最终Healthcare.gov功能,但安全性如何?

最终Healthcare.gov功能,但安全性如何?

几乎所有的病人的保护和支付得起的医疗法(ACA),俗称Obamacare的,最近的新闻一直关注的“ […]

2013-11-14

几乎所有的病人的保护和支付得起的医疗法(ACA),俗称Obamacare的,最近的新闻一直关注的“毛刺”填充“卷展栏中,过去一个月其网站 – Healthcare.gov。
[ Healthcare.gov被授出豁免,尽管高风险的推出 ]
    但是,这些故障最终会被固定。在一定数目的数周或数月,该网站有望成为合理的在线入门网站数以百万计的美国人的健康保险的功能。
功能并不意味着安全的。固化的前端功能障碍,为消费者的问题是如何安全的网站现在是在狂热超过多少有些失落,或者会当它是固定的。一些安全专家说,这个问题的答案是不祥的。
    “任何事情,甚至不工作几乎是定义将是安全的灾难,说:”加里·麦格劳,Cigital的首席技术官和“建筑安全”软件开发过程中的一个长期的支持者。
    Loricca,安全性和法规遵从性厂商,在最近的博客文章中辩称,该网站的安全风险是多方面的,主要是因为联邦政府显著的开源内容管理系统(CMS) -它命名为Drupal和WordPress -公司表示,是脆弱的,“已知的安全风险”,其中包括跨站点脚本,未经验证的重定向,无法限制URL访问,SQL注入,认证和会话和不安全的直接对象引用。
    申请人需要提供“大量的个人身份信息(PII),我们可以处理的最大的医疗保健IT安全漏洞的所有时间,”该公司表示。“数以百万计的个人和健康记录,在很短的时间内可能会大打折扣。”
副总裁罗恩·贝尔茨,在Loricca,说他的公司的分析的代码Healthcare.gov的表示,Drupal和WordPress的混合。底线,他说,是,该网站的是,“只是在等待发生一次数据泄露。”
    在WELLSTAR卫生系统,信息安全主管,马丁·费舍尔说,在一定程度上,不是由一个开源的CMS是脆弱的,而每一个在线网站。虽然他没有直接指责Loricca传播FUD – 恐惧,不确定和怀疑 – 他不夸张的警告。
    [ 缺少标准创建的集成斗争与Healthcare.gov ]
    “每一个网站,到处都是在一定程度上或其他脆弱。说或推断,否则是相当愚蠢的,”他说,“漏洞Loricca点出是不是唯一的Drupal,他们存在于几乎所有的网站,它通过交易接口。他们能说出这些东西不容易,我很认真地失望,Loricca会把这样的牛肚有一个专有的CMS。“
    费舍尔同意Healthcare.gov可能是一个更大的黑客的攻击目标,因为其突出的地位和它的政治争论“,但啥都没做漏洞,”他说。“