联邦审计在计算机系统中发现了基本网络安全缺陷,政府在该系统中存储了数百万卫生保险客户的敏感个人信息。
MIDAS或多维保险数据分析系统(MIDAS)是价值1.1亿美元的数字基础设施,是根据总统巴拉克·奥巴马(Barack Obama)总统收集的信息的主要仓库。虽然它不处理病历,但它包含姓名,社会保险号,地址,电话号码,生日以及客户在Healthcare.gov和州保险上的其他关键信息。
MIDAS检查总务办公室(OIG)的评论揭示[PDF]以下安全策略问题:
- 没有禁用不必要的通用帐户进行测试
- 不加密用户会话
- 不进行自动漏洞检查以模拟攻击,这会揭示密码弱点,配置错误和其他漏洞
- 使用共享的只读帐户来访问数据库中的个人身份信息(PII)
审核还发现了135个数据库漏洞(通常是软件错误),其中22个被归类为高风险和62个中等风险信息安全控制缺陷。
“这听起来像是一个盗贼的金矿,”说杰里米·吉拉(Jeremy Gillula of Technology of Technology Wifert)电子边界基金会。技术专家补充说:“这里当然是一些差距”。
审核是从2014年8月至12月进行的,重点介绍了MIDAS安全控制与Medicare&Medicaid服务中心(CMS)的政策和程序,该政策(CMS)监督系统并管理奥巴马医改。
Medicare管理员安迪·斯拉维特(Andy Slavitt)在对OIG审查的书面回应中保证,客户PII的隐私和安全性是该机构的“重中之重”,致力于在身份证明的一周内解决高漏洞,并完全实施审计建议。
米达斯一直在仔细审查自2013年“灾难性的推出”以来。根据政府问责办公室(GAO)2014年的一份报告,卫生官员未能实施整个系统的最佳实践,从而通过小弱点来冒着敏感信息的风险。
GAO将于今年某个时候发布有关该系统的多个网络安全问题的一份报告,该系统似乎已被黑客渗透到去年夏天,尽管没有采取消费者信息。
目前约有1000万个人通过Healthcare.org和州保险市场涵盖。 MIDAS保留了当前和前客户的信息,并保留了多年的数据。
在Healthcare.gov在2013年上线之前,行政官员保证公众将仅将客户信息用于确定覆盖资格,以便存储最少的个人数据。
照片:迈克尔·赫文斯(Michael Havens)|Flickr
