Vladin vodeći sistem digitalnog identiteta izgubio je certifikat protiv vladinog digitalnog identitetnog sistema povjerenja
Od
Bryan Glick,Glavni urednik
Objavljeno: 13. maja 2025. 11:59
Vladin Gov.UK Jedan prijavni sistem digitalnog identiteta izgubio je certifikat protiv vladinog okvira povjerenja za digitalne identitetne sisteme.
Kompjuterski tjednik je saznao da ključni dobavljač tehnologije za jednu prijavu treba omogućiti njegovu certificiranje u prekid, a kao rezultat, jedna prijava je uklonjena i iz službene sheme akreditacije.
Očekuje se da će svi dobavljači digitalnih identitetskih sustava u Velikoj Britaniji biti u skladu s digitalnim identitetom i atributima okvira povjerenja (Diatf) ako se njihov softver koristi za bilo kakve javne usluge.
Na primjer, kompanije koje žele pružiti provjeru identiteta za usluge kao što su pravo na rad, pravo na iznajmljivanje ili uslugu objavljivanja i zabrane za provjeru pojedinaca, moraju biti u skladu s diatatf-om. Više od 50 internetskih državnih usluga već koriste jednu prijavu, a planirane su daljnje usluge koje će proširiti opseg registracije Diatfa. Trenutno je više od 50 proizvoda dobilo certifikat protiv okvira.
Vladina digitalna usluga (GDS) postigla je DIATF odobrenje za jednu prijavu u decembru 2024. godine, prije najave tehnološke sekretarke Peter Kyle u januaru da će se za potvrdu identiteta za predstojeći Gov.uk novčanik, koji će pohraniti digitalne verzije službenih dokumenata kao što su vozačke dozvole.
Kyleova najava uzrokovala je udarce među postojećim diatf dobavljačima, koji su vidjeli vladu koja uđe u komercijalni sektor i potencijalno se takmiče sa svojim proizvodima.
Međutim, upotreba jedne prijave mora biti dovedena u pitanje dok je njegova diatf certifikacija popnela. Sistem koristi tehnologiju od dobavljača Iproova u sklopu biometrijskog procesa provjere autentičnosti za korisnike koji dokazuju svoj identitet. Prošlog mjeseca Iproov nije uspio obnoviti njegovu diaatf poštivanje, tako da se registracija za jednu prijavu automatski istekla.
Glasnogovornik vlade rekao je: “Dok i dalje radimo da ažuriramo BETA TRUST okvir, pružatelji usluga da se popisuju da pokažu da ispunjavaju naše zahtjeve – gdje se to ne dogode ili ne biraju, a ne biraju se, a ne biraju se, a ne biraju se, a ne biraju se, a ne biraju se, oni se ne mogu izvaditi s popisa.”
Kako je vladin vodeći digitalni sistem digitalnog identiteta ne ispunjava tako loše standarde? Tim Clement-Jones, liberalni demokrati
Račun podataka (upotreba i pristup) koji trenutno prolaze kroz Parlament uvest će omogućeno zakonodavstvo koje je potrebno za jednu prijavu za prelazak iz statusa “Beta” na statutarnu uslugu. Međutim, sistem se koristi od 2022. godine i već ima šest miliona korisnika.
Glasnogovornik Iproova rekao je: “Iproov ima niz certifikata, kako u Velikoj Britaniji, tako i u međunarodnoj Britaniji, koji redovno pregledavamo protiv zahtjeva kupaca. Nakon standardnog pregleda, našeg registra povjerenja [DIATF] Certifikacija je bilo dozvoljeno da istekne. Potražit ćemo ponovnu potvrdu u skladu sa zahtjevima kupaca. “
Gubitak certifikacije jedne prijave prati niz otkrivenja o sigurnosnim i brizi za zaštitu podataka oko sistema.
GDS je upozorio ured kabineta u novembru 2022. godine, a nacionalni centar za cyber sigurnos (NCSC) u septembru 2023. godine da je njegov sistem za prijavu digitalni identitet imao “ozbiljne nedostatke za zaštitu podataka” i “značajne nedostatke” u informacijskoj sigurnosti koje bi mogle povećati rizik od kršenja podataka i krađe identiteta.
GDS je rekao da su zabrinutosti “zastarjele” i nastale “kada je tehnologija bila u povojima u 2023.”, uprkos jednoj prijavi koja se koristi u to vrijeme za podršku uslugama uživo. “Radili smo na rješavanju svih tih zabrinutosti o čemu svjedočimo više vanjskih neovisnih procjena. Svaki prijedlog drugačije je neosnovan”, rekao je glasnogovornik.
Međutim, kompjuterski se nekad otkrio da se jedan tim za prijavu u potpunosti ispuni NCSC smjernice – sustav je u skladu sa 21 od 39 rezultata detaljno u okviru Cyber-a NCSC (CAF) – poboljšanje na pet rezultata koje je uspješno slijedilo prije godinu dana.
Jedan tim za razvoj prijave tek treba u potpunosti implementirati vladu sigurnim praksama za dizajn, iako GDS kaže da sistem “ispunjava ove principe”.
Ali činjenica da je pokazano da je jedna prijava imala ozbiljna pitanja za zaštitu od cyber-a i praćenja, nakon čega slijedi nedostatak potpune usklađenosti sa NCSC smjernicama, a sada gubim diatf certifikat, postavlja značajna pitanja o korištenju jedne prijave za kritične digitalne javne usluge.
Peer Tim Clement-Jones, liberalno demokratski digitalni glasnogovornik, rekao je: “Kako je vodeći digitalni sistem digitalnog identiteta koji ne ispunjava standarde tako loše, s obzirom da se očekuje da će ubrzo formirati suštinski dio naše imigracijske kontrole? Trebaju nam odgovori i brzo.”
Prema državnom cyber sigurnosnom standardu, svi kritični IT sustavi moraju biti u skladu s CAF-om i osigurati principima dizajna, dok je Diatf certifikat obavezan za digitalne identitetne sisteme povezane sa javnim uslugama.
Pročitajte više o tome za vladin i javni sektor
MPS za istraživanje potencijala za vladinu digitalnu shemu identiteta
Napisao: Bryan Glick
Gov.UK novčanik otvoren za tijela javnog sektora
Napisao: Lis Evenstad
Sigurnosni testovi otkrivaju ozbiljnu ranjivost u vladinom digitalnom ID-u za prijavu vlade
Napisao: Bryan Glick
Vlada započinje angažman privatnog sektora na digitalnom ID-u i novčaniku Gov.uk
