2017 Equifax brott mot säkerheten har kastat en skiftnyckel i den process som används av AMERIKANSKA myndigheter för att kontrollera identiteten av OSS medborgare som ansöker om olika förmåner via sin online-portaler.
Denna process, som kallas online-verifiering av identitet eller fjärrkontrollen identitet korrektur, förlitat sig på uppgifter från kreditupplysningsföretag (Kreditvärderingsinstitut) som Equifax, som ett bevis på sökandens identitet.
Regeringen system eller arbetstagare skulle kontrollera uppgifter som lämnats av en amerikansk medborgare mot ett eget KREDITVÄRDERINGSINSTITUT databas som underhålls av Equifax, eller de skulle fråga medborgarna frågor om uppgifter som fanns i deras Equifax credit rapport.
Men 2017 Equifax hacka, under vilken hackare stal information om vilka 145,5 miljoner AMERIKANSKA medborgare, har gjort denna process felaktiga och opålitliga, hackare och andra online-grupper kan också vara i besittning av samma data, och inte bara för OSS medborgare.
I 2017, National Institute of Standards and Technology (NIST) har reagerat på detta hack genom att utfärda riktlinjer till myndigheter, med rekommendationer om att ersätta CRA-baserade online-identitet språkkontroll med andra lösningar som att skicka ett SMS till användarens mobiltelefon, eller att användaren skickar eller ladda upp en skanning av ett fysiskt ID till den myndighet, som ett bevis på identitet.
Fyra av sex AMERIKANSKA myndigheter förlitar sig fortfarande om Kreditvärderingsinstitut
Men en rapport från US Government Accountability Office (GAO), en bi-partisan myndighet som tillhandahåller revision, utvärdering och undersökande tjänster för Kongressen, har funnit att endast två av sex av de myndigheter de testade hade följt NIST vägledning.
GAO fann att Centers for Medicare and Medicaid Services (CMS), Social Security Administration (SSA), US Postal Service (USPS), och Department of Veterans Affairs (VA) var fortfarande förlitar sig på gamla CRA databaser för online-verifiering av identitet.
Detta innebär att någon hacker ringa eller lämna in fördelarna med dessa myndigheter, och i besittning av data från Equifax brott — kunde kontrollera sig själva som OSS medborgare att de försökte att posera.
De organ som var en del av GAO undersökning sade att en av orsakerna till att de inte har övergått till ett nytt system ännu, enligt NIST vägledning, är på grund av höga kostnader och genomförande utmaningar för vissa segment av allmänheten,” där myndigheterna rädsla kan hindra vissa AMERIKANSKA medborgare från att kunna använda sina portaler.
Just nu, GAO inte fel att dessa organ och dessutom inte ser en väg ut ur detta dödläge, förutom att NIST att utfärda nya riktlinjer med bättre råd.
“Fram till och med NIST ger ytterligare vägledning för att hjälpa myndigheter att flytta bort från kunskap-baserad kontroll metoder och OMB [Office of Management and Budget] kräver organ för att rapportera om sina framsteg, federala myndigheter kommer sannolikt att fortsätta att kämpa för att stärka deras identifiera proofing processer,” GAO sade tjänstemän.
För nu, det har inte varit några fall av bedrägeri som har varit knutna till Equifax hacka, och det är fortfarande oklart vem som stal Equifax data, och data är jämn.
Resultaten av GAO: s rapport:
– General Services Administration (GSA) och Internal Revenue Service (IRS) nyligen utvecklats och började använda alternativa metoder för att avlägsna identitet språkkontroll för deras Login.gov och Få Avskrift tjänster som inte är beroende av kunskap-baserad kontroll.
– Department of Veterans Affairs (VA) har genomfört alternativa metoder för en del av sin identitet proofing process, men bygger fortfarande på kunskap-baserad kontroll för vissa individer.
– Social Security Administration (SSA) och United States Postal Service (USPS) för avsikt att minska eller eliminera användningen av kunskap-baserad kontroll någon gång i framtiden men som ännu inte har konkreta planer på att göra så.
Centers for Medicare and Medicaid Services (CMS) har inga planer på att minska eller eliminera kunskap-baserad kontroll för att avlägsna identitet korrektur.
Relaterade regeringen täckning:
Kinesiska militären för att ersätta Windows OS fruktar OSS hackingCBP säger hackare stal registreringsskylt och resenärernas photosRussian militära rör sig närmare för att byta Fönster med Astra LinuxSEC ett larm varnar om felaktigt NAS, DBs, och cloud-servrar
Nederländerna blir det första landet att visa gula varningar på ATMsEven NSA är att uppmana Windows-användare att lappa BlueKeep
Hur Estland blev en e-förvaltning kraftpaket TechRepublicSri Lanka block i sociala medier efter dödliga Påsk explosioner CNET
Relaterade Ämnen:
Regeringen
Säkerhet-TV
Hantering Av Data
CXO
Datacenter