0
0
Se uma pessoa perder sua identidade estadual ou sua carteira de motorista, ela pode – dependendo dos regulamentos de seu estado – precisar fazer uma viagem ao escritório do Secretário de Estado ou Departamento de Veículos Automotores e esperar na fila com um punhado de documentos significativos que comprovem sua identidade para substituí-lo.
Ou seja, até a COVID-19.
À medida que os estados fecharam seus edifícios do governo nos estágios iniciais da pandemia de coronavírus, as agências governamentais foram forçadas a contar com o quão despreparados seus sistemas antiquados eram para fornecer serviços digitalizados durante uma pandemia que exigia que o público se abrigasse no local. Simultaneamente, o setor público e privado enfrentaram ataques cibernéticos que deixaram informações valiosas e confidenciais nas mãos de atores de ameaças.
Então, como as agências governamentais que administram benefícios públicos previnem fraudes e protegem dados pessoais valiosos? Essa pergunta foi o tema da “Future of Identity Fraud Roundtable”, um painel on-line organizado em 17 de junho pela Socure e Venable. Durante a discussão, os especialistas avaliaram os desafios únicos que as agências governamentais enfrentam ao verificar a identidade das pessoas, fornecer assistência ao governo e prevenir fraudes de identidade sintética, nas quais os cibercriminosos combinam informações reais com informações fabricadas para construir uma identidade falsa
“Acho que praticamente todas as entidades estaduais e governamentais estão buscando oferecer experiências digitais boas e de qualidade aos nossos eleitores”, disse J.R. Sloan, CIO do Estado do Arizona, durante o painel. “Durante a fase pandêmica… esta foi uma questão de segurança pública. Precisávamos ser capazes de oferecer experiências sem toque.”
As estimativas sobre a quantidade de fraude que ocorreu durante a pandemia variam. Um artigo acadêmico publicado por pesquisadores da Universidade do Texas — Austin encontrou US$ 64,2 bilhões em empréstimos potencialmente relatados incorretamente. Uma estimativa mais alta da Small Business Administration (SBA) identificou pelo menos US$ 78,1 bilhões em empréstimos e subsídios possivelmente fraudulentos. Excluindo dados sobre casos de fraude ao coronavírus trazidos pelo Departamento de Justiça, o Serviço Secreto teria dito que quase US$ 100 bilhões foram roubados de programas de alívio do coronavírus para empresas e indivíduos, uma conclusão a que chegou usando seus próprios casos e dados do Departamento do Trabalho dos EUA e da SBA.
Nos últimos dois anos, os programas de benefícios públicos das agências do governo federal têm sido atacados por cibercriminosos em outros países, bem como por cibercriminosos domésticos usando identidades sintéticas para interceptar benefícios destinados ao público americano, disse Jordan Burris, diretor sênior de estratégia de mercado de produtos da Socure.
Os cibercriminosos têm compartilhado informações e guias digitais sobre o uso de informações pessoais roubadas para solicitar benefícios do governo, disse Linda Miller, diretora de serviços de consultoria da Grant Thornton e ex-diretora executiva adjunta do Comitê de Responsabilidade de Resposta à Pandemia dos EUA, durante o painel.
“O jogo mudou completamente. E isso não vai mudar de volta”, disse Miller durante o painel. “Eles só vão ficar cada vez mais sofisticados e qualificados à medida que o governo continua a ser desafiado a lidar efetivamente com esse problema.”
Obstáculos para se Tornar Digital
Ao contrário do setor privado, as agências governamentais têm que servir o público, o que muitas vezes implica alcançar pessoas que não têm endereços ou contas bancárias, disse Miller. Verificar as identidades desses grupos vulneráveis pode ser mais difícil porque há menos pontos de dados disponíveis para o governo verificar, explicou ela.
Embora as agências governamentais possam usar alguns indicadores básicos, como um endereço IP estrangeiro, para rastrear fraudadores, não há uma solução única para as agências gerenciarem populações de pessoas que são mais difíceis de autenticar, disse ela.
“Esses problemas em torno de como resolvemos esse problema de prova de identidade de uma maneira que garanta a equidade em muitos tipos diferentes de grupos que precisam de benefícios do governo não vão criar muito mais problemas para os eleitores e vender aos cidadãos, pois eles estão tentando ter acesso aos seus benefícios”, disse Miller. “O que precisamos pensar é usar os dados de uma maneira mais inteligente e encontrar as pessoas onde elas estão em termos de quantos dados temos sobre um indivíduo.”
Embora o compartilhamento de dados entre agências governamentais possa permitir que eles verifiquem facilmente as identidades dos candidatos a benefícios, as agências governamentais são desafiadas por regulamentos sobre quais dados podem e não podem compartilhar entre si, disse Burris. Para que algumas informações sejam compartilhadas – incluindo um número de Seguridade Social, um número de identificação do contribuinte, números de registro de estrangeiros ou números de passaporte – a permissão para compartilhar dados entre várias agências governamentais pode exigir que o Congresso aprove leis federais que o permitam.
Progresso Recente na Política de Dados
Embora os regulamentos atualmente imponham as agências governamentais de compartilhar certas informações pessoais, há propostas para alterar os processos da agência que possam permitir que elas testem o compartilhamento seguro de dados, disse Suzette Kent, CEO da Kent Advisory Services e ex- CIO dos EUA, durante o painel. Tais propostas poderiam permitir, por exemplo, que os militares compartilhem e recuperem dados de veteranos ou aposentadoria após um desastre, disse Kent.
“Temos que olhar para o que as agências de informação estão autorizadas a coletar e como elas podem usá-las, e garantir que essas coisas sejam adequadas para os tipos de coisas que estamos fazendo”, disse Kent. “Isso pode exigir lei, política, tecnologia e envolvimento com o conjunto de cidadãos em particular que você está servindo.”
Um exemplo recente de autenticação biométrica que deu errado foi a tentativa da Receita Federal de implementar a tecnologia de reconhecimento facial para verificar as identidades das pessoas que abrem novas contas on-line. A agência anunciou em 7 de fevereiro que abandonou seus planos de usar uma empresa de reconhecimento facial de terceiros para autenticar novas contas.
Com a prova de identidade biométrica remota, surgiram problemas em torno de privacidade, acesso e equidade, que foram atendidos com reação imediata, disse Miller. À medida que as agências governamentais tentam usar essa tecnologia, elas também são obrigadas a cumprir o “maior nível de autorização de identidade” do Instituto Nacional de Padrões e Tecnologia. Mas ficou claro que muitas agências governamentais federais e estaduais não estão prontas para abordar as inúmeras complexidades da conformidade com o NIST e outras questões que surgem, disse ela.
Independentemente da ferramenta de autenticação remota, as agências governamentais precisam manter a confiança pública e ser transparentes sobre como estão usando tecnologias biométricas, disse Burris.
Não manter a confiança do público “eroda a capacidade de alavancar a inovação para combater o que estamos vendo do ponto de vista da fraude”, disse Burris. “Eu diria que qualquer fornecedor que trabalhe neste espaço, novamente, precisa ser transparente com as práticas, para que não tenhamos essa erosão.”
FONTE: DARK READING