Внедрение электронных удостоверений в правительстве США идет с задержками
Инспекторы Минздрава США установили, что удостоверения новым сотрудникам министерства выдаются с задержками. Кроме того, служба безопасности департамента забывает вовремя деактивировать смарт-карты увольняющихся.
Электронные удостоверения сотрудников правительства США носят название Personal Identity Verification Card, или PIV Card. Директива о внедрении единого электронного удостоверения была подписана Президентом и Министерством внутренней безопасности США еще в 2004 г.
Карты PIV, которых за десять лет сменилось уже несколько поколений, дают сотрудникам доступ к внутриведомственным помещениям и компьютерным сетям. По состоянию на текущий момент, внедрение единого электронного удостоверения до сих пор не закончено.
Инспекция установила, что американский Минздрав отстал по внедрению от других ведомств по шести аспектам, пять из которых подвергают безопасность ведомства «высокой угрозе». Так, в Минздраве обнаружились несоотвествия требованиям безопасности при выпуске удостоверений. Кроме того, со многими сотрудниками не был проведен инструктаж по хранению и использованию смарт-карт.
За последний месяц Минздрав США выдал более 109 тыс. карт PIV по всей стране. Из них 76 тыс. достались сотрудникам, оставшиеся - подрядчикам. Об этом сообщается на официальном сайте агентства.
Инспекторы также выяснили, что существуют несоответствия в системе, которая хранит информацию с электронных удостоверений сотрудников. Настройки файрволла, защищающего серверы, не соответствуют собственной политике безопасности агентства. На части рабочих станций, принадлежащих сотрудникам, выдающим электронные удостоверения, не был установлен антивирус и необходимые обновления системы безопасности.
Однако наиболее крупным несоответствием стала несвоевременная деактивация смарт-карт увольняющихся сотрудников. Об этом сообщила компания Big Sky Associates, которая помогает во внедрении электронных удостоверений в Минздраве и других ведомствах США. Согласно опубликованному отчету инспекции Министерства здравоохранения, другие аспекты не подлежат разглашению «в связи с секретностью обнаруженных деталей».
Служба безопасности получила от инспекторов 18 рекомендаций по улучшению безопасности системы смарт-карт и официально объявила, что из них будет выполнено 14.
Министерство здравоохранения - не единственное ведомство США, которое не полностью справляется с внедрением безопасной системы e-ID. В 2012 году аналогичную проверку прошло Министерство энергетики, в котором также обнаружилось множество несоответствий, несмотря на то, что проект длился уже семь лет и поглотил около $15 млн. из государственного бюджета.
Еще ранее, в 2011 году, критике подверглась Счетная палата США. Инспекторы обнаружили «неравномерное» внедрение электронных ID-карт в подразделениях агентства. Основной проблемой было то, что подразделения не использовали техническую функциональность электронных удостоверений - сотрудники предъявляли смарт-карту охране на входе как обычный бумажный пропуск.
