الخدمة الرقمية الحكومية (GDS) لم تحقق بعد المطابقة مع معايير الأمن السيبراني الرئيسي لها Gov.uk نظام الهوية الرقمية تسجيل الدخول، ما يقرب من ثلاث سنوات منذ إثارة المخاوف الأمنية لأول مرة.
لا يزال فريق تسجيل الدخول الوحيد يعمل على تلبية إرشادات مركز الأمن السيبراني الوطني (NCSC) بالكامل. لقد تعلم الكمبيوتر أسبوعيًا أن الفريق يتوافق فقط مع 21 من 39 نتيجة مفصلة في إطار التقييم السيبراني NCSC (CAF) – تحسن في النتائج الخمس التي اتبعتها بنجاح قبل عام.
يهدف تسجيل الدخول إلى أن يصبح الطريقة الأساسية للمواطنين للوصول إلى الخدمات العامة عبر الإنترنت. في عام 2022 ، قالت حالة العمل لتسجيل الدخول ، والتي تم استخدامها لتبرير أكثر من 330 مليون جنيه إسترليني من الإنفاق على المشروع ، إن النظام “تم دعمه” من قبل CAF – وهو مطالبة يجب أن يكون موضع تساؤل إذا كانت خمسة تدابير فقط في مكانها في عام 2024.
تم تقييمها مؤخرًا
يتضمن CAF 39 “نتائج مساهمة” ، ولكل منها عدد من “مؤشرات الممارسة الجيدة” (IGPs). يتم تصنيف الأنظمة على أساس ثنائي ، حيث يؤدي الفشل في تلبية IGP إلى عدم تلبية النتيجة الإجمالية ، حتى لو تم استيفاء جميع IGPs ذات الصلة الأخرى.
تم تقييم تسجيل دخول واحد مؤخرًا كجزء من أ مراجعة Govassure، الذي وجد أنه في غضون عام ، انتقل فريق الهوية الرقمية GDS من مقابلة خمسة فقط من 39 من نتائج CAF إلى 21.
تقول GDS إن مقيمي CAF لاحظوا أن “فهم الأمن السيبراني” لواحد ، وأن الخطط موجودة لتحقيق “المعايير العالية للغاية” من مطابقة CAF بحلول نهاية العام.
ومع ذلك ، تم تسجيل تسجيل دخول واحد منذ يونيو 2022 ، ومع وجود أكثر من ثلاثة ملايين مستخدم ، فإنه بالضبط نوع النظام الحرج الذي “مستويات قوية للغاية من الأمن السيبراني والمرونة” المطلوبة من قبل NCSC في إنشاء CAF يجب أن تنطبق.
علاوة على ذلك ، و معيار الأمن السيبراني الحكومي يفرض أن جميع الخدمات الرقمية يجب أن تمتثل لها آمنة حسب التصميم (SBD) مبادئ. تعلمت Computer Weekly أن فريق الهوية الرقمية GDS لم ينفذ أيضًا SBD بالكامل ، على الرغم من أن GDS تقول إن النظام “يفي بهذه المبادئ”.
كان من المقرر أن تعود GDS مع SBD بحلول يناير من هذا العام ، لكنها أخرت تنفيذها الكامل حتى شهر أكتوبر على الأقل.
أدى ذلك إلى طرح وزارة الدفاع على طرح أسئلة حول فريق تسجيل الدخول الواحد حول مطابقة SBD كجزء من خطط لتخزين نسخة إلكترونية من بطاقة المحاربين القدامى في القوات المسلحة في Gov.uk Digital Wallet.
تقول GDS إن الاعتماد الرسمي مقابل إطار Secure by Design لا ينطبق بعد على تسجيل دخول واحد ، وأنه على الرغم من أن هذا الاعتماد لا يمكن تأمينه بشكل رسمي في الوقت الحالي ، إلا أنه من غير دقيق الإبلاغ عن الإبلاغ عن GDS أو تسجيل الدخول إلى مبادئ التصميم.
مشاكل تاريخية
ومع ذلك ، فإن المخاوف بشأن مطابقة تسجيل الدخول بشكل عام مع إرشادات NCSC و GSG تأتي بعد فترة وجيزة من الكشف عن مشاكل الأمن التاريخية في تسجيل الدخول إلى واحد.
بعد هذه التحذيرات – والقضايا السابقة التي وضعها خبير أمني قام منذ ذلك الحين بتحويل المبلغين عن المخالفات في محاولة لرفع المخاوف على نطاق أوسع – أجرى فريق كبير مسؤول أمن المعلومات في GDS (CISO) بريندان نولتون مراجعة داخلية للمخاطر في أكتوبر 2023 لتقييم شدة القضايا.
بالنظر إلى أن تسجيل الدخول إلى أن يكون الطريقة الرئيسية للوصول إلى الخدمات العامة عبر الإنترنت ، فإن هذا الأمر يثير القلق بعمق. هل نحن على وشك رؤية آخر التحقق من الإخفاق؟ يحتاج الوزراء إلى أخذ قبضة مباشرة من هذا
تيم كليمنت جونز ، الديمقراطيين الليبراليين
لقد استجابت GDS الآن لتلك المطالبات مع انهيار مفصل لكيفية معالجة المشكلات المحددة في عامي 2022 و 2023 (انظر الجدول أدناه) ، ولكن تبقى الأسئلة حول سبب السماح للخدمة بالحياة مع مخاطر أمنية معروفة.
وقال متحدث باسم الحكومة: “إن المخاوف التي تم التقاطها عفا عليها الزمن وتلخيص وجهة نظر أولية من متى كانت التكنولوجيا في مهدها في عام 2023. لقد عملنا على معالجة كل هذه المخاوف كما يتضح من التقييمات المستقلة الخارجية المتعددة. أي اقتراح لا أساس له من الصحة.
“Gov.uk One Login يتبع أعلى معايير أمنية لخدمات الحكومة والقطاع الخاص-بما في ذلك المراقبة المخصصة على مدار الساعة طوال أيام الأسبوع والاستجابة للحوادث. كما يتوقع الجمهور بحق ، فإن حماية أمن الخدمات الحكومية وبيانات وخصوصية المستخدمين لمواكبة مشهد التهديد عبر الإنترنت المتغير أمر بالغ الأهمية.”
قدم الأقران تيم كليمنت جونز ، المتحدث باسم الديمقراطي الليبرالي للاقتصاد الرقمي في مجلس اللوردات ، سلسلة من الأسئلة البرلمانية إلى وزارة العلوم والابتكار والتكنولوجيا التي تطلب تفاصيل الأمن المحيطة بتسجيل الدخول. وأعرب عن مخاوف أخرى بشأن المطابقة الأمامية السيبرانية الحالية للنظام.
“بالنظر إلى أن تسجيل الدخول يهدف إلى أن يكون الطريقة الرئيسية للوصول إلى الخدمات العامة عبر الإنترنت ، فهذا أمر مثير للاهتمام. هل نحن على وشك رؤية آخر تحقق من الإخفاق؟ يحتاج الوزراء إلى أخذ قبضة مباشرة من هذا “.
مراجعة CISO
شهدت Computer Weekly تفاصيل عن نتائج مراجعة GDS CISO لعام 2023 ، والتي أدرجت سلسلة من المخاطر وتصنيف كل منها من “منخفض” إلى “مرتفع للغاية”. طلبنا من GDS تقديم تحديث لكل من المخاطر بناءً على حالتها اليوم ، وهو مفصل في الجدول أدناه.
تؤدي الأدلة القصصية من مصادر قريبة من الاستشارات 6Point6 ، التي تم إحضارها لدعم فريق تسجيل الدخول الواحد لضمان الأمن ، صورة لفريق لم يكن لديه معرفة أمنية كافية وضوابط ضعيفة وبعض المعايير.
تشير ادعاءات GDS بالتقدم في حل المشكلات الأمنية لدغلة تسجيل الدخول إلى أن الموقف قد تحسنت وأن القضايا تتم معالجتها – ولكن لا تزال هناك أسئلة حول كيف ولماذا تم السماح في الأصل بتسجيل الدخول مع القضايا المعروفة وتفتقر إلى المطابقة مع المعايير الحكومية الرئيسية المتوقعة من جميع الخدمات العامة الحرجة عبر الإنترنت.
قال المبلغين عن المخالفات – الذي وافق Computer Weekly على عدم التسمية ، ولكن لديه سنوات عديدة من الخبرة في الأمن السيبراني وعمل في دور كبير لإدارة أمن المعلومات في GDS – إنه “من غير الممكن” تأكيد ما إذا كان قد تم حل أي مشاكل أمنية تاريخية أو حالية دون التحقق من استجابة GDS.
وقال: “لا يمكن تصديق الادعاء الذي لم يتم التحقق منه أنه حقق 21 من أصل 39 نتيجة مساهمة في CAF وستكون النتيجة الحقيقية معروفة فقط ما إذا كان التأكيد المستقل من الناحية التشغيلية مسموحًا بالوصول الكامل إلى برنامج تسجيل الدخول الواحد”.
