GSA запрещает сенатору просматривать документы, используемые для утверждения Zoom для использования правительством

Администрация общих служб отклонила запрос сенатора о проверке документов, представленных для утверждения своего программного обеспечения для использования в федеральном правительстве.

Опровержение было сделано в ответ на письмо, отправленное сенатором-демократом Роном Виденом в GSA в мае, в котором выражалась обеспокоенность тем, что агентство разрешило Zoom для использования федеральными агентствами всего за несколько недель до того, как в приложении была обнаружена серьезная уязвимость системы безопасности.

Виден сказал, что обнаружение ошибки вызывает «серьезные вопросы о качестве аудита FedRAMP».

Zoom был одобрен для работы в правительстве в апреле 2019 года после получения разрешения FedRAMP, программы, управляемой GSA, которая обеспечивает соответствие облачных сервисов стандартизированному набору требований безопасности, предназначенных для защиты сервиса от некоторых из наиболее распространенных угроз. Без этого разрешения федеральные агентства не могут использовать облачные продукты или технологии, которые не прошли проверку.

Спустя несколько месяцев Zoom была вынуждена внести исправления в свое приложение для Mac после того, как исследователь безопасности обнаружил недостаток, которым можно было злоупотреблять для удаленного включения веб-камеры пользователя без его разрешения. Apple был вынужден вмешаться, поскольку пользователи все еще подвергались уязвимостям даже после удаления Zoom. Когда пандемия распространилась и были введены ограничения, популярность Zoom резко возросла, как и анализ, в том числе технический анализ репортеров, который обнаружил, что Zoom не был полностью зашифрован, как давно заявляла компания.



Виден написал в GSA, что находит «чрезвычайно тревожным» то, что ошибки безопасности были обнаружены после разрешения Zoom. В письме сенатор запросил документы, известные как «пакет безопасности», которые Zoom отправил как часть процесса авторизации FedRAMP, чтобы понять, как и почему приложение было одобрено GSA.

GSA отклонило первый запрос Уайдена в июле 2020 года на том основании, что он не был председателем комитета. В новой администрации Байдена Уайден был назначен председателем финансового комитета Сената и снова запросил пакет безопасности Zoom.

Но в новом письме, отправленном в офис Уайдена в конце прошлого месяца, GSA отклонило запрос во второй раз, сославшись на соображения безопасности.

«Отказ GSA поделиться результатами аудита Zoom с Конгрессом ставит под сомнение безопасность других программных продуктов, одобренных GSA для федерального использования». Сенатор Рон Уайден (D-OR)

«Запрошенный вами пакет безопасности содержит очень важную служебную и другую конфиденциальную информацию, относящуюся к безопасности, связанной с продуктом Zoom for Government. Защита этой информации имеет решающее значение для поддержания целостности предложения и любых государственных данных, которые оно размещает », – говорится в письме GSA. «Основываясь на нашем обзоре, GSA считает, что раскрытие пакета безопасности Zoom может создать значительные риски безопасности».

В ответ на письмо GSA Уайден сказал TechCrunch, что он обеспокоен тем, что другое некорректное программное обеспечение могло быть одобрено для использования в правительстве.

«Цель программы GSA FedRAMP хороша – устранить бюрократизм, чтобы нескольким федеральным агентствам не приходилось проверять безопасность одного и того же программного обеспечения. Но жизненно важно, чтобы какое бы агентство ни проводило проверку, делало это тщательно », – сказал Уайден. «Я обеспокоен тем, что правительственный аудит Zoom не выявил серьезных недостатков кибербезопасности, которые впоследствии были обнаружены и выявлены исследователями безопасности. Отказ GSA поделиться результатами аудита Zoom с Конгрессом ставит под сомнение безопасность других программных продуктов, одобренных GSA для федерального использования ».

Из людей, с которыми мы говорили, которые не понаслышке знакомы с процессом FedRAMP, будь то государственный служащий или компания, проходящая сертификацию, FedRAMP был описан как исчерпывающий, но ни в коем случае не исчерпывающий список проверок, которые компании должны проводить. соответствовать требованиям безопасности федерального правительства.

Другие заявили, что у этого процесса есть свои пределы, и реформа принесет ему пользу. Один человек, знающий, как работает FedRAMP, сказал, что этот процесс был не полным аудитом исходного кода продукта, а сродни контрольному списку передовых практик и соответствию требованиям. Во многом это зависит от доверия к продавцу, сказал человек, описав это как «систему чести». Другой человек сказал, что процесс FedRAMP не может отловить все ошибки, о чем свидетельствуют меры, принятые президентом Байденом на этой неделе, направленные на модернизацию и улучшение процесса FedRAMP.

Большинство людей, с которыми мы говорили, не были удивлены тем, что офис Уайдена был отклонен в запросе, сославшись на конфиденциальность пакета безопасности FedRAMP компании.

Люди сказали, что компании, проходящие процесс сертификации, должны предоставить подробные технические подробности о безопасности своего продукта, которые, если их раскрыть, почти наверняка нанесут ущерб компании. Один из людей сказал, что знание того, где могут быть слабые места в системе безопасности, может указать на киберпреступников. Компании часто тратят миллионы на улучшение своей безопасности перед аудитом FedRAMP, но компании не рискнули бы пройти сертификацию, если бы думали, что их коммерческая тайна будет утечкой, добавили они.

На вопрос GSA, почему оно возражает против запроса Wyden, глава Zoom по связям с правительством США Лорен Белив заявила, что передача пакета безопасности «создаст опасный прецедент, который подорвет особое доверие и уверенность», которые компании возлагают на процесс FedRAMP.

GSA строго контролирует, кто может получить доступ к пакету безопасности FedRAMP. Вам нужен адрес электронной почты федерального правительства или военного ведомства, который есть в офисе сенатора. Но причина, по которой GSA отклонила запрос Wyden, все еще не ясна, и, когда она была достигнута, представитель GSA не объяснил, как член Конгресса мог бы получить пакет безопасности FedRAMP компании.

«GSA ценит свои отношения с Конгрессом и будет продолжать работать с сенатором Виденом и нашими юрисдикционными комитетами, чтобы предоставлять соответствующую информацию о наших программах и операциях», – сказала представитель GSA Кристина Уилкс, добавив:

«GSA тесно сотрудничает с партнерами из частного сектора, чтобы обеспечить стандартизированный подход к авторизации безопасности для облачных сервисов через [FedRAMP]. Пакет безопасности FedRAMP и сопутствующие документы Zoom предоставляют подробную информацию о мерах безопасности, связанных с продуктом Zoom для государственных учреждений. Последовательная практика GSA в отношении конфиденциальной информации о безопасности и коммерческой тайне заключается в том, чтобы не предоставлять материал без официального письменного запроса уполномоченного комитета Конгресса и в соответствии с мерами контроля за дальнейшим распространением или публикацией информации ».

GSA не сообщило, какой комитет Конгресса обладает юрисдикцией и достаточно ли роли Уайдена в качестве председателя Финансового комитета Сената, а также не ответило бы на вопросы об эффективности процесса FedRAMP, поднятые Уайденом.

Представитель Zoom Келси Найт заявила, что облачные компании, такие как Zoom, «предоставляют GSA частную и конфиденциальную информацию в рамках процесса авторизации FedRAMP с пониманием того, что она будет использоваться только для их использования при принятии решений об авторизации. Хотя мы не считаем, что пакет безопасности Zoom FedRAMP должен раскрываться за пределами этой узкой цели, мы приветствуем разговоры с законодателями и другими заинтересованными сторонами о безопасности Zoom для правительства ».

Zoom заявила, что «занимается повышением безопасности для постоянного улучшения своих продуктов» и получила повторную авторизацию FedRAMP в 2020 и 2021 годах в рамках ежегодного обновления. Компания отказалась сообщить, в какой степени приложение Zoom было проверено в рамках процесса FedRAMP.

Zoom используют более двух десятков федеральных агентств, включая Министерство обороны, Национальную безопасность, Таможенную и пограничную службу США и Администрацию президента.