WASHINGTON: Die Wachhunde der Regierung versuchte zu hacken HealthCare.gov Anfang dieses Jahres und so genannte sie eine kritische Schwachstelle gefunden - aber kam auch sofort mit Respekt für einige der Krankenversicherung Website Sicherheits-Features.
Das sind unter die Schlussfolgerungen eines Berichts von der Health And Human Services Department-Generalinspekteur, wer schwerpunktmäßig mit der Gesundheitsversorgung betrug veröffentlicht.
Der Bericht beträgt eine gemischte Wiederholung für die Bundes-Website, die Millionen von Amerikanern als das Portal für Steuerzahler subventioniert Gesundheitspläne dient. Open Enrollment-Saison beginnt 15. November.
So genannte white Hat oder ethische Hacker aus der Generalinspekteur Büro gefunden eine Schwäche, aber als sie versuchte, es zu nutzen, so wie ein böswilliger Hacker, wurden sie durch das System Abwehr blockiert.
HealthCare.gov hatte einige Vorwarnung des hacking Versuch — einen Datumsbereich, aber nicht zu bestimmten Zeiten. HHS-Sprecher Kevin Griffis sagte, dass die Agentur in diesem Zeitraum nicht zusätzliche Vorsichtsmaßnahmen ergriffen hat.
Der Bericht kam auf den Fersen der massive Verletzung zu Hause Depot-Shops, die 56 Millionen Kredit- und Debit-Karten. Der Generalinspekteur Büro veröffentlicht eine öffentliche Version, die detaillierte Erkenntnisse geliefert, die Obama-Administration zusammenfasst.
Es kommt zu dem Schluss, dass mehr muss getan werden Arbeit, um Sicherheit zu erhöhen. Letzte Woche veröffentlichte das congressional Government Accountability Office ähnliche Schlussfolgerungen nach eigener Überprüfung.
Der Generalinspekteur festgestellt, dass die Verwaltung taken hat Aktionen, die Sicherheitsrisiken, die mit HealthCare.gov-Systemen zu senken und persönlichen Informationen von Kunden.
Aber die Prüfer sagte sie weiterhin besorgt über den Einsatz von Verschlüsselungstechnologie, die nicht zertifiziert ist, um bestimmte Regierungsstandards zu erfüllen. Verschlüsselung bezieht sich auf die Codierung des Datentransports hin und her zwischen Verbrauchern und HealthCare.gov, um es sicherer zu machen.
Die Verwaltung sagte in seiner formalen Antwort es hat andere Maßnahmen zur Verschlüsselung-Problem zu beheben.
Der Generalinspekteur Büro versuchten, in HealthCare.gov im April und Mai einzudringen. Experten verwendet eine Technik namens Schwachstellenüberprüfungen und auch simulierte Angriffe durchgeführt.
Scanner simulieren einen externen böswilligen Angriff auf das System und können zu identifizieren... Schwachstellen, die einem die Sicherheit des Systems gefährden könnte, erklärte der Bericht. Scanner verwenden die gleichen Techniken als Hacker, so dass der Scanner die Sicherheit aus Sicht der externen testen.
HHS selbst werden auch ähnliche Scans regelmäßig Teil der eigenen des Sicherheitsprogramms ausgeführt.
Die Hacker aus der Generalinspekteur Büro fand eine kritische Schwachstelle, beschrieben als ein Fehler, der einen Angreifer das System übernehmen und Kommandos aus, oder laden und Daten ändern lassen würde.
Aber der sagte, dass als nächstes versuchen, als seine White-Hat -Experten versuchte, was einen böswilligen Hacker zu imitieren, sie das System Verteidigung geblockt wurden.
Getrennt, fanden die Bewertung auch zwei kritische Sicherheitslücken in Datenbanken, die Website zu unterstützen.
Spezifische Beschreibungen der Mängel wurden nicht veröffentlicht, aber offenbar keiner von Hackern ausgeschöpft.
HealthCare.gov dient 36 Staaten, während die übrigen Staaten ihre eigenen Registrierungs-Websites führen.
Standort Bundesrepublik hatte zahlreiche technische Probleme, als im vergangenen Herbst gestartet wurde und wochenlang es für die meisten Verbraucher nicht praktikabel war.
Damals waren technische Experten in HHS besorgt, dass vollständige Sicherheitstests nicht abgeschlossen werden konnte, weil das System so viele Änderungen in letzter Minute unterzogen wurde. Dennoch gab Medicare Administrator Marilyn Tavenner ein sechs-Monats-Sicherheit-Autorisierung für die Site, einen Aktionsplan zur Risikoverminderung eingegeben.
HealthCare.gov wurde gehackt in diesem Sommer, aber die Verwaltung sagte, dass keine Verbraucherinformation gestohlen wurde. Stattdessen installiert Hacker bösartigen Software, der benutzt worden sein könnte, um einen Angriff auf anderen Websites zu starten.
Wir haben böswilligen Angriffen auf der Website, die persönliche Identifizierung gestohlen geführt haben nicht hätten, sagte Tavenner Kongress letzte Woche.
Der Generalinspekteur Büro sondiert auch Sicherheit für zwei staatlichen Gesundheitswesen Websites, den Kentucky-Austausch und New Mexico's Small-Business-Portal.
Festgestellt, dass Kentucky, als ein nationales Modell ausreichend persönlichen Informationen von Kunden geschützt. Aber es gab einige Schwächen, die Zugriff auf das System hatten.
White-Hat Hacken von New Mexico's Website ergab 64 Schwachstellen.
Der sagte es wird halten die Überwachung Sicherheit auf HealthCare.gov und Zustand-Sites.