El gobierno considera centralizar la verificación de identidad digital en myGov a raíz de la violación de Optus | Seguridad informática y de datos


El gobierno australiano está considerando usar myGov o su sistema myGovID para centralizar la autenticación de identidad digital a raíz de la violación de datos de Optus, pero los críticos advierten que cualquier sistema único podría tener sus propias debilidades de ciberseguridad.

El ex director ejecutivo de Telstra, David Thodey, fue contratado para auditar myGov cuando el gobierno albanés llegó al poder, y su revisión ahora examinará si myGov podría usarse para evitar que las personas necesiten presentar documentos de identidad varias veces, dijo un portavoz del ministro de servicios gubernamentales, Bill Shorten, dijo.

Los datos personales de casi 10 millones de clientes quedaron expuestos en la filtración de Optus, incluidos millones de pasaportes, licencias de conducir y números de Medicare, lo que genera dudas sobre por qué las empresas necesitan recopilar y almacenar tanta información personal.

El gobierno federal ahora considerará si desarrollar un único servicio de identificación digital que las empresas podrían usar en su lugar.

“Dentro del mandato de la auditoría está considerar cómo myGov puede brindar servicios fluidos que con frecuencia involucrarán a proveedores de servicios de empresas privadas”, dijo el vocero de Shorten. “Esto evitaría la necesidad de que los ciudadanos proporcionen datos confidenciales varias veces a múltiples entidades”.

Hay más de 25 millones de cuentas myGov activas y el portavoz dijo que sería «el hogar natural para un servicio ciudadano ampliado».

Por separado, la ministra de finanzas, Katy Gallagher, ha reuniones supuestamente convocadas considerar resucitar la legislación de identificación digital planeada por el gobierno anterior.

El gobierno de Morrison publicó un proyecto de ley en octubre del año pasado para expandir el uso del sistema myGovID. Actualmente se usa para autenticar la identificación a través de una aplicación cuando las personas obtienen un número de archivo de impuestos, tratan con Centrelink o acceden a myGov.

El gobierno nunca presentó la legislación ante el parlamento, pero ahora el ministro de servicios del gobierno en la sombra, Paul Fletcher, ha pedido al gobierno albanés que resucite el proyecto.

“El fracaso del gobierno albanés para progresar en estas importantes reformas ha dejado un grave vacío en nuestra capacidad para proteger los datos de los australianos y mejorar los servicios digitales”, dijo.

Pero los críticos de la propuesta advierten que el marco de identidad digital podría tener sus propias debilidades de seguridad cibernética y no es adecuado para su propósito como una forma segura de autenticación de identidad.

La investigadora de seguridad cibernética, la profesora Vanessa Teague, expresó su preocupación al principio del desarrollo del sistema de que el almacenamiento de números de documentos de identificación significaría que esos documentos aún estarían en riesgo de exposición en caso de un ataque cibernético o una violación de datos. Ella dijo que el sistema usaba un intercambio de identidad que media en todos los inicios de sesión, por lo que había un único punto de falla en el que un servidor podía rastrear cada vez que una persona iniciaba sesión y cada servicio en el que iniciaba sesión.

“No hay razón para que la autoridad que emitió su identificación digital deba recibir una actualización constante cada vez que inicie sesión”, dijo.

Stephen Wilson, un consultor de privacidad e identidad digital, dijo que el sistema de identificación digital estaba destinado a ser un inicio de sesión único para los servicios gubernamentales, no un reemplazo para verificar la identidad de alguien.

“Su objetivo era dar a los ciudadanos una clave única para acceder a todas las cuentas del gobierno federal, comenzando con impuestos, Medicare y Centrelink. La llave prueba que eres un ciudadano conocido por la ATO”, dijo.

“Pero no fue diseñado para verificar nada más sobre ti, especialmente las cosas fuera de la esfera federal”.

Si los números de identificación se vieran comprometidos, todos tendrían que recibir uno nuevo, dijo.

Wilson argumentó que un mejor método sería colocar la identificación en las billeteras digitales de los teléfonos inteligentes. Protegería la información personal almacenada en la tarjeta y simplemente autenticaría la identificación con el servicio que está utilizando.

“Las identificaciones no deben ser tocadas por manos humanas. Tarjetas de crédito, Medicare, licencias de conducir, identificadores personales de salud: todos deben estar encapsulados dentro de un chip controlado personalmente y presentados con un sello, para que el receptor sepa que cada número proviene de la persona real y no de un impostor”.

Una complicación en el desarrollo de una identificación digital es que la responsabilidad de varios aspectos del sistema recae en diferentes departamentos y agencias.

MyGov se sienta con Services Australia, mientras que myGovID es responsabilidad de la Oficina de Impuestos de Australia. La Agencia de Transformación Digital es responsable de liderar la expansión propuesta del sistema de identificación digital.

Para 2024, el gobierno federal habrá gastado 624 millones de dólares en el desarrollo del sistema desde 2016, según datos publicados por la biblioteca parlamentaria.

Un portavoz de la ATO dijo que, hasta el 6 de octubre, se habían creado más de 6,5 millones de identidades myGovID verificadas y que había unas 300.000 autenticaciones al día.



Enlace a la noticia original