美國海關和邊境保護局 (CBP) 表示,透過嚴格測試處理生物識別資料和個人識別資訊 (PII) 的應用程序,可以更好地確保這些系統安全有效地運行,從而保護敏感資訊免受潛在威脅。
CBP 表示,自動化軟體測試的實施是其使命不可或缺的一部分,可增強其應用程式的可靠性和安全性,特別是那些處理生物辨識資料和 PII 的應用程式。儘管如此,這個過程並非沒有問題,並且需要跟上 IT 系統不斷變化的威脅。
美國海關邊境保護局 (CBP) 客運系統項目理事會執行董事 Ken Oppenheimer 在訪談和聯邦月刊見解「我們擁有大約 90 多種不同的應用程式組合,我們在現場操作、支援和部署這些應用程式來支援任務,無論是陸地、海上還是空中進入,無論是在主要的、初始的進入點進入美國,甚至是我們在後端處理的一些系統。
CBP 主要在基於 Java 的環境中運行,利用開源工具進行測試自動化。該機構表示,這項策略可以跨各種應用程式進行高效且一致的測試,確保軟體能如預期運作。
CBP 認為,其自動化測試透過識別漏洞並確保合規性,在維護生物辨識資料的安全性方面發揮著至關重要的作用。它表示,自動化測試可以檢測處理生物辨識資料的應用程式中的安全缺陷,以便及時修復,而定期測試可以驗證系統是否遵守安全標準和協議,從而降低資料外洩的風險。
例如,2019 年,國土安全部 (DHS) 監察長發現,CBP 沒有充分保護在其臉部辨識技術試點(稱為「車輛臉部系統」)期間使用的未加密設備上的敏感資料。
參與此試點計畫的分包商 Perceptics, LLC 將 CBP 的生物特徵資料副本(例如旅行者影像)傳輸到自己的公司網路。分包商在 2018 年 8 月至 2019 年 1 月期間在未經 CBP 授權或不知情的情況下取得了這些資料。 2019 年晚些時候,國土安全部經歷了一起重大隱私事件,「分包商的網路遭受惡意網路攻擊」。
這次洩漏破壞了大約 184,000 張旅行者圖像,其中至少 19。該事件凸顯了嚴格安全措施的必要性以及自動化測試在防止未經授權的資料存取方面的作用。
國土安全部監察長在 2020 年 9 月的報告中表示,「國土安全部要求分包商保護個人識別資訊免遭身分盜竊或濫用。然而,在本案中,Perceptics 工作人員從未加密的裝置下載 CBP 的敏感 PII 並將其儲存在自己的網路上,直接違反了 DHS 的安全性和隱私權協議。鑑於 Perceptics 擁有 CBP 擁有的敏感數據的能力,CBP 在試點期間的資訊安全實踐不足以阻止分包商的行為。
儘管如此,CBP 認為自動化測試可以透過驗證資料處理流程和監控資料完整性來保護 PII。測試可確保應用程式根據既定的隱私策略管理 PII,防止未經授權的存取或濫用。自動化測試還可以檢測資料處理中的異常或不一致,確保 PII 的準確性和完整性。
CBP 表示,資料安全性透過其企業分析計畫得到了進一步證明,該計畫採用先進的分析工具來解釋對營運至關重要的數據。這些工具有助於識別趨勢和模式,提高 CBP 任務的效率和有效性,同時確保安全處理 PII。
儘管如此,生物辨識特定的複雜性為自動化測試帶來了獨特的挑戰。自動化系統必須驗證生物辨識系統的即時處理能力,這與傳統 IT 應用程式相比增加了複雜性。由於許多生物辨識系統涉及專用硬體(例如指紋掃描器、臉部辨識攝影機),因此自動化測試必須模擬使用者與該硬體的交互,從而需要複雜的測試工具。
CBP 在某些操作中也依賴遺留 IT 系統,自動化測試框架必須將現代測試工具與舊系統連接起來,而舊系統可能缺乏標準化的 API 或文件。
此外,出於測試目的而處理合成或真實 PII 的自動化測試需要強大的保障措施,以確保資料匿名或受到保護,即使在內部測試過程中也是如此。
儘管存在這些障礙,美國海關與邊境保護局表示,在自動化測試流程方面正在取得重大進展。
該機構表示,自動化測試可確保生物辨識系統以高精度和可用性運行,最大限度地減少誤報或漏報等錯誤。透過自動化驗證加密、匿名化和存取控制的測試,CBP 降低了 PII 暴露的風險,符合隱私法規。
該機構表示,自動化測試加速了新功能和安全修補程式的部署,使 CBP 能夠快速回應不斷變化的威脅和營運需求。雖然自動化測試的初始設定可能會佔用大量資源,但 CBP 表示,長期減少手動測試工作可以大幅節省成本。
CBP 的自動化測試策略也需要不斷發展,以應對抗量子密碼等新興挑戰。自動化工具將需要能夠驗證後量子密碼演算法的集成,以保護資料免受未來的影響量子計算威脅。人工智慧驅動的工具將進一步優化測試案例產生、缺陷預測和系統監控。
此外,CBP 正在過渡到雲端環境,以利用可擴展性、靈活性和改進的災難復原能力等優勢,並且需要採用基於雲端的測試方法來確保應用程式在雲端設定中正常運作。基於雲端的測試自動化透過提供按需測試環境、支援平行測試執行和減少測試時間來支援敏捷和 DevOps 實踐。
作為雲端遷移策略的一部分,CBP 正在將自動化測試整合到其開發流程中。這種整合可確保應用程式在遷移過程中徹底測試,從而在新環境中保持功能和安全性。雲端中的自動化測試可實現持續整合和持續部署,促進快速開發週期和及時更新。
雲端環境中的自動化測試使 CBP 能夠進行全面的安全評估,確保符合聯邦標準並保護敏感資料。透過自動化安全測試,CBP 可以在開發過程的早期識別漏洞,從而降低安全漏洞的風險。
CBP 計劃擴大自動化測試工具和框架的使用,以支援其基於雲端的應用程式。這項擴展包括採用人工智慧驅動的測試工具來提高測試覆蓋範圍和效率,以及實施持續的測試實踐以確保持續的應用程式可靠性和安全性。
透過這些舉措,CBP 正在加強其自動化測試能力,以有效應對與基於雲端的環境相關的挑戰,確保 IT 系統的穩健和安全。
文章主題
|||||
