Tehnologija

Sigurnosni testovi otkrivaju ozbiljnu ranjivost u vladinom digitalnom ID-u za prijavu vlade

anketa.plus
Izvor: anketa.plus
Sigurnosni testovi otkrivaju ozbiljnu ranjivost u vladinom digitalnom ID-u za prijavu vlade

Vježba ‘Crvenog udruženja za simulaciju cyber napada na vodeni sistem digitalnog identiteta vlade utvrdio je da se jedna prijava može ugroziti bez otkrivanja

Od

  • Bryan Glick,Glavni urednik

Objavljeno: 16. maja 2025. 12:37

Vanjski sigurnosni testovi na vladinom vodećem sistemu digitalnog identiteta, Gov.uk Jedna prijava pronašli su ozbiljne ranjivosti u usluzi uživo, računar tjednika.

Vježba “crvenog udruženja” provedena u martu IT sigurnosne konsultantske konsultacije Cyberis je otkrio da se privilegirani pristup jednom prijavu može ugroziti bez otkrivanja sigurnosnim praćenjem alata.

Prema Cyberisu, crveno udruženje testira otpornost sistema simulirajući taktike, tehnike i postupke cyber napadača da pokažu koliko dobro može otkriti i odgovoriti na incident.

Kompjuterska sedmica je zatražila Odjel za nauku, inovacije i tehnologiju (DSIT) ne otkriti daljnje detalje o ranjivosti, dok vladina digitalna usluga (GDS) nastoji riješiti problem.

Kompromiranje najviših nivoa pristupa sistemu rizika izlaganja osobnim podacima i softverskim kodom na bilo koji cyber napadači koji mogu iskoristiti ranjivost.

Glasnogovornik vlade rekao je: “Dopuštanje najbolje prakse, rutinski vodite vežbe Crvenog udruženja za testiranje sigurnosne infrastrukture. Tamo gde se nalaze pitanja, mirno radimo da bismo ih hitno radili.”

Postojanje ozbiljne trenutne ranjivosti podići će daljnje zabrinutosti zbog sigurnosti jedne prijave, što je namijenjeno da se građani dokazuju svojim identitetom i prijavljuju se u većinu službi na mreži.

Već postoji šest miliona korisnika sistema, a koristi se za pristup više od 50 internetskih usluga.

Prošlog mjeseca je kompjuterski tjednik otkrio da je GDS upozorio kabinent u novembru 2022. godine, a nacionalni centar za Cyber ​​sigurnosnom sigurnošću (NCSC) u septembru 2023. godine ima “ozbiljne nedostatke podataka” i “značajne nedostatke” u informacijskoj sigurnosti koje bi mogle povećati rizik od kršenja podataka i krađe identiteta.

GDS je rekao da su zabrinutosti “zastarjele” i nastale “kada je tehnologija bila u povojima u 2023.”, uprkos jednoj prijavi koja se koristi u to vrijeme za podršku uslugama uživo. “Radili smo na svim tim zabrinutostima kako svjedoče više vanjskih neovisnih procjena. Svaki prijedlog drugačije je neosnovan”, rekao je portparol, u to vrijeme.

Zviždač je prvo podigao sigurnost zabrinutosti u vezi s jednom prijavom u GDS-u na dan 2022. godine. Pitanja koja su identifikovana sustava koja su se sustava izvršavaju putem ne-kompatibilnih uređaja, poput zlonamjernih ili krađujućih napada, koji bi mogli ugroziti sistem uživo.

NCSC preporučuje da sistemska administracija za ključne vladine usluge treba provesti samo u tu svrhu, poznato kao privilegovana pristupa radna stanica (PAW), ili alternativno za upotrebu uređaja “Pregledavanje uređaja u kojem je sigurnosni nivo uređaja uvijek isti ili veći od upravljanja sistemom. Zviždač je upozorio da su nedostatak šapa i upotreba administracije pregledavanja značajnih rizika.

Kompjuter je nakon toga otkrio da je jedan tim za prijavu još uvek u potpunosti zadovoljiti NCSC smernice – sustav je u skladu sa 21 od 39 rezultata detaljno u okviru Cyber-a NCSC (CAF) – poboljšanje na pet rezultata koje je uspješno slijedilo prije godinu dana.

Jedan tim za prijavu tek treba u potpunosti implementirati vladu sigurnosti dizajnerskim praksama, iako je GDS rekao da sistem “ispunjava ove principe”.

Ranije ove sedmice, dodatno smo otkrili da je jedna prijava izgubila certifikat protiv vlastitih povjerenja za sustave digitalnih identiteta, nakon što je ključni dobavljač tehnologije omogućio svoj certifikat za prekid i, kao rezultat, jedna prijava je uklonjena iz službene sheme akreditacije.

Na sastanku sa digitalnim davateljima identiteta ove sedmice (srijeda 14. maja), DSIT državni sekretar Peter Kyle objasnio je kako će jedna prijava podnijeti predstojeći Gov.uk novčanik, koji će se koristiti za isporuku digitalnih verzija ključnih vladinih dokumenata, poput vozačkih dozvola.

Kyle je razgovarao o “brzom putovanju” nada se da će vlada preuzeti u pružanju usluga digitalnih identiteta građanima i naglasio važnost da su takvi sustavi “isporučeni sigurno [and] sigurno “.

Glasnogovornik vlade dodao je: “Gov.UK One prijava slijedi najviši sigurnosni standardi za vladine i privatne sektore – uključujući praćenje i odgovor na praćenje i nesigurnosti. Kako bi javnost ispravno očekivala, zaštitu od strane vladinih usluga i privatnost korisnicima koji bi bili najvažniji.”

Pitanja se pitaju i u parlamentu o sigurnosti jedne prijave. Posljednjih sedmica, liberalni demokratski vršnjački i digitalni portparol Tim Clement-Jones i konzervativni vršnjak Simone Finn zasebno su dostavili parlamentarna pitanja na DSIT-u tražeći uvjerenje za sustav.

Finn je upitao da li Vlada “kvantificira vjerovatnost i potencijalni utjecaj insajderskih prijetnji, neovlaštenog privilegovanog pristupa i kompromisa proizvodnje u jednom prijavu”.

Kao odgovor, DSIT ministar za buduću sigurnost digitalne ekonomije i internetsku maggie Jones, rekli su: “Gov.UK Jedan za prijavu, neovlašteni privilegirani pristup i kompromitu za proizvodnju sa cyber ocenjivanjem opisanim u vladinoj cyber sigurnosnoj strategiji 2022-2030.

“Iako su izvršene procjene insajderskih prijetnji, kopije ovih procjena neće biti postavljene u biblioteku kuće, jer su dio tekućih sigurnosnih mjera i procesa unutarnjeg upravljanja.”

Clement-Jones pitao: “Koje korake [the government is] Uzimanjem na rješavanje sigurnosnih pitanja u jednom prijavom Digital Identifikacijski sustav? “

Jones je odgovorio: “Jedna prijava slijedi najviši sigurnosni standardi za vladine i privatne sektore. Kao što javnost s pravom očekuje, zaštitu sigurnosti vladinih usluga i podataka i privatnosti korisnika koji će biti najvažniji.

“Bez najbolja praksa se slijedi s nizom slojevitih sigurnosnih kontrola koje uključuju: sigurnosno odobrenje za osoblje za sve programere za proizvodnju ili razmenu osobnih podataka; evidentiranje i monitoring za upozorenje o pristupu okruženjima; i snažne postupke za rješavanje neovlaštenih ili neaktivno za pristup. “

Govoreći na kompjuterske sedmice o sigurnosnim problemima, Clement-Jones je rekao: “Kako je vladin vodeći sustav digitalnog identiteta koji ne zadovoljava standarde tako loše, s obzirom na to da se očekuje da će ubrzo formirati suštinski dio naše imigracijske kontrole? Trebaju nam odgovori i brzo.”

Pročitajte više o tome za vladin i javni sektor

  • Gov.UK novčanik otvoren za tijela javnog sektora

    Napisao: Lis Evenstad

  • Gov.uk One Prijava gubi certifikat za okvir povjerenja digitalnog identiteta

    Napisao: Bryan Glick

  • Gov.uk Jedna prijava još uvijek za ispunjavanje državnih cyber sigurnosnih standarda za kritične javne usluge

    Napisao: Bryan Glick

  • UK digitalni identitet pretvara se u dramu (ili farsu?) Zbog straha u industriji i sumnji

    Napisao: Bryan Glick