تكشف الاختبارات الأمنية عن قابلية خطير في نظام المعرف الرقمي لتسجيل الدخول إلى الحكومة

اختبارات الأمن الخارجية على نظام الهوية الرقمية الرائدة للحكومة ، Gov.uk واحد تسجيل الدخول، وجدت نقاط الضعف الخطيرة في الخدمة الحية ، لقد تعلمت Computer Weekly.

أ “فريق أحمراكتشف التمرينات التي أجريت في مارس / آذار من قبل استشارات أمن تكنولوجيا المعلومات Cyberis أن الوصول المميز إلى تسجيل دخول واحد يمكن أن يتعرض للخطر دون اكتشاف أدوات مراقبة الأمان.

وفقا ل cyberis، يختبر Red Teaming مرونة الأنظمة من خلال محاكاة التكتيكات والتقنيات والإجراءات للمهاجمين السيبرانيين لإظهار مدى جودة المنظمة التي يمكن أن تكتشف الحادث والرد عليه.

تم طلب الكمبيوتر الأسبوعي من قبل وزارة العلوم والابتكار والتكنولوجيا (DSIT) بعدم الكشف عن مزيد من التفاصيل عن الضعف بينما تسعى الخدمة الرقمية الحكومية (GDS) إلى إصلاح المشكلة.

إن المساومة على أعلى مستويات الوصول إلى النظام يخاطر بتعريض البيانات الشخصية ورمز البرمجيات لأي مهاجمين سيبرانيين قادرين على استغلال الضعف.

وقال متحدث باسم الحكومة: “تقديم أفضل الممارسات ، نقوم بشكل روتيني بإجراء تمارين جماعية حمراء لاختبار البنية التحتية الأمنية. حيث يتم العثور على القضايا ، نعمل بشكل عاجل لحلها”.

سيؤدي وجود ثغرة جدية حالية إلى زيادة مخاوف بشأن أمان تسجيل الدخول، والتي تهدف إلى أن تكون الطريقة التي يثبت بها المواطنون هويتهم وتسجيل الدخول إلى معظم الخدمات الحكومية عبر الإنترنت.

يوجد بالفعل ستة ملايين مستخدم للنظام ، ويستخدم للوصول إلى أكثر من 50 خدمة عبر الإنترنت.

في الشهر الماضي ، كشفت Computer Week إلى أنه تم تحذير GDS من قبل مكتب مجلس الوزراء في نوفمبر 2022 والمركز الوطني للأمن السيبراني (NCSC) في سبتمبر 2023 ، ذلك كان لدى واحد تسجيل الدخول “إخفاقات خطيرة في حماية البيانات” و “أوجه قصور كبيرة” في أمن المعلومات يمكن أن يزيد من خطر انتهاك البيانات وسرقة الهوية.

وقالت GDS إن المخاوف كانت “عفا عليها الزمن” ونشأت “عندما كانت التكنولوجيا في مهدها في عام 2023” ، على الرغم من استخدام تسجيل الدخول واحد في ذلك الوقت لدعم الخدمات الحية. وقال متحدث باسم المتحدث باسم “لقد عملنا على معالجة كل هذه المخاوف كما يتضح من التقييمات المستقلة الخارجية المتعددة. أي اقتراح لا أساس له من الصحة”.

أثارت المبلغين عن المخالفات الأمنية للمبلغين أولاً عن تسجيل دخول واحد داخل GDS منذ يوليو 2022. وشملت المشكلات التي تم تحديدها إدارة النظام التي يتم تنفيذها من خلال الأجهزة غير المتوافقة مع خطر نقل نقاط الضعف الأمنية ، مثل البرامج الضارة أو هجمات التصيد ، والتي قد تضعس النظام الحي.

توصي NCSC بإدارة النظام للخدمات الحكومية الرئيسية من جهاز مخصص يستخدم فقط لهذا الغرض ، والمعروف باسم أ محطة عمل الوصول المتميزة (PAW) ، أو بدلاً من ذلك لاستخدام أجهزة “تصفح لأسفل” فقط ، حيث يكون مستوى أمان الجهاز دائمًا هو نفسه أو أكبر من النظام الذي يتم إدارته. حذرت المبلغين عن المخالفات من أن الافتقار إلى الكفوف واستخدام إدارة التصفح كان مخاطر كبيرة.

كشفت الكمبيوتر الأسبوعية لاحقًا أن لم يلتقي فريق تسجيل دخول واحد بعد إرشادات NCSC بالكامل – يتوافق النظام فقط مع 21 من 39 نتيجة مفصلة في إطار التقييم السيبراني NCSC (CAF) – تحسن في النتائج الخمس التي اتبعتها بنجاح قبل عام.

كما أن فريق تطوير تسجيل الدخول الوحيد لم ينفذه الحكومة بالكامل آمنة حسب التصميم الممارسات ، على الرغم من أن GDS قالت أن النظام “يفي بهذه المبادئ”.

في وقت سابق من هذا الأسبوع ، كشفنا ذلك كذلك لقد فقدت تسجيل دخول واحد شهاداتها ضد إطار الثقة في الحكومة للهوية الرقمية أنظمة ، بعد أن سمحت مورد التكنولوجيا الرئيسي بإصدار شهاداتها بفارقها ، ونتيجة لذلك ، تمت إزالة تسجيل دخول واحد من مخطط الاعتماد الرسمي.

في اجتماع مع مقدمي الهوية الرقمية للقطاع الخاص هذا الأسبوع (الأربعاء 14 مايو) ، أوضح وزير الخارجية DSIT بيتر كايل كيف ستدعم تسجيل الدخول إلى محفظة Gov.uk المقبلة ، والتي سيتم استخدامها لتقديم الإصدارات الرقمية من المستندات الحكومية الرئيسية ، مثل تراخيص القيادة.

تحدث كايل عن “الرحلة السريعة” التي يأمل أن تتخذ الحكومة تقديم خدمات الهوية الرقمية للمواطنين وأكد على أهمية أن تكون مثل هذه الأنظمة “يتم تقديمها بأمان [and] بأمان “.

وأضاف المتحدث الرسمي باسم الحكومة ما يلي: “يتبع Gov.uk One Login أعلى معايير أمنية لخدمات الحكومة والقطاع الخاص-بما في ذلك المراقبة المخصصة على مدار الساعة طوال أيام الأسبوع والاستجابة للحوادث. كما يتوقع الجمهور بحق ، فإن حماية أمن الخدمات الحكومية والبيانات وخصوصية المستخدمين لمواكبة مشهد التهديد الإلكتروني المتغير.”

يتم طرح الأسئلة أيضًا في البرلمان حول أمن تسجيل الدخول. في الأسابيع الأخيرة ، قدمت الأقران الديمقراطي الليبرالي تيم كليمنت جونز والنظير المحافظ سيمون الفنلندي أسئلة برلمانية بشكل منفصل إلى DSIT لطلب التأكيدات حول النظام.

سأل الفنلندي ما إذا كانت الحكومة “قد حددت احتمال وتأثير التهديدات الداخلية والتأثير المحتمل ، والوصول غير المصرح به ، وبيئة الإنتاج في حدوث تسجيل دخول واحد”.

رداً على ذلك ، قال وزير DSIT للاقتصاد الرقمي المستقبلي والسلامة عبر الإنترنت ، إن فريق Gov.uk One Login يتعاون بشكل وثيق مع NCSC لتقييم وتخفيف المخاطر المرتبطة بالتهديدات الداخلية ، وصولًا غير مصرح به ، وتوصل إلى بيئة الإنتاج ، وتوافق مع إطار التقييم عبر الإنترنت الذي تم تحديده في استراتيجية Cyber ​​Cyber ​​2022.

“في حين تم إجراء تقييمات للتهديدات الداخلية ، لن يتم وضع نسخ من هذه التقييمات في مكتبة المنزل ، لأنها جزء من التدابير الأمنية المستمرة وعمليات الحوكمة الداخلية.”

طلب كليمنت جونز: “ما هي الخطوات [the government is] أخذ لمعالجة مشكلات الأمان في نظام التعريف الرقمي لتسجيل الدخول؟ “

أجاب جونز: “يتبع تسجيل تسجيل الدخول أعلى أعلى معايير أمنية لخدمات الحكومة والقطاع الخاص. كما يتوقع الجمهور بحق ، فإن حماية أمن الخدمات الحكومية وبيانات وخصوصية المستخدمين لمواكبة المشهد المتغير للتهديد السيبراني أمر بالغ الأهمية.

“تتبع أفضل الممارسات الأمنية بعدد من عناصر التحكم في الأمان ذات الطبقات التي تتضمن: تصاريح أمان للموظفين الذين لديهم” فحص أمني “مطلوب لجميع المطورين الذين لديهم وصول إلى الإنتاج ؛ عناصر التحكم في الهوية والوصول التي تمنع الموظفين من عرض أو تغيير المعلومات الشخصية ؛ وهي آمنة من خلال التصميم والتعرف على المعالجة على أية معلومات ، ومراقبة على أية حالات من أي شيء يمكن أن تتأثر بالمعالجة. أو غير محسوس للوصول. “

في حديثه إلى الكمبيوتر أسبوعيًا عن المخاوف الأمنية ، قال كليمنت جونز: “كيف يفشل نظام الهوية الرقمية الرئيسية للحكومة في تلبية المعايير بشكل سيء للغاية ، بالنظر إلى أنه من المتوقع أن يشكل قريبًا جزءًا أساسيًا من ضوابط الهجرة الخاصة بنا؟ نحن بحاجة إلى إجابات وبسرعة.”