Die neue US-amerikanische Gesetzgebung zur digitalen Identität verspricht eine sicherere Überprüfung

Michael Magrath, 2. Oktober 2020

Die COVID-19-Pandemie hat uns gezwungen, uns sozial zu distanzieren und alles zu tun, was wir digital und remote können. Für IT-Experten brachte die Pandemie wahrscheinlich viele ungeplante Kopfschmerzen und lange Arbeitszeiten mit sich, um sicherzustellen, dass ihre Organisationen sicher arbeiten können und gleichzeitig eine nahezu 100% ige Remote-Belegschaft unterstützt.

Die Pandemie hat auch Lücken in Bezug auf digitale Identität, Datenschutz und Cybersicherheit aufgedeckt, die Einzelpersonen, Unternehmen und Regierungsbehörden Online-Betrug aussetzen. Obwohl zahlreiche neue Technologien und kommerzielle Lösungen verfügbar sind, ist ihr Wert auf eine einzelne Organisation oder innerhalb eines Vertrauensrahmens beschränkt, und es besteht ein Mangel an Interoperabilität zum Nutzen von Benutzern und Organisationen gleichermaßen.

In jüngster Zeit haben umfangreiche Datenverletzungen zu Terabyte an Verbrauchern geführt. personenbezogene Daten (PII) zum Verkauf angeboten auf der dunkles Netz . Die weit verbreitete Verfügbarkeit personenbezogener Daten hat wissensbasierte Verifizierungslösungen (KBV), einst zuverlässige Methoden zur Online-Überprüfung von Identitäten, der Veralterung näher gebracht. Ohne die Fähigkeit, personenbezogenen Daten in einer KBV-Lösung zu vertrauen, benötigen Unternehmen eine neue Methode zur Überprüfung digitaler Identitäten, die dennoch eine positive Benutzererfahrung schafft.

Arbeitsagenturen, auf die während COVID-19 abgezielt wird

Mit Millionen von Amerikanern, die Arbeitslosenunterstützung beantragen, haben sich Betrüger auf staatliche Regierungsbehörden gestürzt, die für die Arbeitslosenhilfe zuständig sind. A 14. Mai 2020, Memo Der US-Geheimdienst berichtet, dass Washington, North Carolina, Massachusetts, Rhode Island, Oklahoma, Wyoming und Florida von einem in Nigeria ansässigen Betrugsring zum Opfer gefallen sind. Der Secret Service erklärt: "Es wird davon ausgegangen, dass der Betrugsring dahinter über eine umfangreiche PII-Datenbank verfügt, um das bisher beobachtete Antragsvolumen einzureichen."

Kanada befasst sich mit diesem Cybersicherheitsproblem. Der kanadische Rat für digitale Identität und Authentifizierung (DIACC) entwickelt sein pan-kanadisches Trust Framework (PCTF) weiter. Als die DIACC-Notizen, "Die PCTF unterstützt die Einrichtung eines innovativen, sicheren und datenschutzrechtlich geschützten kanadischen Ökosystems für digitale Identität."

Umgekehrt fehlt den USA eine umfassende Strategie für digitale IDs. Die Obama-Regierung hat eine mit der Nationalen Strategie für vertrauenswürdige Identitäten im Cyberspace (NSTIC) entwickelt, die jedoch von den Dienstleistern nie national angenommen wurde.

Gesetz zur Verbesserung der digitalen Identität von 2020: Ein regierungsweiter Ansatz

Dies könnte sich ändern, da der Kongressabgeordnete Bill Foster (D-IL) kürzlich die Überparteilichkeit eingeführt hat Gesetz zur Verbesserung der digitalen Identität von 2020 . Im Falle eines Inkrafttretens würde der Gesetzentwurf „einen regierungsweiten Ansatz zur Verbesserung der digitalen Identität etablieren“.

Der Gesetzentwurf nutzt den Bericht 2018 der Better Identity Coalition. Bessere Identität in Amerika: Eine Blaupause für politische Entscheidungsträger , Dies empfiehlt unter anderem, dass Regierungsbehörden sowohl auf Landesebene über die Kraftfahrzeugabteilungen als auch auf Bundesebene über die Sozialversicherungsbehörde (SSA) am besten positioniert sind, um den Verbrauchern neue Identitätsdienste anzubieten.

Die SSA macht in diesem Bereich bereits Fortschritte und wird in Kürze ihre elektronische Überprüfung der einwilligungsbasierten Sozialversicherungsnummer ( eCBSV ) Bedienung.Wie auf der Website angegeben, ermöglicht eCBSV den zugelassenen Unternehmen zu überprüfen, ob die Kombination aus SSN, Name und Geburtsdatum einer Person mit den Sozialversicherungsunterlagen übereinstimmt. Die soziale Sicherheit benötigt die schriftliche Zustimmung des Nummerninhabers mit einer nassen oder elektronischen Unterschrift, um die SSN-Überprüfung offen zu legen. “

Das Verbesserung des Gesetzes über die digitale Identität würde eine Task Force zur Verbesserung der digitalen Identität im Exekutivbüro des Präsidenten einrichten. Ihre Aufgabe ist es, regierungsweite Anstrengungen zu unternehmen, um sichere Methoden für Bundes-, Landes- und Kommunalbehörden zu entwickeln, um Identitätsattribute zu validieren und die interoperable Überprüfung der digitalen Identität sowohl im öffentlichen als auch im privaten Sektor zu unterstützen. Die Task Force würde sich aus Kabinettssekretären, Leitern anderer Bundesbehörden, Staats- und Kommunalbeamten, vom Kongressausschuss benannten Mitgliedern und einer vom Präsidenten ernannten Position zusammensetzen.

Darüber hinaus würde das Nationale Institut für Standards und Technologie (NIST) einen Standardrahmen für die Überprüfung der digitalen Identität entwickeln, der Bundes-, Landes- und Kommunalverwaltungen bei der Auswahl ihrer Lösungen für die digitale Identität unterstützt. NIST hätte ein Jahr Zeit, um eine endgültige Version des Frameworks zu veröffentlichen.

Die Gesetzgebung schreibt vor, dass die Task Force einen Bericht mit Empfehlungen zu Forschung und Entwicklung in Systemen veröffentlicht, die die Überprüfung der digitalen Identität ermöglichen. Nach seiner Fertigstellung und mit Zustimmung des Einzelnen ermöglicht das Framework den Regierungsbehörden, in Echtzeit sicher für ihre Bürger zu bürgen, wenn sie online sind.

Beispielsweise ist es üblich, dass eine Person, die ein Bankkonto online oder von ihrem Mobilgerät aus eröffnet, einen Scan eines von der Regierung ausgestellten Ausweises, normalerweise eines Führerscheins, und ein Selfie-Foto zur Bestätigung ihrer Identität bereitstellt. Hinter den Kulissen wird das Bild des Führerscheins überprüft, um sicherzustellen, dass Mikrodruck, Hologramme und andere physische Sicherheitsmerkmale konsistent sind. Mithilfe biometrischer Daten wie der Gesichtserkennungstechnologie wird das Selfie-Foto mit dem Foto auf dem Personalausweis verglichen, um sicherzustellen, dass es übereinstimmt.

Prozessverbesserungen zur Überprüfung digitaler Identitäten und Identitätssysteme

Der derzeitige Prozess ist gut, kann aber mit einem Regierungsdienst verbessert werden. Finanzdienstleistungsunternehmen erhalten einen öffentlichen Dienst, mit dem sie mit Zustimmung des Kunden eine staatliche DMV-Datenbank oder die SSA-Datenbank anpingen können. Sie erhalten dann eine klare Antwort, ob die dargestellten Identitätsdaten in ihrer jeweiligen Datenbank enthalten sind. Diese Verbesserung des Identitätsverwaltungsprozesses bietet eine zusätzliche Sicherheitsebene in Echtzeit, um zu bestätigen, dass die Person die Person ist, für die sie sich ausgibt.

Das Verbesserung des Gesetzes über die digitale Identität ist ein aufregendes Gesetz. Wenn es gesetzlich unterzeichnet wird, wird es unser digitales Leben erheblich verbessern und Verbrauchern und vertrauenden Parteien in den kommenden Jahren gleichermaßen zugute kommen, um die sichere Überprüfung der digitalen Identität zu unterstützen.

Beyond Business Continuity
White Paper

Beyond Business Continuity

In this paper, we explore the top financial processes to digitize with e-signatures and digital identity verification technology – as well as key security considerations to support the rise of the digital-first financial services provider.

Download Now

Offenlegung: Der Autor vertritt seinen Arbeitgeber OneSpan, Inc. in der Better Identity Coalition und im Digital Identity and Authentication Council von Kanada (DIACC).

Dieser Artikel, verfasst von Michael Magrath, Director, Global Regulations & Standards, erschien erstmals am 17. September 2020 am CSO Online . Nachdruck mit freundlicher Genehmigung. © IDG Communications, Inc., 2020. Alle Rechte vorbehalten.

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Co-Vorsitzender der Arbeitsgruppe Government Deployment der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records Association (ESRA).