技术专家:政府淡化医疗保健网络攻击的威胁

2019-06-06 05:02:40 成樵蒸 26

奥巴马政府周三首次承认网络攻击已针对healthcare.gov网站 ,但技术安全专家表示,官员们正在淡化攻击次数,并尽量减少对奥巴马医改登记者个人信息的隐私威胁。

一位高级官员周三作证说,卫生与公共服务部门已向她的办公室报告了大约16起与网络有关的“与网络有关的”事件,这些事件将消费者注册到新的健康计划中,并且一次“拒绝服务”没有导致任何类型的违规行为。

国土安全部网络安全和通信办公室代理助理部长罗伯塔·斯坦普利(Roberta Stempfley)的这一承认,是政府首次承认在立法者和新闻界多次提出有关网站安全漏洞的问题后发生网络攻击。

但是,经常对财富500强公司网站进行安全测试的技术专家表示,只有16起事件的报告似乎非常低,他们认为这反映了网站面临的更大的网络安全问题。

在德克萨斯州众议员Mike McCaul的质疑下,Stempfley没有解释所报告的安全漏洞的性质。

她告诉国会议员,国土安全部对网络攻击的了解“来自众多来源。”

“一个是[HHS]专门报告他们已经确定的事情。我们已经从获得了一些报告,”Stempfley说。

她告诉众议院国土安全委员会,“有一些,大约16个,正如我记忆所记得的那样,但我会为你得到一个特定的号码。”

国土安全部官员后来表示,他们在上一财年记录了“大约228,700起网络事件”,“平均每天超过620起,涉及联邦机构,关键基础设施和该部门的行业合作伙伴。”

但是,国土安全部和HHS都不会定义“网络事件”或严重程度,以保证Stempfley办公室的报告。

网络安全专家表示,发布的数据并不能说明整个故事,并且对网站安全性的企图攻击次数可能要高得多。

“大多数组织每天都会看到更多此类探测和潜在攻击,”Superior Solutions公司的首席运营官Michael Gregg表示,该公司为财富500强公司进行黑客攻击测试。

“攻击者通常不会拖延。 他们寻找可用的机会。 我认为该网站每天都会被探测数百次,“他补充道。

例如,Facebook每天“被击中”超过600,000次,Gregg说。 任何处理信用卡或具有其他类型的高度个人数据的网站,每天都可以定位数百或数千次。

专家说,为什么国土安全部只在网站上报告16次网络攻击可能有几个原因。

政府可能没有进行适当的监控并且错过了攻击。 专家们说的另一种可能性是政府可能没有像大多数安全专业人员那样定义攻击。 格雷格还表示,他们的系统可能无法适应攻击,他们正在经历“假阴性”。

三星网络安全公司Casaba的联合创始人塞缪尔·布霍兹(Samuel Bucholtz)表示,health.gov的目标可能远远超过16次。

“16次将是攻击者成功发现攻击或试图执行被捕获的攻击的次数,”他说。

Bucholtz说,在许多情况下,政府可能甚至不知道该网站是针对性的,除非试图注册保险的消费者报告他们的身份信息被盗或提供了其他一些违规证据。

他说:“大型网站经常受到扫描和其他偷渡式攻击的影响。” “在编制统计数据时,很少会依赖此类攻击。

“像网络钓鱼这样的社会工程攻击也可能不会被计算在内,因为它们是独立于网站执行的,除非用户报告,否则无法检测到此类攻击,”他补充道。

在上个月,由主席迈克罗杰斯(R-Mich。)领导的立法者表达了深切的担忧,即安全漏洞是继续困扰该网站的许多问题之一,并指责政府未能进行适当的测试。 10月1日发布。

罗杰斯委员会已经就美国政府的网络安全威胁举行了多次听证会,他指责政府没有将安全作为优先事项,因为它试图通过11月30日的自我强制措施来解决网站的技术问题。

共和党人指出,9月27日内部的医疗保险和医疗补助服务中心备忘录表示,“从安全角度来看,”该系统的某些方面未经过测试,暴露出“可被视为高风险的一定程度的不确定性”。

该备忘录由IT官员James Kerr和Henry Chao撰写,并由CMS管理员Marilyn Tavenner签署。

由于healthcare.gov是一个如此高调的网站,收集个人敏感的个人数据,计算机安全专家表示,美国政府应该期望持续和持续的目标来自外国政府,有组织犯罪和个人欺诈者。

“中国,伊朗,俄罗斯 - 俄罗斯黑手党 - 无疑都是针对它的,”Dave Aitel说道,他在18岁时加入国家安全局,之后成为一名网络安全顾问并于2002年创办了自己的公司Immunity。

在过去一个月中,暴露个人个人信息的系统的具体事件已经浮出水面。

在一个案例中,一位外部网络安全专家自己测试该网站,他说,通过网站的功能可以轻松获取个人信息,以重置丢失的用户名和密码。

在另一个引起宣传的案件中,一名试图注册医疗保健的北卡罗来纳州男子说,他被送去了另一个家庭的资格信,其中包括他们的姓名和家庭住址。

健康与人类服务部表示,这两个问题都得到了解决。

HHS女发言人Joanne Peterson表示,消费者可以相信他们提供的信息“受到严格的安全标准的保护,并且应用程序的基础技术已经过测试和保护。”