纳税人第一法案改进身份验证并使IRS现代化

互联网2020-03-23 16:18:29
导读降低成本并有效地在线服务客户是大多数组织的目标。大多数联邦机构也是如此,但自第一个网站创建以来,联邦机构一直面临着验证其在线用户身

降低成本并有效地在线服务客户是大多数组织的目标。大多数联邦机构也是如此,但自第一个网站创建以来,联邦机构一直面临着验证其在线用户身份的挑战。大规模的违规行为使公民的个人身份信息(PII)在黑暗的网络上出售,增加了身份验证的挑战。您如何确定谁访问网站和交易业务?

身份验证和GAO报告

2018年6月,政府问责局(GAO)发布了一份题为“身份盗窃 - 国税局需要加强纳税人认证努力”的报告。正如报告中所指出的那样,“2015年5月,美国国税局在欺诈者利用从美国国税局以外的消息来源获取的个人信息构成合法纳税人并从多达724,000个账户获取纳税申报信息后,暂时停止了其获取转录服务。” GAO强调了2015年人事管理办公室(OPM)的违规行为,影响了超过2200万现任和前任员工及承包商以及影响1.45亿美国人的2018年Equifax违规行为。

GAO还强调,美国国税局估计,2016年有人企图通过身份盗窃(IDT)退税欺诈窃取至少122亿美元。但是,据估计,它可以防止盗窃至少105亿美元的金额。这意味着向欺诈者支付了至少16亿美元。我再说一遍,向犯罪分子支付了16 亿美元纳税人的钱。

欺诈者可获得的庞大PII数量保证了在线验证身份的常见做法的替代方法。基于知识的验证(KBV)通常会向在线用户提出信用报告中的问题,这些问题只有他们应该知道。今天,欺诈者很可能也知道这些信息。

安全验证身份的挑战不仅限于IRS。现实情况是,大多数联邦机构对在线与他们接触的人没有很高的信心。这引起了国会的注意,并要求GAO检查部署在六个联邦机构的在线身份验证流程,这些机构经常与公民在线交流,包括医疗保险和医疗补助服务中心(CMS),总务管理局(GSA),IRS,SSA, USPS和退伍军人事务部(VA)。

一些机构没有放弃基于知识的验证

在2019年5月,GAO 发布了 “数据保护 - 联邦机构需要加强在线身份验证流程。”好消息是,包括美国国税局在内的一些人不再完全依赖KBV,而令人惊讶的是,包括CMS在内的其他机构没有计划搬迁上。GAO报告说,“一些官员列举了不采用替代方法的原因,包括某些部分公众的高成本和实施挑战。例如,移动设备验证可能并不总是可行的,因为并非所有申请人都拥有可用于验证其身份的移动设备。然而,在这些机构采取措施消除其使用基于知识的验证之前,他们所服务的个人将面临更大的身份欺诈风险。“

当我阅读报告时,我想到了我们如何合法开立银行账户,甚至使用我们的手机申请抵押贷款。几年前关于移动设备验证可行性的争论比现在多得多。确实,并非每个美国人都拥有智能手机。可悲的是,并非每一个美国人都有自来水或电力,无论是。但是,解决问题以满足绝大多数美国人的需求是不是有意义 - 并为其余的人开发替代解决方案?

据皮尤研究中心称,81%的美国人拥有智能手机。这几乎完全遵循80/20规则。令人遗憾的是,一个托管弱势PII的联邦机构不会部署更好的身份验证技术和流程,因为19%的美国人没有智能手机。

现代化国税局和纳税人第一法案

2019年7月1日,纳税人第一法案(HR 1957)签署成为法律。该法案在几个关键领域使IRS现代化,包括:

组织结构

执法程序

客户服务

信息技术管理

网络安全和身份保护

使用电子系统

该法还包括技术规定,包括建立网络安全和身份保护要求,向纳税人提供可疑身份盗窃通知,扩大纳税申报表的电子申报,采用统一标准以及接受电子签名技术的程序。

随着美国国税局通过推动更多的网络活动来实现业务的现代化,必须确信登录的人是他们所声称的人,无论他们是税务专业人员还是纳税人。 。

关于根据该法案处理潜在的欺诈行为(包括身份盗窃退款欺诈),到2020年1月1日,财政部长“应核实任何个人(税务专业人员)在开设电子服务账户时的身份与国内税收在此人之前的服务能够使用电子服务工具“。虽然法律没有具体说明如何进行身份验证,但我怀疑它将遵循“ Get Transcript ”服务的更新路径。

2019年5月的GAO报告详细介绍了IRS改进的Get Transcript身份验证流程:

“个人提交电话号码,IRS通过CRA [信用评级机构]验证电话号码,以检查电话公司记录,以确定电话号码是否属于个人。然后,IRS通过短信发送一次性PIN确认拥有该电话号码。然后,个人将PIN输入到Get Transcript应用程序中。对于无法通过此方式验证的个人,IRS会尝试通过邮寄确认PIN来确认个人的街道地址。“

发送短信可能非常昂贵,特别是对于拥有超过2.5亿潜在用户的代理商而言。从安全性和潜在的成本节约角度来看,让经过验证的用户使用官方的屏蔽IRS移动应用程序在加密会话期间生成和访问一次性PIN将是对当前过程的增强。

为了扩大纳税申报表的电子申请,该法案指示财政部长发布指导意见,以制定接受纳税人电子签名的统一标准和程序。这包括披露用户纳税申报表的任何请求,发送给从业者的退货信息,以及纳税人授予从业者的任何授权书。

在纳税申报方面,除了验证个人身份外,文件的完整性至关重要。我希望在每个单独的电子标志之后应用数字签名和篡改密封,因为纳税申报通常由多方签署 - 并且能够检测签名者之间是否有变化至关重要。

此外,如果返回被视为可疑并且需要进一步调查,美国国税局应该对整个签署活动进行强有力的审计跟踪。完整的审计跟踪应该能够重现呈现给用户的每个屏幕,以及所呈现的所有法律披露和文档,以及签署方在每个步骤中花费的时间。

扩展到其他机构

实施强身份验证对于联邦政府确保和扩展电子政务服务至关重要。随着美国国税局实施该法案的规定,其他机构已经开始加强其身份验证和身份验证流程,因为它们为外部用户提供现代化服务。

在由FIDO联盟主办的2019年6月的网络研讨会中,GSA讨论了他们最近为其login.gov门户网站添加的FIDO FIDO2认证标准的支持,该标准将为用户提供近乎无摩擦的强认证,以便安全地访问和支持联邦机构。

GSA指出,他们正在评估login.gov的增强型远程身份验证流程,其他机构可以利用这一流程。要注册login.gov帐户,申请人(用户)将拍摄政府颁发的ID(如驾驶执照)。检查驱动程序许可证以验证文档本身的真实性。这将包括与州DMV的记录检查,以验证ID是否有效以及ID上的号码是否与ID上显示的信息相匹配。使用USPS的数据库后,将检查此人的地址。

银行业已经将这一过程与数字账户开放相结合,并结合电子签名来签署所需的表格,从而无需客户前往分支机构,同时降低成本。令人兴奋的是,联邦政府正在利用私营部门的工作,同时减少欺诈者在黑暗网络上可以轻易获得的对PII的依赖。

免责声明:本文由用户上传,如有侵权请联系删除!