اداره خدمات عمومی درخواست سناتور را برای بررسی اسنادی که Zoom برای تأیید نرم افزار خود برای استفاده در دولت فدرال ارسال کرده است ، رد کرد.

این تکذیب در پاسخ به نامه ارسال شده توسط سناتور دموکرات ران وایدن به GSA در ماه مه بود ، که ابراز نگرانی می کند که آژانس Zoom را برای استفاده توسط آژانس های فدرال پاک کرده است ، تنها چند هفته قبل از اینکه یک آسیب پذیری امنیتی در این برنامه کشف شود.

وایدن گفت که کشف این اشکال “س questionsالات جدی در مورد کیفیت ممیزی های FedRAMP” را ایجاد می کند.

زوم پس از دریافت مجوز FedRAMP ، در آوریل 2019 برای فعالیت در دولت تأیید شد ، برنامه ای که توسط GSA اجرا می شود و اطمینان حاصل می کند که سرویس های ابری با یک مجموعه استاندارد الزامات امنیتی مطابقت دارند که برای سخت گیری سرویس از برخی از رایج ترین تهدیدها طراحی شده است. بدون این مجوز ، آژانس های فدرال نمی توانند از محصولات ابری یا فناوری هایی که پاک نشده اند استفاده کنند.

ماهها بعد ، Zoom مجبور شد که برنامه Mac خود را وصله کند ، پس از آنکه یک محقق امنیتی یک نقص را یافت که می تواند بدون اجازه از طریق وب کم کاربر از راه دور سو ab استفاده کند. اپل مجبور به مداخله شد زیرا کاربران حتی پس از حذف نصب زوم هنوز تحت تأثیر این آسیب پذیری ها قرار گرفتند. همزمان با گسترش همه گیر شدن و قفل شدن ، محبوبیت زوم به اوج خود رسید – همانطور که بررسی شد – از جمله یک تجزیه و تحلیل فنی توسط خبرنگاران که نشان داد زوم به دلیل ادعای طولانی مدت شرکت تا حد زیادی رمزگذاری نشده است.

وایدن به GSA نوشت تا بگوید که “بسیار نگران کننده” است که اشکالات امنیتی پس از تصحیح بزرگنمایی کشف شده است. در این نامه ، سناتور اسناد معروف به “بسته امنیتی” را که زوم به عنوان بخشی از روند مجوز FedRAMP ارسال کرده است ، برای درک چگونگی و دلیل پاکسازی برنامه توسط GSA درخواست کرده است.

GSA به دلیل عدم ریاست کمیته ، درخواست اول ویدن را در ژوئیه 2020 رد کرد. در دولت جدید بایدن ، وایدن به عنوان رئیس کمیته مالی سنا انتخاب شد و دوباره بسته امنیتی زوم را درخواست کرد.

اما GSA در نامه جدیدی که اواخر ماه گذشته به دفتر ویدن ارسال شد ، با اشاره به نگرانی های امنیتی ، درخواست را برای دومین بار رد کرد.

“امتناع GSA از اشتراک حسابرسی بزرگنمایی با کنگره امنیت سایر محصولات نرم افزاری مورد تأیید GSA را برای استفاده فدرال زیر سوال می برد.” سناتور رون ویدن (D-OR)

“بسته امنیتی مورد درخواست شما شامل اطلاعات بسیار محرمانه انحصاری و سایر اطلاعات محرمانه مربوط به امنیت مرتبط با محصول بزرگنمایی دولت است. حفاظت از این اطلاعات برای حفظ یکپارچگی عرضه و هرگونه داده دولتی که میزبان آن است بسیار حیاتی است. ” “بر اساس بررسی ما ، GSA معتقد است که افشای بسته امنیتی Zoom خطرات امنیتی قابل توجهی ایجاد می کند.”

در پاسخ به نامه GSA ، وایدن به TechCrunch گفت كه او نگران است كه نرم افزارهای معیوب دیگری برای استفاده در سراسر دولت تأیید شده باشد.

“هدف برنامه GRS FedRAMP خوب است – حذف سوابق کاری به طوری که چندین آژانس فدرال مجبور نباشند امنیت یک نرم افزار را بررسی کنند. اما از اهمیت حیاتی برخوردار است که هر آژانس بررسی را کاملاً انجام دهد. ” وی اظهار داشت: “من نگران این هستم که حسابرسی دولت از زوم نقص جدی امنیت سایبری را که متعاقباً توسط محققان امنیتی کشف و آشکار شد ، از دست ندهد. امتناع GSA از اشتراک حسابرسی بزرگنمایی با کنگره امنیت سایر محصولات نرم افزاری مورد تأیید GSA را برای استفاده فدرال زیر سوال می برد. “

از افرادی که با آنها صحبت می کنیم و دانش دست اولی از روند FedRAMP دارند ، یا به عنوان یک کارمند دولت یا به عنوان شرکتی که گواهینامه را طی می کند ، FedRAMP به عنوان یک لیست جامع توصیف شده است اما به هیچ وجه لیست جامعی از چک های شرکت ها نیست برای تأمین نیازهای امنیتی دولت فدرال ملاقات کنید.

دیگران گفتند که این روند محدودیت هایی دارد و از اصلاحات سود می برد. یک فرد با دانش از نحوه کار FedRAMP گفت که این فرآیند یک بررسی کامل از کد منبع یک محصول نیست بلکه مشابه چک لیست بهترین روش ها و مطابقت با الزامات انطباق است. این شخص گفت که بیشتر آن به اعتماد به فروشنده متکی است ، و آن را مانند “یک سیستم افتخار” توصیف می کند. شخص دیگری گفت که روند FedRAMP نمی تواند همه اشکالات را برطرف کند ، همانطور که اقدامات اجرایی رئیس جمهور بایدن این هفته با هدف نوسازی و بهبود روند FedRAMP نشان می دهد.

با توجه به حساسیت بسته امنیتی FedRAMP یک شرکت ، بیشتر افرادی که با آنها صحبت کردیم از اینکه دفتر Wyden درخواست را رد نکرده اند ، تعجب نکردند.

مردم گفتند که شرکتهایی که مراحل صدور گواهینامه را طی می کنند باید جزئیات کاملاً فنی در مورد امنیت محصول خود ارائه دهند ، که در صورت آشکار شدن این امر به طور جدی به شرکت آسیب می زند. یکی از این افراد گفت که دانستن نقاط ضعف امنیتی می تواند مجرمان سایبری را از بین ببرد. آنها اضافه كردند كه شركتها معمولاً قبل از حسابرسي FedRAMP ميليونها نفر براي بهبود امنيت خود هزينه مي كنند اما اگر تصور كنند كه اسرار تجاري آنها لو رفته است ، شركتها هيچ گونه خطري براي پذيرش گواهينامه ندارند.

هنگامی که GSA س whyال کرد که چرا به درخواست ویدن اعتراض دارد ، لورن بیلیو ، رئیس روابط دولت ایالات متحده زوم استدلال کرد که تحویل بسته امنیتی “یک سابقه خطرناک است که اعتماد و اطمینان خاص را از بین می برد” شرکت ها در روند FedRAMP تضعیف می کنند.

GSA کنترل دقیق افرادی را که می توانند به یک بسته امنیتی FedRAMP دسترسی پیدا کنند اعمال می کند. شما به یک آدرس ایمیل دولت فدرال یا نظامی احتیاج دارید که دفتر سناتور آن را داشته باشد. اما دلیل رد درخواست وایدن توسط GSA هنوز مشخص نیست ، و هنگامی که سخنگوی GSA رسید این موضوع را توضیح نمی دهد که چگونه یک عضو کنگره بسته امنیتی FedRAMP یک شرکت را بدست می آورد

“کریستینا ویلکس” سخنگوی GSA گفت: “GSA به روابط خود با کنگره اهمیت می دهد و به همکاری با سناتور Wyden و کمیته های قضایی ما برای ارائه اطلاعات مناسب در مورد برنامه ها و عملیات ما ادامه خواهد داد.”

“GSA از نزدیک با شرکای بخش خصوصی همکاری می کند تا یک رویکرد استاندارد را برای مجوزهای امنیتی برای سرویس های ابری فراهم کند [FedRAMP]. بسته امنیتی FedRAMP زوم و اسناد مربوطه اطلاعات مفصلی در مورد اقدامات امنیتی مرتبط با محصول Zoom for Government ارائه می دهند. روش سازگار GSA در رابطه با اطلاعات حساس امنیتی و اسرار تجاری این است که از مطالب فاقد درخواست کتبی رسمی کمیته کنگره صلاحیت دار و جلوگیری از کنترل بیشتر توزیع یا انتشار اطلاعات خودداری کند. “

GSA نمی گوید کدام کمیته کنگره صلاحیت دارد یا اینکه نقش Wyden به عنوان رئیس کمیته مالی سنا کافی است ، و همچنین آژانس به س questionsالات مربوط به کارآیی روند FedRAMP مطرح شده توسط Wyden پاسخ نمی دهد.

سخنگوی زوم ، کلسی نایت گفت که شرکت های ابری مانند زوم “اطلاعات اختصاصی و محرمانه ای را به عنوان بخشی از فرآیند مجوز FedRAMP به GSA ارائه می دهند با این تفاهم که فقط برای استفاده در تصمیم گیری های مجوز استفاده می شود. گرچه ما اعتقاد نداریم بسته امنیتی FedRAMP زوم باید خارج از این هدف محدود افشا شود ، اما ما از گفتگو با قانونگذاران و سایر سهامداران در مورد امنیت زوم برای دولت استقبال می کنیم. “

زوم گفت که “برای بهبود مستمر محصولات خود درگیر ارتقا security امنیت است” و به عنوان بخشی از تجدید سالانه مجوز مجدد FedRAMP را در سال های 2020 و 2021 دریافت کرده است. این شرکت از بیان اینکه برنامه Zoom به عنوان بخشی از روند FedRAMP ممیزی شده است ، خودداری کرد.

بیش از دوازده آژانس فدرال از زوم استفاده می کنند ، از جمله وزارت دفاع ، امنیت داخلی ، گمرک و مرزهای ایالات متحده و دفتر اجرایی رئیس جمهور.

زوم اذعان می کند که برخی از تماس ها به اشتباه از طریق چین انجام شده است


منبع Tech Crunch