เว็บไซต์ HealthCare.govที่มีปัญหาด้านเทคโนโลยีตกเป็นเป้าของการโจมตีทางไซเบอร์อย่างน้อยหนึ่งครั้ง แต่ไม่ประสบความสำเร็จ ตามรายงานของเจ้าหน้าที่ไซเบอร์ระดับสูงของกระทรวงความมั่นคงแห่งมาตุภูมิ (Homeland Security Department)“เราทราบดีถึงการกระทำโอเพ่นซอร์สอย่างหนึ่งที่พยายามก่อกวนการโจมตีแบบปฏิเสธการให้บริการกับไซต์ HealthCare.gov ซึ่งไม่ประสบความสำเร็จ” Bobbie Stempfley รักษาการผู้ช่วยเลขานุการของสำนักงานความปลอดภัยทางไซเบอร์และการสื่อสารของ DHS ให้การก่อนหน้านี้ คณะกรรมการความมั่นคงแห่งมาตุภูมิวันพุธ
ได้แจ้ง DHS ถึง 16 ปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นกับระบบ Stempfley
กล่าวกับสมาชิกของคณะกรรมการ ซึ่งมุ่งเน้นไปที่ข้อกังวลด้านความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้นกับพอร์ทัลออนไลน์นั่นเป็นเพียงเศษเสี้ยวเล็กๆ ของจำนวนรายงานการโจมตีและการบุกรุกระบบของรัฐบาลกลางทั้งหมด ซึ่งมีจำนวนรวม 138,000 ครั้งในปีงบประมาณ 2556 Stempfley กล่าว
Cloud Exchange 2023 ของ Federal News Network: ค้นพบวิธีที่หน่วยงานต่างๆ ทั่วทั้งรัฐบาลใช้ระบบคลาวด์เพื่อพลิกโฉมบริการภาครัฐ ตั้งแต่องค์กรไปจนถึงปลายทางในงาน 3 วันนี้ ลงทะเบียนวันนี้!
ถึงกระนั้น สมาชิกสภานิติบัญญัติกล่าวว่าการรวมข้อมูลส่วนบุคคล เช่น ชื่อ หมายเลขประกันสังคม และสถานะการเข้าเมือง และเว็บไซต์ที่มีแนวโน้มผิดพลาดเป็นสาเหตุของความกังวล
“แม้ว่าระบบจะทำงานอย่างถูกต้อง แต่การรวมศูนย์ของข้อมูลจำนวนมากจะสร้างความกังวลด้านความปลอดภัย” Rep. Mike McCaul (R-Texas) ประธานคณะกรรมการกล่าว “แต่ในกรณีนี้ HealthCare.gov มีข้อบกพร่อง ข้อกังวลเหล่านี้มีมากกว่า”
McCaul ยังกล่าวอีกว่าเขากังวลว่า DHS ซึ่งมีหน้าที่รับผิดชอบ
อย่างกว้างขวางในการรักษาความปลอดภัยเครือข่ายพลเรือนของรัฐบาลกลาง ไม่ได้มีบทบาทเพียงพอในการพัฒนาไซต์หรือการทดสอบความปลอดภัย“ผมคิดว่าคงทำให้ชาวอเมริกันหลายคนแปลกใจที่รู้ว่า DHS ไม่มีข้อมูลด้านความปลอดภัยของ HealthCare.gov อย่างมีประสิทธิภาพ แม้ว่ามันจะเป็นเว็บไซต์ของรัฐบาลกลางที่สำคัญที่สุดที่เคยสร้างมาก็ตาม” เขากล่าว “เพื่อความชัดเจน DHS ไม่ได้มีส่วนร่วมในการพัฒนา ตรวจสอบ หรือรับประกันความปลอดภัยของ HealthCare.gov”
ในระหว่างการพัฒนาเว็บไซต์ การติดต่อเพียงอย่างเดียวระหว่าง DHS และหน่วยงานที่รับผิดชอบในการสร้างเว็บไซต์ ศูนย์บริการ Medicare และ Medicaid “ประกอบด้วยอีเมลสองฉบับและโทรศัพท์หนึ่งสาย” McCaul กล่าว
“ในกรณีนี้ CMS ไม่เคยขอคำแนะนำจาก DHS ความช่วยเหลือทางเทคนิค หรือแม้แต่การบรรยายสรุปเกี่ยวกับภัยคุกคาม” เขากล่าวเสริม“ไม่ใช่เรื่องปกติสำหรับแผนกหรือหน่วยงาน เนื่องจากพวกเขากำลังสร้างแอปพลิเคชันเฉพาะที่เกี่ยวข้องกับ DHS” เธอกล่าว
แม้ว่าจะเป็นความจริงที่ DHS มีหน้าที่รับผิดชอบในการกำหนดหน่วยงานแนะนำด้านความปลอดภัยในวงกว้างให้ปฏิบัติตามเพื่อรักษาความปลอดภัยเครือข่ายของพวกเขา แต่ภายใต้กฎระเบียบของกฎหมายการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง ผู้นำของหน่วยงานมีหน้าที่รับผิดชอบในการสร้าง ดำเนินการ และรักษาความปลอดภัยแอปพลิเคชันเฉพาะในท้ายที่สุด เธอกล่าว
ในกรณีของ HealthCare.gov เจ้าหน้าที่ของ CMS ได้ติดต่อ DHS เป็นครั้งแรกในปลายเดือนสิงหาคมเพื่อหารือเกี่ยวกับบริการที่สามารถนำเสนอเกี่ยวกับระบบข้อมูลใหม่ที่สร้างขึ้นเพื่อดำเนินการตามกฎหมาย Affordable Care Act (ACA) ตามคำให้การของ Stempfley
DHS จัดทำรายการความสามารถให้กับ CMS แต่ “ยังไม่ได้รับคำขอเฉพาะจาก CMS ที่เกี่ยวข้องกับระบบ ACA และยังไม่ได้ให้ความช่วยเหลือทางเทคนิคแก่ CMS ที่เกี่ยวข้องกับระบบ ACA” Stempfley กล่าวในคำให้การของเธอ
การเปิดตัวเว็บไซต์ด้านการดูแลสุขภาพที่มีปัญหาด้านเทคโนโลยียังต้องเผชิญกับการตรวจสอบข้อเท็จจริงอย่างเข้มงวดในการพิจารณาคดีของคณะกรรมการกำกับดูแลสภาและการปฏิรูปของรัฐบาลในวันพุธ
ประธานฝ่ายกำกับดูแล Darrell Issa (R-Calif.) ไปไกลถึงการออกหมายเรียก Todd Park หัวหน้าเจ้าหน้าที่ฝ่ายเทคโนโลยีของรัฐบาลกลางเพื่อให้การเป็นพยานต่อหน้าคณะกรรมการเกี่ยวกับวิธีที่ฝ่ายบริหารวางแผนแก้ไขข้อบกพร่องของไซต์