Система проверки личности правительства США Login.gov может быть одной из кибератак или просто рутинным сбоем в работе ИТ, который может привести к серьезным проблемам, говорят аудиторы, потому что она не продемонстрировала, что ее политика тестирования резервных копий на самом деле используется или эффективна.
Управление по подотчетности правительства США сообщило во вторник, что компания Login.gov, которая находится в ведении отдела закупок Управления общего обслуживания федерального правительства (GSA), в основном выполнила предыдущие рекомендации по улучшению централизованного сервиса регистрации для граждан США, который действует уже семь лет. Однако «В основном» не включает в себя никакой схемы отслеживания состояния резервных копий данных, что может привести к катастрофическим последствиям, если их придется извлекать из хранилища для восстановления поврежденных систем.
Вы знаете, например, для чего должна использоваться резервная копия.
В отчете говорится, что Login.gov выполняет резервное копирование своих данных, но «не полностью разработал и не внедрил политики и процедуры, касающиеся тестирования этих резервных копий». Это означает, по словам аудиторов, что они не могут быть уверены в том, что сохраненных резервных копий действительно достаточно для восстановления работоспособности в случае катастрофической атаки.
«Если данные резервной копии Login.gov не были протестированы, чтобы убедиться, что их целостность не была нарушена, это может привести к это приведет к полной потере данных в случае нарушения», — говорится в отчете GAO.
Если Login.gov резервные копии данных не были протестированы, чтобы убедиться в том, что их целостность не была нарушена, и это может привести к полной потере данных в случае взлома.
GAO Директор по информационным технологиям и кибербезопасности Марисоль Круз Кейн сообщила The Register по электронной почте, что резервные копии данных, упомянутые в отчете, были связаны с Login.gov функциональность — не личные данные ее пользователей. «Официальные лица сообщили нам, что резервные копии касались данных, которые имеют решающее значение для доступности Login.gov», — сказал Круз Кейн. «Они также заявили, что если данные будут потеряны, это негативно скажется на основных сервисах Login.gov».
GSA заявила, что отсутствие полноценного тестирования резервного копирования было вызвано нехваткой персонала в команде инженеров по безопасности, которая была полностью укомплектована только в январе 2024 года. ГАО отметил, что, хотя с тех пор GSA разработала соответствующую политику, она не показала, что она была реализована или эффективна.
«По завершении нашего обзора [в июне 2025 года] GSA представила обновленную политику тестирования резервных копий данных Login.gov», — говорится в отчете GAO. «Однако пока не очевидно, что политика реализована в полном объеме или что она приносит ожидаемые результаты».
Пока GSA на деле не продемонстрирует, что она сделала то, что обещала»Login.gov у чиновников будет меньше уверенности в том, что они последовательно и эффективно обеспечивают целостность и доступность своих данных».
Рекомендация для GSA о необходимости принятия мер по резервному копированию — единственная, которую GAO внесло во вчерашний отчет, но это не единственная проблема, выявленная аудиторами в Login.gov. Несмотря на то, что он был запущен для проверки личности граждан США, получающих доступ к цифровым государственным услугам, Login.gov до октября 2024 года он не соответствовал стандартам проверки личности IAL2 Национального института стандартов и технологий. Этот пробел вынудил несколько федеральных агентств обратиться к сторонним сервисам, таким как ID.me и LexisNexis, для более надежной проверки личности, которую Login.gov пока не мог предоставить.В период с 2020 по 2023 год федеральные агентства потратили около 209 миллионов долларов на коммерческие услуги по проверке личности, поскольку Login.gov по данным GAO, еще не поддерживались ключевые возможности.
В дополнение к этим проблемам, в октябре GAO также опубликовало отчет о в прошлом году Круз Кейн назвал «такие проблемы, как неопределенность затрат, отсутствие возможности проверки подлинности в режиме реального времени, высокая частота отказов и отсутствие средств контроля за мошенничеством», которые, среди прочего, по-прежнему содержат две нерешенные рекомендации.
Несмотря на то, что вышеупомянутые службы проверки личности были внедрены, GAO заявило, что GSA «еще предстоит полностью решить Login.gov сталкивается с техническими трудностями и еще не разработал и не задокументировал план учета извлеченных уроков», — указано в октябрьском отчете. Устранение этих проблем могло бы стать задачей для некоторых сотрудников 18F, которые помогали разрабатывать платформу, но, к сожалению, все они были уволены. Будем надеяться, что недавно сформированная команда инженеров по безопасности не пострадает от всех этих увольнений в федеральном правительстве. ®
