La nouvelle législation américaine sur l'identité numérique promet une vérification plus sécurisée
La pandémie COVID-19 nous a obligés à nous éloigner socialement et à faire tout ce que nous pouvons numériquement et à distance. Pour les professionnels de l'informatique, la pandémie a probablement provoqué beaucoup de maux de tête imprévus et de longues heures pour garantir que leurs organisations puissent rester opérationnelles en toute sécurité tout en prenant en charge une main-d'œuvre distante de près de 100%.
La pandémie a également révélé des failles concernant l'identité numérique, la protection des données et la cybersécurité qui exposent les individus, les entreprises et les agences gouvernementales à la fraude en ligne. Bien que de nombreuses nouvelles technologies et solutions commerciales soient disponibles, leur valeur est limitée à une seule organisation ou dans un cadre de confiance, et il y a un manque d'interopérabilité au profit des utilisateurs et des organisations.
Récemment, des violations de données à grande échelle ont entraîné des téraoctets de consommateurs informations personnellement identifiables (PII) mis à disposition à la vente sur le web sombre . La disponibilité généralisée des informations personnelles a rapproché les solutions de vérification basée sur les connaissances (KBV), autrefois des méthodes fiables de vérification des identités en ligne, de l'obsolescence. Sans la possibilité de faire confiance aux données personnelles dans une solution KBV, les organisations auront besoin d'une nouvelle méthode de vérification des identités numériques qui crée toujours une expérience utilisateur positive.
Agences de chômage ciblées pendant COVID-19
Avec des millions d'Américains qui demandent des allocations de chômage, les fraudeurs se sont précipités sur les agences gouvernementales chargées de l'assistance chômage. Un 14 mai 2020, note Selon les services secrets américains, Washington, la Caroline du Nord, le Massachusetts, le Rhode Island, l'Oklahoma, le Wyoming et la Floride ont été victimes d'un réseau de fraude basé au Nigéria. Les services secrets déclarent: «On suppose que le réseau de fraude derrière cela possède une base de données PII substantielle pour soumettre le volume de demandes observées jusqu'à présent.»
Le Canada s'attaque à ce problème de cybersécurité. Son Conseil canadien de l'identité et de l'authentification numériques (DIACC) continue d'élaborer son Cadre de confiance pancanadien (PCTF). Comme le Notes DIACC, «Le PCTF soutient la création d'un écosystème d'identité numérique canadien innovant, sécurisé et respectueux de la vie privée.
À l'inverse, les États-Unis ne disposent pas d'une stratégie complète d'identification numérique. L'administration Obama en a développé une avec la Stratégie nationale pour les identités de confiance dans le cyberespace (NSTIC), mais elle n'a jamais été adoptée au niveau national par les fournisseurs de services.
Améliorer la loi sur l'identité numérique de 2020: une approche à l'échelle du gouvernement
Cela peut changer car le membre du Congrès Bill Foster (D-IL) a récemment introduit le bipartisan Loi sur l'amélioration de l'identité numérique de 2020 . S'il était adopté, le projet de loi «établirait une approche pangouvernementale pour améliorer l'identité numérique».
Le projet de loi tire parti du rapport 2018 de la Better Identity Coalition, Une meilleure identité en Amérique: un plan pour les décideurs , qui, entre autres, recommande que les agences gouvernementales soient les mieux placées à la fois au niveau de l'État via les départements des véhicules à moteur et au niveau fédéral via la Social Security Administration (SSA) pour offrir de nouveaux services d'identité aux consommateurs.
La SSA progresse déjà dans ce domaine et lancera bientôt sa vérification électronique du numéro de sécurité sociale basée sur le consentement ( eCBSV ) un service.Comme indiqué sur son site Web, «eCBSV permettra aux entités autorisées de vérifier si la combinaison SSN, nom et date de naissance d'un individu correspond aux dossiers de sécurité sociale. La sécurité sociale a besoin du consentement écrit du titulaire du numéro avec une signature électronique ou électronique pour divulguer la vérification du SSN. »
le Améliorer la loi sur l'identité numérique créerait un groupe de travail sur l'amélioration de l'identité numérique au sein du bureau exécutif du président. Sa mission est d'établir un effort à l'échelle du gouvernement pour développer des méthodes sécurisées permettant aux agences gouvernementales fédérales, étatiques et locales de valider les attributs d'identité et de prendre en charge la vérification d'identité numérique interopérable dans les secteurs public et privé. Le groupe de travail serait composé de secrétaires de cabinet, de chefs d'autres agences fédérales, de fonctionnaires des États et des collectivités locales, de membres désignés par le comité du Congrès et d'un poste nommé par le président.
En outre, l'Institut national des normes et de la technologie (NIST) développerait un cadre de normes pour la vérification d'identité numérique afin de guider les gouvernements fédéral, étatiques et locaux dans le choix de leurs solutions d'identité numérique. Le NIST aurait un an pour publier une version finale du cadre.
La législation oblige le groupe de travail à publier un rapport contenant des recommandations sur la recherche et le développement de systèmes permettant la vérification d'identité numérique. Une fois terminé et avec le consentement de l'individu, le cadre permettra aux agences gouvernementales de se porter garant en toute sécurité de ses citoyens en temps réel sur Internet.
Par exemple, il est courant pour une personne qui demande à ouvrir un compte bancaire en ligne ou à partir de son appareil mobile de fournir une numérisation d'une pièce d'identité émise par le gouvernement, généralement un permis de conduire, et une photo de selfie pour affirmer son identité. Dans les coulisses, l'image du permis de conduire est vérifiée pour s'assurer que la micro-impression, les hologrammes et autres caractéristiques de sécurité physique sont cohérents. À l'aide de données biométriques telles que la technologie de reconnaissance faciale, la photo du selfie est comparée à la photo sur la carte d'identité pour s'assurer qu'elles correspondent.
Améliorations des processus pour vérifier les identités numériques et les systèmes d'identité
Le processus actuel est bon, mais il peut être amélioré avec un service gouvernemental. Les organisations de services financiers bénéficieront d'un service public leur permettant, avec le consentement du client, d'envoyer une requête ping à une base de données DMV d'état ou à la base de données SSA. Ils recevront alors une réponse claire si les données d'identité présentées sont contenues dans leur base de données respective. Cette amélioration du processus de gestion des identités fournira une couche supplémentaire de sécurité en temps réel pour confirmer que la personne est bien celle qu'elle prétend être.
le Améliorer la loi sur l'identité numérique est une mesure législative passionnante. Si elle est promulguée, elle améliorera considérablement notre vie numérique et profitera aux consommateurs et aux parties de confiance dans les années à venir grâce à la prise en charge d'une vérification d'identité numérique sécurisée.
White Paper
Beyond Business Continuity
In this paper, we explore the top financial processes to digitize with e-signatures and digital identity verification technology – as well as key security considerations to support the rise of the digital-first financial services provider.
Download NowDivulgation: L'auteur représente son employeur, OneSpan, Inc., dans la Coalition pour une meilleure identité et le Conseil de l'identité et de l'authentification numériques du Canada (DIACC).
Cet article, rédigé par Michael Magrath, directeur, Réglementations et normes mondiales, a été publié pour la première fois le 17 septembre 2020 sur CSO en ligne . Réimprimé avec permission. © IDG Communications, Inc., 2020. Tous les droits sont réservés.
