Pemerintah menghadapi pertanyaan mengenai apakah sistem yang mendasari rencananya untuk tanda pengenal digital dapat dipercaya untuk menjaga keamanan data pribadi masyarakat.
Tanda pengenal digital akan tersedia bagi semua warga negara dan penduduk sah Inggris, namun hanya wajib untuk pekerjaan, berdasarkan usulan pemerintah.
Rincian lengkap tentang bagaimana sistem ini akan bekerja belum diumumkan namun Perdana Menteri Sir Keir Starmer menegaskan bahwa sistem tersebut “akan mengutamakan keamanan”.
Ini akan didasarkan pada dua sistem yang dibangun pemerintah – Gov.uk One Login dan Gov.uk Wallet.
Satu Masuk adalah akun tunggal untuk mengakses layanan publik secara online, yang menurut pemerintah telah digunakan oleh lebih dari 12 juta orang.
Pada saat ini di tahun depan, jumlahnya mungkin mencapai 20 juta, karena orang yang mendaftar sebagai direktur perusahaan harus memverifikasi identitas mereka melalui One Login. mulai 18 November.
Dompet Pemerintah Inggris belum diluncurkan namun pada akhirnya memungkinkan warga untuk menyimpan tanda pengenal digital mereka – termasuk nama, tanggal lahir, kewarganegaraan dan status tempat tinggal, serta foto – di ponsel pintar mereka.
Pengguna memerlukan One Login Gov.UK untuk mengakses dompet.
Bulan lalu, pemerintah meluncurkan kartu identitas digital untuk veteran militer untuk menguji konsep tersebut.
Pemerintah berharap untuk menghindari masalah keamanan dengan menjaga data pribadi agar dapat diakses melalui One Login di masing-masing departemen pemerintah, bukan dalam satu database terpusat.
Namun aktivis veteran kebebasan sipil dan anggota parlemen Konservatif David Davis telah menyampaikan kekhawatiran tentang potensi kelemahan dalam desain dan implementasi One Login yang menurutnya dapat menjadikannya – dan skema ID digital baru – rentan terhadap peretas.
Berbicara dalam debat di Westminster Hall awal bulan ini, dia berkata: “Apa yang akan terjadi ketika sistem ini mulai berlaku adalah seluruh data seluruh populasi akan terbuka untuk aktor jahat – negara asing, penjahat ransomware, peretas jahat, dan bahkan musuh pribadi atau politik mereka sendiri.
“Akibatnya, ini akan lebih buruk daripada Horizon [Post Office] skandal.”
Davis telah menulis surat kepada pengawas pengeluaran Kantor Audit Nasional menyerukan penyelidikan “mendesak” terhadap biaya One Login, yang menurutnya pasti akan melebihi £305 juta yang telah dialokasikan untuk itu.
Dalam suratnya, anggota parlemen menyoroti insiden tahun 2022, di mana ditemukan bahwa sistem One Login sedang dikembangkan di stasiun kerja yang tidak aman oleh kontraktor tanpa izin keamanan yang diperlukan di Rumania.
Davis juga menekankan bahwa One Login tidak memenuhi persyaratan pemerintah untuk diklasifikasikan sebagai pemasok identitas yang aman dan tepercaya.
Pemerintah menyalahkan pemasok karena mengizinkannya Kerangka Kerja Kepercayaan Identitas dan Atribut Digital sertifikasi tersebut akan berakhir pada awal tahun ini dan mengatakan pihaknya sedang berupaya untuk memulihkannya, yang akan terjadi “segera”.
Secara terpisah, juru bicara teknologi Partai Demokrat Liberal Lord Clement-Jones mempertanyakan apakah One Login memenuhi standar Pusat Keamanan Siber Nasional.
Rekan tersebut mengatakan bahwa dia telah berbicara dengan seorang pengungkap fakta (whistleblower), yang mengklaim bahwa pemerintah telah melewatkan tenggat waktu tahun 2025 yang ditetapkan dalam undang-undangnya. strategi keamanan siber nasional untuk memperkuat sistem “kritis” terhadap serangan dunia maya.
Para menteri menyangkal hal ini tetapi rekan Lib Dem mengatakan dia telah diberitahu oleh seorang pejabat bahwa One Login tidak akan lulus tes keamanan yang disyaratkan hingga Maret 2026.
Pelapor juga menyoroti sebuah insiden yang terjadi pada bulan Maret tahun ini, ketika sebuah “tim merah” yang bertugas melakukan simulasi serangan dunia maya di kehidupan nyata dilaporkan dapat memperoleh akses istimewa ke sistem One Login.
Departemen Ilmu Pengetahuan, Inovasi dan Teknologi (DSIT) mengatakan pihaknya tidak dapat memberikan rincian latihan tim merah karena alasan keamanan, namun mengatakan klaim bahwa sistemnya ditembus tanpa terdeteksi adalah salah.
Pejabat DSIT juga meyakinkan Lord Clement-Jones bahwa subkontraktor di Rumania adalah “segelintir orang” yang tidak ada satupun yang memiliki akses ke produksi “dan semua kode telah diperiksa”.
Departemen tersebut mengatakan semua anggota tim yang mengerjakan One Login menggunakan perangkat yang “dikelola secara perusahaan” yang dipantau oleh tim keamanan untuk mendeteksi aktivitas jahat apa pun.
Namun Lord Clement-Jones mengatakan kepada BBC bahwa dia tidak yakin dengan jaminan departemen tersebut.
Dia mengatakan rekam jejak pemerintahan berturut-turut yang menjalankan One Login dan sistem lainnya “seharusnya membuat kita semua tidak yakin sama sekali bahwa ID digital wajib yang baru, yang akan didasarkan pada sistem tersebut, akan memastikan bahwa data pribadi kita aman dan akan memenuhi standar keamanan siber tertinggi”.
Pekan lalu, perdana menteri menyerahkan kendali keseluruhan skema ID digital kepada Kantor Kabinet, yang dipimpin oleh salah satu menteri paling tepercaya dan senior, Darren Jones, yang mencerminkan pentingnya skema ini bagi pemerintah.
Namun Layanan Digital Pemerintah, yang merupakan bagian dari DSIT, akan tetap bertanggung jawab atas desain proyek tersebut.
Juru bicara DSIT mengatakan: “Gov.UK One Login terus memberikan layanan kepada warga di seluruh Inggris.
“One Login kini menjadi rumah bagi lebih dari 100 layanan dan telah digunakan oleh lebih dari 12 juta orang – mewakili hampir seperenam populasi Inggris.
“One Login mengikuti standar keamanan tertinggi yang digunakan di seluruh pemerintahan dan sektor swasta dan sepenuhnya mematuhi undang-undang perlindungan data dan privasi Inggris.
“Sistem ini menjalani tinjauan dan pengujian keamanan secara berkala, termasuk oleh pihak ketiga yang independen, untuk memastikan keamanan tetap kuat dan terkini.”
