一项联邦审计发现了政府存储数百万医疗保险客户敏感个人信息的计算机系统存在基本的网络安全漏洞。
MIDAS,或多维保险数据分析系统(MIDAS),是一个价值1.1亿美元的数字基础设施,是根据巴拉克·奥巴马总统的《平价医疗法案》收集的信息的主要仓库。虽然它不处理医疗记录,但它包含了HealthCare.gov和州保险客户的姓名、社会保险号、地址、电话号码、生日和其他重要信息。
MIDAS对监察长办公室(OIG)的审查揭示了[pdf]下列保安政策事宜:
- 不为测试禁用不必要的通用帐户
- 不加密用户会话
- 没有执行自动漏洞检查来模拟攻击,这可能会暴露密码漏洞、错误配置和其他漏洞
- 使用共享只读帐户访问数据库中的个人身份信息(PII)
此次审计还发现了135个数据库漏洞(通常是软件漏洞),其中22个为高危信息安全控制漏洞,62个为中等风险信息安全控制漏洞。
“这听起来像是身份证窃贼的金矿。”说科技权利组织电子前沿基金会的杰里米·万博体育登录首页吉卢拉说。这位技术万博体育登录首页专家补充说:“当然存在一些差距。”
审计于2014年8月至12月进行,重点关注医疗保险和医疗补助服务中心(CMS)的MIDAS安全控制相关政策和程序,该中心监督该系统并管理奥巴马医改。
美国联邦医疗保险管理局(Medicare)局长安迪·斯拉维特(Andy Slavitt)在对OIG审查的书面回复中保证,客户个人信息的隐私和安全是该机构的“首要任务”,承诺在发现高漏洞的一周内解决问题,并全面实施审计建议。
MIDAS一直在密切关注自2013年“灾难性的首次亮相”以来。根据政府问责局(GAO) 2014年的一份报告,卫生官员未能在全系统范围内实施最佳做法,由于微小的弱点而使敏感信息面临风险。
美国政府问责局计划在今年某个时候发布另一份报告,介绍该系统面临的多个网络安全问题。该系统似乎在去年夏天被黑客入侵,但没有任何消费者信息被窃取。
目前大约有1000万人通过Healthcare.org和州保险市场获得了保险。MIDAS保存当前和以前客户的信息,这些数据可以保留数年。
在Healthcare.gov于2013年上线之前,政府官员保证公众表示,客户的资料只会用于确定保险资格,目的是尽可能少地储存个人资料。
图片:Michael Havens |Flickr