De 2017 Equifax inbreuk op de beveiliging heeft gegooid een sleutel in het proces gebruikt door AMERIKAANSE overheidsinstellingen de identiteit te verifiëren van burgers van de VS toepassen voor verschillende voordelen via de online portals.
Dit proces, genaamd online verificatie van de identiteit of externe identiteit proofing, gebaseerd op gegevens van credit reporting agencies (cra ‘ s) zoals Equifax, als bewijs van de identiteit van de aanvrager.
De overheid systemen of werknemers zou controleren of gegevens van een burger van de v.s. tegen een privé-CRA-database, zoals gehandhaafd door Equifax, of ze zou vragen burgers vragen over gegevens die aanwezig was in hun Equifax credit verslag.
Maar de 2017 Equifax hack, tijdens die hackers gestolen details over de identiteit van 145,5 miljoen burgers van de VS, heeft dit proces onnauwkeurig en onbetrouwbaar, zoals hackers en andere online groepen kunnen ook in het bezit van dezelfde gegevens, en niet alleen de AMERIKAANSE burger.
In 2017, het National Institute of Standards and Technology (NIST) gereageerd op deze hack door de uitgifte begeleiding voor overheidsinstellingen, met aanbevelingen over het vervangen van de CRA-based online identiteit proofing met andere oplossingen, zoals het versturen van een SMS naar de telefoon van een gebruiker of de gebruiker verzenden/upload een scan van een fysieke-ID om een agentschap van de regering, als een bewijs van identiteit.
Vier van de zes AMERIKAANSE overheidsinstellingen nog steeds rekenen op CRAs
Maar een rapport van de US Government Accountability Office (GAO), een bi-partijgebonden overheidsorganisatie die zorgt voor controle, evaluatie, en onderzoeks-diensten voor het Congres, heeft aangetoond dat slechts twee van de zes van de overheid ze getest hadden gevolgd dat de NIST-begeleiding.
GAO gevonden dat de Centers for Medicare and Medicaid Services (CMS), de Social Security Administration (SSA), de US Postal Service (USPS) en het Department of Veterans Affairs (VA) waren nog steeds een beroep op de oude CRA databases voor online verificatie van de identiteit.
Dit betekent dat een hacker te bellen of het indienen van voordelen met deze agentschappen — en in het bezit van gegevens van de Equifax schending — kon controleren of zich als de burger van de v.s. die ze proberen te vormen.
De agentschappen die deel uitmaakten van de GAO onderzoek zei dat één van de redenen waarom ze nog niet zijn gemigreerd naar een nieuw systeem nog, volgens de NIST begeleiding, is omdat “de hoge kosten en de uitvoering uitdagingen voor bepaalde segmenten van het publiek,” dat de agentschappen angst kan voorkomen dat bepaalde burgers van de VS kunnen gebruik maken van hun online portals.
Nu, GAO hoeft niet de schuld van deze agentschappen en ook niet als een manier om uit deze impasse te geraken, naast het NIST de uitgifte van nieuwe leiding met een beter advies.
“Tot NIST biedt extra begeleiding om te helpen bureaus, weg van op kennis gebaseerde verificatie methoden en OMB [Office of Management and Budget vereist agentschappen hun voortgang te rapporteren, federale agentschappen zal waarschijnlijk blijven in de strijd om het versterken van hun identificeren proofing processen,” GAO ambtenaren gezegd.
Voor nu, er zijn geen gevallen van fraude die zijn gebonden aan de Equifax hack, en het is nog steeds onduidelijk wie stal de Equifax gegevens, en waar die gegevens nog is.
De resultaten van het GAO rapport:
– De General Services Administration (GSA) en de Internal Revenue Service (IRS) recent ontwikkelde en begon met behulp van alternatieve methoden voor externe identiteit proofing voor hun Login.gov en Voor de Transcriptie diensten die geen beroep doen op kennis gebaseerde verificatie.
– Het Department of Veterans Affairs (VA) heeft geïmplementeerd alternatieve methoden voor een deel van zijn identiteit rijsproces, maar nog steeds is gebaseerd op kennis gebaseerde verificatie voor sommige individuen.
– De Social Security Administration (SSA) en de United States Postal Service (USPS) willen reduceren of te elimineren van het gebruik van op kennis gebaseerde verificatie enige tijd in de toekomst, maar heb nog geen specifieke plannen voor te doen.
De Centers for Medicare and Medicaid Services (CMS) heeft geen plannen om het verminderen of elimineren van op kennis gebaseerde verificatie voor externe identiteit proofing.
Verwante regering dekking:
Chinese leger te vervangen door het Windows-BESTURINGSSYSTEEM te midden van de angsten van ONS hackingCBP zegt hackers gestolen nummerplaat en reizigers photosRussian militaire dichter bij het vervangen van Ramen met Astra LinuxSEC security alert waarschuwt voor onjuist geconfigureerde NAS, DBs, en cloud servers
Nederland is het eerste land om te laten zien op het Amber alert ATMsEven de NSA dringt Windows-gebruikers om de patch BlueKeep
Hoe Estland werd een e-overheid powerhouse TechRepublicSri Lanka blokken van sociale media na de dodelijke Pasen explosies CNET
Verwante Onderwerpen:
Overheid
Beveiliging TV
Data Management
CXO
Datacenters