Den 2017 Equifax sikkerhedsbrud har smidt en skruenøgle i den proces, der anvendes af AMERIKANSKE regering agenturer til at kontrollere identiteten af OS borgere, som ansøger om forskellige ydelser via sin online-portaler.
Denne proces, kaldet online identitet, eller eksterne identitet korrektur, var baseret på oplysninger fra kreditoplysningsbureauer (Cra), som Equifax, som et bevis for ansøgerens identitet.
Regeringen systemer eller arbejdere ville kontrollere oplysningerne, der er leveret af en amerikansk statsborger mod et privat CRA database, som vedligeholdes af Equifax, eller de ville stille borgere spørgsmål om data, der var til stede i deres Equifax kredit rapport.
Men 2017 Equifax hack, hvor hackere stjal oplysninger om identiteten af 145.5 millioner AMERIKANSKE statsborgere, som har gjort denne proces unøjagtige og upålidelige, som hackere og andre online grupper kunne også være i besiddelse af de samme data, og ikke kun den AMERIKANSKE borger.
I 2017, National Institute of Standards and Technology (NIST) reagerede på dette hack ved at udstede en vejledning til offentlige myndigheder, med anbefalinger om at erstatte CRA-baseret online-identity proofing med andre løsninger som at sende en SMS til brugerens telefon, eller få brugeren til at sende/uploade en scanning af en fysisk ID til det statslige organ, som et bevis på identitet.
Fire af seks AMERIKANSKE regering agenturer, der stadig er afhængige af Kreditvurderingsbureauer
Men en rapport fra det AMERIKANSKE Government Accountability Office (GAO), en bi-partisan regering agentur, der leverer revision, evaluering og efterforskningstjenester for Kongressen, har fundet, at kun to af seks af de offentlige institutioner, at de testede havde fulgt NIST vejledning.
GAO fandt, at Centers for Medicare og Medicaid Services (CMS), Social Security Administration (SSA), US Postal Service (USPS), og Department of Veterans Affairs (VA), var der stadig bygger på de gamle CRA databaser for online identitet.
Det betyder, at en hacker at ringe eller indgivelse af fordele med disse agenturer — og i besiddelse af data fra Equifax brud — kunne kontrollere sig selv som amerikansk statsborger, de prøvede at udgøre.
Agenturer, som var en del af GAO undersøgelse sagde, at en af grundene til, at de ikke har flyttet til et nyt system, men, som pr NIST vejledning, er på grund af høje omkostninger og gennemførelse udfordringer for visse segmenter af det offentlige”, som agenturerne frygt kan forhindre, at visse AMERIKANSKE borgere mod at blive i stand til at bruge deres online-portaler.
Lige nu, GAO ikke fejl, disse agenturer, og kan heller ikke se en vej ud af dette dødvande, udover NIST udstedelse af nye retningslinjer med bedre rådgivning.
“Indtil NIST giver yderligere vejledning til at hjælpe agenturer bevæge sig væk fra viden-baseret kontrol-metoder og-OMB [Office of Management og Budget] kræver agenturer til at rapportere om deres fremskridt, føderale agenturer vil sandsynligvis fortsætte med at kæmpe for at styrke deres identificere korrektur processer,” GAO sagde embedsmænd.
For nu, der har ikke været nogen tilfælde af svig, der har været knyttet til Equifax hack, og det er stadig uklart, hvem der stjal den Equifax data, og hvor det er, at data, der selv er.
Resultaterne af GAO-rapporten:
– General Services Administration (GSA) og Interne Indtægter Service (IRS) har for nylig udviklet og begyndte at bruge alternative metoder til ekstern identitet korrektur for deres Login.gov og Få Udskrift tjenester, som ikke bygger på viden-baseret kontrol.
– Department of Veterans Affairs (VA) har indført alternative metoder til en del af sin identitet korrekturlæsningen, men stadig bygger på viden-baseret kontrol til nogle personer.
– Social Security Administration (SSA) og United States Postal Service (USPS) har til hensigt at reducere eller eliminere deres brug af viden-baseret kontrol en gang i fremtiden, men endnu ikke har konkrete planer for at gøre det.
Centers for Medicare og Medicaid Services (CMS) har ingen planer om at reducere eller eliminere viden-baseret kontrol til ekstern identitet korrektur.
Relaterede offentlige dækning:
Kinesiske militær for at erstatte Windows OS midt i frygten af OS hackingCBP siger hackere stjal nummerplader og rejsende’ photosRussian militære bevæger sig tættere på at erstatte Windows med Astra LinuxSEC sikkerhed alarm advarer om forkert NAS, DBs, og cloud-servere
Holland bliver det første land til at vise Amber indberetninger om ATMsEven NSA, er at opfordre til Windows-brugere til at lappe BlueKeep
Hvor Estland blev en e-regeringen kraftcenter TechRepublicSri Lanka blokke sociale medier efter dødbringende Påske eksplosioner CNET
Relaterede Emner:
Regeringen
Sikkerhed-TV
Data Management
CXO
Datacentre