Erster Akt des Steuerzahlers: Verbesserung der Identitätsprüfung und Modernisierung des IRS

Michael Magrath, 5. September 2019
Taxpayer First Act: Improving Identity Verification and Modernizing the IRS

Kostensenkung und effiziente Online-Kundenbetreuung sind ein Ziel der meisten Unternehmen. Dies gilt auch für die meisten Bundesbehörden. Seit der Erstellung der ersten Website stehen die Bundesbehörden jedoch vor der ständigen Herausforderung, die Identität ihrer Online-Benutzer zu überprüfen.  Durch groß angelegte Verstöße wurden die personenbezogenen Daten (PII) der Bürger im Dark Web zum Verkauf angeboten, was die Herausforderungen bei der Überprüfung der Identität erhöht. Wie können Sie sicher sein, wer auf eine Website zugreift und Geschäfte abwickelt?   

Identitätsprüfung und die GAO-Berichte

Im Juni 2018 veröffentlichte das Government Accountability Office eine Bericht mit dem Titel „IDENTITÄTSDIEBSTAHL - IRS muss die Authentifizierungsbemühungen der Steuerzahler verstärken“.  In dem Bericht heißt es: „Im Mai 2015 hat IRS seinen Get Transcript-Dienst vorübergehend eingestellt, nachdem Betrüger persönliche Informationen aus Quellen außerhalb von IRS verwendet hatten, um sich als legitime Steuerzahler auszugeben und auf Steuererklärungsinformationen von bis zu 724.000 Konten zuzugreifen.“ Dieser Verstoß wird vom GAO zusammen mit dem Verstoß des Office of Personnel Management (OPM) von 2015 hervorgehoben, von dem mehr als 22 Millionen aktuelle und ehemalige Mitarbeiter und Auftragnehmer betroffen waren, sowie der Equifax-Verstoß von 2018, von dem 145 Millionen Amerikaner betroffen waren.

Das GAO hob auch hervor, dass nach Schätzungen des IRS im Jahr 2016 Versuche unternommen wurden, mindestens 12,2 Milliarden US-Dollar durch Steuerrückerstattungsbetrug durch Identitätsdiebstahl (IDT) zu stehlen. Es wird jedoch geschätzt, dass der Diebstahl von mindestens 10,5 Milliarden US-Dollar dieses Betrags verhindert wurde. Das bedeutet, dass mindestens 1,6 Milliarden US-Dollar an Betrüger ausgezahlt wurden. Ich wiederhole: 1,6 Milliarden US-Dollar an Steuerzahlern, die an Kriminelle gezahlt werden.  

Die schiere Menge an personenbezogenen Daten, die Betrügern zur Verfügung steht, rechtfertigt alternative Ansätze zu den gängigen Methoden zur Online-Überprüfung von Identitäten. Die wissensbasierte Überprüfung (KBV) fordert Online-Benutzer in der Regel mit Fragen aus ihrer Kreditauskunft heraus, die nur sie kennen sollten. Heute mag dieser Benutzer es wissen, aber es besteht eine hohe Wahrscheinlichkeit, dass dies auch Betrüger tun.

Herausforderungen bei der sicheren Überprüfung von Identitäten sind nicht auf das IRS beschränkt. Die Realität ist, dass die meisten Bundesbehörden kein hohes Vertrauen in die Personen haben, die online mit ihnen in Kontakt treten. Dies erregte die Aufmerksamkeit des Kongresses und beauftragte das GAO, Online-Identitätsprüfungsprozesse zu untersuchen, die bei sechs Bundesbehörden eingesetzt wurden, die routinemäßig online mit Bürgern kommunizieren, darunter die Zentren für Medicare- und Medicaid-Dienste (CMS), die General Services Administration (GSA), IRS, SSA, USPS und das Department of Veterans Affairs (VA).

Im Mai 2019 wurde GAO veröffentlicht DATENSCHUTZ - Bundesbehörden müssen Online-Identitätsprüfungsprozesse stärken . ” Die gute Nachricht ist, dass einige, einschließlich des IRS, nicht mehr ausschließlich auf KBV angewiesen sind, während andere, einschließlich CMS, überraschenderweise keine Pläne haben, weiterzumachen. Das GAO berichtete: „Mehrere Beamte führten Gründe an, warum alternative Methoden nicht angewendet wurden, darunter hohe Kosten und Umsetzungsprobleme für bestimmte Teile der Öffentlichkeit. Beispielsweise ist die Überprüfung mobiler Geräte möglicherweise nicht immer möglich, da nicht alle Antragsteller über mobile Geräte verfügen, mit denen ihre Identität überprüft werden kann. Solange diese Agenturen keine Schritte unternehmen, um die wissensbasierte Überprüfung zu unterbinden, besteht für die Personen, denen sie dienen, ein erhöhtes Risiko für Identitätsbetrug. “

Als ich den Bericht las, dachte ich darüber nach, wie wir es können legal ein Bankkonto eröffnen und beantragen Sie sogar eine Hypothek mit unseren Handys. Das Argument bezüglich der Realisierbarkeit der Überprüfung mobiler Geräte hatte vor einigen Jahren viel mehr Wasser als heute. Es ist wahr, dass nicht jeder Amerikaner ein Smartphone besitzt. Leider hat nicht jeder Amerikaner fließendes Wasser oder Strom. Ist es jedoch nicht sinnvoll, ein Problem zu lösen, um die Bedürfnisse der überwiegenden Mehrheit der Amerikaner zu erfüllen - und für den Rest alternative Lösungen zu entwickeln?

Laut dem Pew Research Center 81% der Amerikaner besitzen ein Smartphone.  Dies folgt fast genau der 80/20-Regel. Es ist bedauerlich, dass eine Bundesbehörde, die gefährdete personenbezogene Daten für amerikanische Staatsbürger bereitstellt, keine besseren Technologien und Prozesse zur Identitätsprüfung einsetzt, da 19% der Amerikaner kein Smartphone besitzen.

Modernisierung des IRS und des Taxpayer First Act (HR 3151)

Am 1. Juli wurde das erste Gesetz des Steuerzahlers ( HR 3151 ) wurde gesetzlich unterzeichnet.
Das Gesetz modernisiert das IRS in mehreren Schlüsselbereichen, darunter:

  • Organisatorische Struktur
  • Durchsetzungsverfahren
  • Kundendienst
  • Management der Informationstechnologie
  • Cybersicherheit und Identitätsschutz
  • Verwendung elektronischer Systeme

Das Gesetz enthält auch technologische Bestimmungen, einschließlich der Festlegung von Anforderungen an die Cybersicherheit und den Identitätsschutz. Benachrichtigung der Steuerzahler über mutmaßlichen Identitätsdiebstahl; Ausweitung der elektronischen Einreichung von Steuererklärungen; Annahme einheitlicher Standards; und Verfahren zur Annahme der Technologie für elektronische Signaturen.

Da das IRS seine Geschäftsabläufe modernisiert, indem es mehr Aktivitäten ins Internet bringt, ist es unerlässlich, dass ein hohes Vertrauen besteht, dass die Person, die sich anmeldet, die Person ist, für die sie sich ausgibt, unabhängig davon, ob sie die Rolle eines Steuerfachmanns oder eines Steuerzahlers innehat .

In Bezug auf die Bekämpfung potenziellen Betrugs nach dem Gesetz (einschließlich Betrug bei der Rückerstattung von Identitätsdiebstahl) überprüft der Finanzminister bis zum 1. Januar 2020 die Identität einer Person (Steuerfachleute), die ein E-Services-Konto bei den Internal Revenue eröffnet Service, bevor diese Person die E-Services-Tools nutzen kann. “ Obwohl das Gesetz nicht festlegt, wie die Identitätsprüfung durchgeführt werden soll, vermute ich, dass es dem aktualisierten Pfad des „ Transkript abrufen " Bedienung.

Der GAO-Bericht vom Mai 2019 enthält Einzelheiten zum überarbeiteten Identitätsprüfungsprozess des IRS für „Get Transcript“:
„Die Person übermittelt eine Telefonnummer, die IRS durch eine Ratingagentur überprüft, die die Aufzeichnungen der Telefongesellschaft überprüft, um festzustellen, ob die Telefonnummer der Person gehört. IRS bestätigt dann den Besitz dieser Telefonnummer, indem eine einmalige PIN per SMS gesendet wird. Die Person gibt dann die PIN in die Get Transcript-Anwendung ein. Für Personen, die auf diese Weise nicht überprüft werden können, versucht IRS, die Straße der Person durch Senden der Bestätigungs-PIN per Post zu bestätigen. “

Ich möchte hinzufügen, dass das Senden von SMS-Textnachrichten sehr teuer sein kann, insbesondere für eine Agentur mit über 250 Millionen potenziellen Benutzern. Unter dem Gesichtspunkt der Sicherheit und potenziellen Kosteneinsparungen kann ein verifizierter Benutzer einen Beamten verwenden. abgeschirmt Eine mobile IRS-Anwendung zum Generieren und Zugreifen auf eine einmalige PIN während einer verschlüsselten Sitzung wäre eine Verbesserung des aktuellen Prozesses.

Um die elektronische Einreichung von Steuererklärungen zu erweitern, weist das Gesetz den Finanzminister an, Leitlinien zu veröffentlichen, um einheitliche Standards und Verfahren für die Annahme elektronischer Unterschriften von Steuerzahlern festzulegen. Dies umfasst alle Anträge auf Offenlegung der Steuererklärung des Benutzers, an einen Praktiker gesendete Rückgabeinformationen sowie alle vom Steuerzahler einem Praktiker erteilten Vollmachten.  

Bei Steuererklärungen ist neben der Überprüfung der Identität der Person die Integrität der Dokumente von größter Bedeutung. Ich erwarte, dass nach jedem einzelnen elektronischen Zeichen eine digitale Signatur und ein Manipulationssiegel angebracht werden, da Steuererklärungen häufig von mehreren Parteien unterzeichnet werden - und es wichtig ist, feststellen zu können, ob zwischen den Unterzeichnern Änderungen vorgenommen wurden. 

Darüber hinaus sollte der IRS mit einem soliden Prüfpfad für das gesamte Unterzeichnungsereignis ausgestattet sein, falls eine Rückgabe als verdächtig eingestuft wird und weitere Untersuchungen erforderlich sind. Ein gründlicher Prüfpfad sollte in der Lage sein, jeden dem Benutzer präsentierten Bildschirm sowie alle vorgelegten rechtlichen Angaben und Dokumente und die Dauer, die die unterzeichnenden Parteien bei jedem Schritt benötigt haben, zu reproduzieren.

Ausweitung auf andere Agenturen

Die Implementierung einer starken Authentifizierung ist für die Bundesregierung von entscheidender Bedeutung, um E-Government-Dienste zu sichern und zu erweitern.  Während das IRS die Bestimmungen des Gesetzes umsetzt, haben andere Agenturen bereits begonnen, ihre Identitätsprüfungs- und Authentifizierungsprozesse zu verstärken, da sie Dienste für externe Benutzer modernisieren.

In einem Juni 2019 Webinar Die von der FIDO Alliance gehostete GSA erörterte ihre kürzlich hinzugefügte Unterstützung des FIDO2-Authentifizierungsstandards der FIDO für ihr login.gov-Portal, das Benutzern eine nahezu reibungslose, starke Authentifizierung ermöglicht, damit sie sicher auf unterstützende Bundesbehörden zugreifen und mit diesen Geschäfte abwickeln können. 

Die GSA stellte fest, dass sie einen erweiterten Remote-Identitätsprüfungsprozess für login.gov evaluiert, den andere Agenturen nutzen könnten. Um sich für ein login.gov-Konto zu registrieren, würde der Antragsteller (Benutzer) ein Foto eines von der Regierung ausgestellten Ausweises wie eines Führerscheins machen. Der Führerschein wird überprüft, um die Echtheit des Dokuments selbst zu überprüfen. Dies würde eine Datensatzprüfung mit dem Status DMV beinhalten, um zu überprüfen, ob die ID gültig ist und die Nummer auf der ID mit den auf der ID angezeigten Informationen übereinstimmt. Die Adresse der Person wird nach Verwendung der USPS-Datenbank überprüft.  

Dieser Prozess wurde von der Bankenbranche für die Eröffnung digitaler Konten in Kombination mit elektronischen Signaturen zur Unterzeichnung der erforderlichen Formulare übernommen, wodurch die Notwendigkeit für Kunden, zu einer Filiale zu reisen, bei gleichzeitiger Kostensenkung entfällt. Es ist aufregend zu sehen, dass die Bundesregierung das nutzt, was im privaten Sektor funktioniert, und gleichzeitig die Abhängigkeit von personenbezogenen Daten verringert, die Betrüger im Dark Web leicht erhalten können.

Transformation der digitalen Kontoeröffnung und Onboarding-Erfahrung
WEISSES PAPIER

Transformation der digitalen Kontoeröffnung und Onboarding-Erfahrung

Basierend auf Interviews mit Bankleitern und Daten aus Verbraucherumfragen bietet Aite eine Expertenanalyse der wichtigsten Trends, Herausforderungen und Technologien, um eine kundenorientierte Erfahrung bei der Eröffnung eines mobilen Erstkontos zu bieten.

Weiterlesen

Offenlegung: Mein Arbeitgeber, OneSpan, ist ein führender Anbieter von Lösungen für Identitätsprüfung, Authentifizierung, Sicherheit mobiler Anwendungen und elektronische Signaturen. Ich bin außerdem Co-Vorsitzender der Government Deployment Working Group der FIDO Alliance und vertrete OneSpan im Board of Directors der Electronic Signature and Records Association.

Der folgende Artikel, verfasst von Michael Magrath, Director, Global Regulations & Standards, erschien zuerst 19. August 2019 auf CSO Online . Nachdruck mit freundlicher Genehmigung. © IDG Communications, Inc., 2018. Alle Rechte vorbehalten. 

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Vorsitzender der Government Deployment Working Group der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records