HEALTH REVIEW BLOG MICRON & ASSOCIATES

HealthCare.gov Ruft Bewertungen auf Sicherheitsfeatures Gemischt

WASHINGTON: Die Wachhunde der Regierung versuchte zu hacken HealthCare.gov Anfang
dieses Jahres und so genannte sie eine kritische Schwachstelle gefunden aber kam auch sofort
mit Respekt fr einige der Krankenversicherung Website Sicherheits-Features.

Das sind unter die Schlussfolgerungen eines Berichts von der Health And Human Services
Department-Generalinspekteur, wer schwerpunktmig mit der Gesundheitsversorgung betrug
verffentlicht.

Der Bericht betrgt eine gemischte Wiederholung fr die Bundes-Website, die Millionen von
Amerikanern als das Portal fr Steuerzahler subventioniert Gesundheitsplne dient. Open
Enrollment-Saison beginnt 15. November.

So genannte white Hat oder ethische Hacker aus der Generalinspekteur Bro gefunden eine
Schwche, aber als sie versuchte, es zu nutzen, so wie ein bswilliger Hacker, wurden sie durch
das System Abwehr blockiert.

HealthCare.gov hatte einige Vorwarnung des hacking Versuch einen Datumsbereich, aber nicht
zu bestimmten Zeiten. HHS-Sprecher Kevin Griffis sagte, dass die Agentur in diesem Zeitraum
nicht zustzliche Vorsichtsmanahmen ergriffen hat.

Der Bericht kam auf den Fersen der massive Verletzung zu Hause Depot-Shops, die 56 Millionen
Kredit- und Debit-Karten. Der Generalinspekteur Bro verffentlicht eine ffentliche Version, die
detaillierte Erkenntnisse geliefert, die Obama-Administration zusammenfasst.

Es kommt zu dem Schluss, dass mehr muss getan werden Arbeit, um Sicherheit zu erhhen.
Letzte Woche verffentlichte das congressional Government Accountability Office hnliche
Schlussfolgerungen nach eigener berprfung.

Der Generalinspekteur festgestellt, dass die Verwaltung taken hat Aktionen, die Sicherheitsrisiken,
die mit HealthCare.gov-Systemen zu senken und persnlichen Informationen von Kunden.

Aber die Prfer sagte sie weiterhin besorgt ber den Einsatz von Verschlsselungstechnologie, die
nicht zertifiziert ist, um bestimmte Regierungsstandards zu erfllen. Verschlsselung bezieht sich
auf die Codierung des Datentransports hin und her zwischen Verbrauchern und HealthCare.gov,
um es sicherer zu machen.

Die Verwaltung sagte in seiner formalen Antwort es hat andere Manahmen zur Verschlsselung-
Problem zu beheben.

Der Generalinspekteur Bro versuchten, in HealthCare.gov im April und Mai einzudringen.
Experten verwendet eine Technik namens Schwachstellenberprfungen und auch simulierte
Angriffe durchgefhrt.

Scanner simulieren einen externen bswilligen Angriff auf das System und knnen zu
identifizieren... Schwachstellen, die einem die Sicherheit des Systems gefhrden knnte, erklrte
der Bericht. Scanner verwenden die gleichen Techniken als Hacker, so dass der Scanner die
Sicherheit aus Sicht der externen testen.

HHS selbst werden auch hnliche Scans regelmig Teil der eigenen des Sicherheitsprogramms
ausgefhrt.

Die Hacker aus der Generalinspekteur Bro fand eine kritische Schwachstelle, beschrieben als ein
Fehler, der einen Angreifer das System bernehmen und Kommandos aus, oder laden und Daten
ndern lassen wrde.

Aber der sagte, dass als nchstes versuchen, als seine White-Hat -Experten versuchte, was einen
bswilligen Hacker zu imitieren, sie das System Verteidigung geblockt wurden.

Getrennt, fanden die Bewertung auch zwei kritische Sicherheitslcken in Datenbanken, die
Website zu untersttzen.

Spezifische Beschreibungen der Mngel wurden nicht verffentlicht, aber offenbar keiner von
Hackern ausgeschpft.

HealthCare.gov dient 36 Staaten, whrend die brigen Staaten ihre eigenen Registrierungs-
Websites fhren.

Standort Bundesrepublik hatte zahlreiche technische Probleme, als im vergangenen Herbst
gestartet wurde und wochenlang es fr die meisten Verbraucher nicht praktikabel war.

Damals waren technische Experten in HHS besorgt, dass vollstndige Sicherheitstests nicht
abgeschlossen werden konnte, weil das System so viele nderungen in letzter Minute unterzogen
wurde. Dennoch gab Medicare Administrator Marilyn Tavenner ein sechs-Monats-Sicherheit-
Autorisierung fr die Site, einen Aktionsplan zur Risikoverminderung eingegeben.

HealthCare.gov wurde gehackt in diesem Sommer, aber die Verwaltung sagte, dass keine
Verbraucherinformation gestohlen wurde. Stattdessen installiert Hacker bsartigen Software, der
benutzt worden sein knnte, um einen Angriff auf anderen Websites zu starten.

Wir haben bswilligen Angriffen auf der Website, die persnliche Identifizierung gestohlen gefhrt
haben nicht htten, sagte Tavenner Kongress letzte Woche.

Der Generalinspekteur Bro sondiert auch Sicherheit fr zwei staatlichen Gesundheitswesen
Websites, den Kentucky-Austausch und New Mexico's Small-Business-Portal.

Festgestellt, dass Kentucky, als ein nationales Modell ausreichend persnlichen Informationen von
Kunden geschtzt. Aber es gab einige Schwchen, die Zugriff auf das System hatten.

White-Hat Hacken von New Mexico's Website ergab 64 Schwachstellen.

Der sagte es wird halten die berwachung Sicherheit auf HealthCare.gov und Zustand-Sites.