联合通讯社今年早些时候报道的连接联邦网络的国家计算机系统的安全问题。

HealthCare.gov由美国总统巴拉克•奥巴马(Barack Obama)法律创建,是为那些无法获得工作健康计划的人提供补贴私人保险的在线门户。

该网站目前服务于36个州,并且在11月15日开放注册开始时可以添加更多州。其余州都有自己的保险交易所。

其中一个州,佛蒙特州周二宣布其技术上陷入困境的网站已经被解决,以解决许多问题,包括几个安全问题。

监督和政府改革委员会定于周四就GAO报告和HealthCare.gov第二年的展望举行听证会。