堵酬
2019-09-07 06:02:01

W ASHINGTON(美联社) - 随着奥巴马政府为实现其在线健康保险市场的自行规定的最后期限而竞争,为政府工作的安全专家担心国家计算机系统可能成为黑客的后门。

提供给美联社的文件显示,超过三分之二的国家系统应该用于联邦计算机,以验证敏感的个人信息的覆盖范围,最初被评为安全问题的“高风险”。

后门攻击一直在新闻中,因为据信窃取了Target的数百万客户的信用卡和借记卡号码的黑客已经通过承包商的网络获得了访问权。

美国政府表示,这些文件仅提供了改善情况的部分和“过时”快照,所引用的安全问题要么得到解决,要么通过具体行动得到解决。 官员说,没有成功的网络攻击发生。

然而,众议院监督和政府改革委员会提供的文件和电子邮件中详述的问题显示出比联邦卫生和人类服务部门先前承认的更广泛的关注。

随着10月1日新医疗保险交易所的截止日期临近,他们展示了官员和承包商疯狂的幕后杂耍行为。 他没有为总统巴拉克奥巴马提供展示,而是推出了他的医疗保健法,成为大型科技项目如何摆脱困境的案例研究。

为了连接到联邦计算机,州和其他外部系统必须经过安全审查并获得“连接权限”。

根据医疗保健法,各州需要批准连接到一个新的联邦数据中心,一个用于社会保障的电子后台,国内税务局,国土安全局,以核实有关申请政府补贴保险的人的个人详细信息。 该中心处理敏感信息,包括收入,移民身份和社会安全号码。

这些文件显示了一个高风险的决策过程,随着时间的推移而出现紧张和不确定的背景。 例如:

- 联邦医疗保险和医疗补助服务中心首席信息安全官Teresa Fryer在发布前两天的9月29日发来的一封电子邮件中写道,国家安全部门批准了“前台正在签署他们是否或不是他们是高风险。“ 她的代理机构CMS也负责管理医疗保健法。

两天前,在一份单独的文件中,CMS管理员Marilyn Tavenner批准了9个州进行连接,尽管批准文件指出“CMS将10月1日与9个州的连接视为风险,因为他们的文件可能无法完全提交也没有在10月1日之前审查过......“ 批准取决于提交适当文件的国家。 州是阿肯色州,伊利诺伊州,爱荷华州,路易斯安那州,蒙大拿州,内布拉斯加州,宾夕法尼亚州,俄克拉荷马州和南达科他州。

- 9月23日的CMS PowerPoint演示文稿显示各州的准备情况存在巨大差异。 有些已经获得批准; 其他人有安全漏洞,这些漏洞已得到很好的理解和解决。 但也有一些州联邦政府几乎没有关于安全准备的信息。

根据该报告,“由于系统的未知性,CMS将这些与州的联系视为高风险”。

CMS官员考虑他们的代理机构是否必须代表其他联邦政府实体接受风险,包括社会保障和IRS。

- 联邦承包商明确详细说明了他称之为“高风险”的潜在后果。

允许各州在未经适当审查的情况下进行连接“引入未知数量的风险”,这可能会使“潜在数百万用户面临身份盗窃风险”的个人信息,更不用说将程序暴露于欺诈行为,承包商Ryan Brewer写信给CMS 9月18日电子邮件中的安全性。

布鲁尔曾在政府担任最高CMS信息安全官。 他目前在网络安全公司GrayScout工作。 政府表示他不了解国家安全信息的状况。

在2月20日给监督委员会主席,加利福尼亚州众议员Darrell Issa的一封信中,政府表示,在各州获得批准连接之前,文件中确定的许多高风险问题都有纠正行动计划。 由于政府尚未完成全面审查,12个州在10月1日之前获得了为期60天的临时许可。

HHS助理部长Jim Esquea写道,目前有46个州和华盛顿特区拥有完整的三年连接权。

伊萨在一份声明中表示,“政府尚未与美国人民就严重的安全风险进行谈判。” “尽管HHS多次保证,该部门似乎仍在努力应对安全问题。”

网络安全顾问和作者Theresa Payton,他审查了AP的材料,表示很难再次猜测政府的决定。 分阶段推出医疗保健市场将是保持风险可控的谨慎方法。 但佩顿是总统乔治·W·布什的白宫首席信息官,他说联邦机构可能面临独特的最后期限压力。

她说,政府应该找到一种方法让消费者知道新的在线市场还没有为黄金时间做好准备。 “关于如何避免欺诈的客户教育活动将走很长的路。”

即使是表现最好的州也无法解决问题。 在1月10日的电子邮件交流中,官员和承包商想知道在网站公开披露该州的漏洞后,他们是否可能不得不将加州与联邦计算机断开连接。

“各州的系统存在许多安全问题,”一位承包商写信给CMS监管人员。 “我预计在不久的将来会发布更多'众所周知的'缺陷。”

政府表示,官员们很快就联系了加利福尼亚州,并在得知州政府正在解决这些问题之后,并放弃了对断开连接的任何考虑。