האתגרים נותרו בניהול זיהוי דיגיטלי יעיל לטובת הציבור, אומר הדו"ח

השיטות שסוכנויות המדינה נוקטות להוכחת זהות ואימות ביישומים מקוונים להטבות ציבוריות ממלאות תפקיד מכריע בקביעת מידת היעילות של מועמדים יכולים לגשת לשירותים חיוניים. וככל שממשלות מייצרות יותר ויותר דיגיטציה של השירותים שלהן, האיזון בין צורכי האבטחה, הנגישות והשוויון הופך לבעל חשיבות עליונה, כאשר הוכחת זהות ואימות מהווים את עמוד השדרה של ניהול זהויות דיגיטליות במערכות לתועלת הציבור.

עם זאת, חדשדִוּוּחַמ-Beeck Center for Social Impact (BCSI) אומר שבעוד שהנוף של הוכחת זהות ואימות ביישומים להטבות ציבוריות פדרליות ומדינתיות בארה"ב מתפתח, הייתה התקדמות מצטברת רק בשנת 2024. הדו"ח החדש בוחן שיטות הוכחת זהות ואימות בכל רחבי שש תוכניות במימון פדרלי בניהול המדינה כדי להבין מתי וכיצד מדינות משתמשות ביצירת חשבון, אימות ו הוכחת זהות בבקשות ראשוניות להטבות ציבוריות מקוונות.

"האופן שבו סוכנויות המדינה בונות תהליכי יצירת חשבונות מקוונים ודרישות למועמדים ולמוטבים כדי להוכיח מי הם עשויה להשפיע אם וכמה מהר אנשים יכולים להגיש בקשה ולהתחיל לקבל הטבות", נכתב בדו"ח, ומציין כי בעוד שמדינות מסוימות מאמצות שיטות חדשניות ומציע גמישות רבה יותר, עדיין נותרו אתגרים בהשגת ניהול זהות דיגיטלית שוויונית ואפקטיבית.

על ידי תעדוף גישות מבוססות-אדם, המבוססות סיכונים וטיפוח שיתוף פעולה חוצה מגזרים, אומר הדו"ח, סוכנויות מדינה יכולות לשפר את הנגישות והאבטחה של מערכות לתועלת הציבור, ולהבטיח שכל האנשים הזכאים יוכלו לגשת לתמיכה שהם צריכים.

"על ידי תיעוד נוף הפרקטיקות הנוכחיות, פרויקט זה נועד לעזור למערכת האקולוגית הרחבה של מדינות עמיתים, סוכנויות פדרליות, עורכי דין, אקדמאים וארגוני טכנולוגיה אזרחית לזהות מדינות הנוקטות בגישות ייחודיות, חריגות או מבטיחות", דו"ח BCSI. אמר, וציין כי "מערך הנתונים מזהה גם מדינות שמציבות חסמים פוטנציאליים באמצעות היישום שלהן של יצירת חשבון, אימות, והוכחת זהות".

הדוח אומר שבשנת 2024, הדרישות להוכחת זהות עלו רק במעט, כאשר 42 בקשות יישמו צעדים כאלה לעומת 37 ב-2023. הוכחת זהות הייתה הנפוצה ביותר בבקשות לביטוח אבטלה, מה שמשקף את הסיכון הגבוה להונאה הקשור להטבות אלו.

עם זאת, יישומים עבור תוכניות כמו MAGI Medicaid גם הראו נוכחות משמעותית של דרישות הוכחת זהות, כאשר 52% מהאפליקציות משלבות שלבים כאלה. לעומת זאת, בקשות לסיוע בתוכנית תזונה משלימה מיוחדת לנשים, תינוקות וילדים (WIC) נותרו בסבירות נמוכה יותר לכלול הוכחת זהות, כאשר רק מדינה אחת, מישיגן, משתמשת בהוכחת זהות אופציונלית בתהליך הבקשה המשולב שלה לתוכנית לסיוע בתזונה משלימה. (SNAP), סיוע זמני למשפחות נזקקות (TANF), Medicaid, WIC וטיפול בילדים.

התזמון של שלבי הוכחת זהות יכול להשפיע באופן משמעותי על חווית המשתמש ויעילות המערכת. מבין הבקשות הדורשות הוכחת זהות, 21 הציבו את השלב הזה לפני שמבקש יכול היה להתחיל את תהליך הבקשה, בעוד 11 שילבו אותו בבקשה עצמה. הצבת הוכחת זהות בתחילת התהליך עלולה ליצור מחסומים בשוגג עבור אנשים שאינם יכולים להשלים שלב זה עקב קשיים טכניים או תיעוד לא מספיק.

מחסומים כאלה, אומר דו"ח BCSI, עלולים לגרום לכך שאנשים זכאים יוחרגו לחלוטין מתהליך הבקשה, כשהמאבקים שלהם לא באים לידי ביטוי במדדי מערכת כמו שיעורי נטישה. עם זאת, חלק מהמדינות אימצו גישה אופציונלית להוכחת זהות, המאפשרת למשתמשים לדלג על שלב זה בתחילה או להמשיך עם היישום גם אם אימות הזהות נכשל. פרקטיקה זו, שנצפה ב-19 בקשות, מפחיתה הדרה פוטנציאלית, תוך שהיא מאפשרת אימות בסופו של דבר באמצעים חלופיים.

שיטות שונות להוכחת זהות מופעלות על פני מדינות, המשקפות רמות שונות של סובלנות לסיכון וזמינות משאבים. יישומי ביטוח אבטלה (UI), למשל, ראו הסתמכות גוברת על פתרונות ביומטריים, כאשר 24 סוכנויות כוח אדם ממלכתיות משתמשות בטכנולוגיות כמו העלאת תעודות זהות בשילוב עם תמונות סלפי חיות לאימות.

לשם השוואה, תוכניות שאינן משתמשות ממשק הסתמכו בעיקר על אימות מבוסס ידע או הגשת מסמכים, באופן אישי או באמצעות הדואר. הדו"ח אומר ששיטות ביומטריות מציעות לעתים קרובות רמות גבוהות של דיוק אך יכולות גם להעלות חששות לגבי פרטיות ונגישות. לדוגמה, אנשים ללא גישה לטכנולוגיה הדרושה או אלה שאינם נוחים עם איסוף נתונים ביומטריים עלולים להיתקל בקשיים בהשלמת התהליך.

"בהכרה שלמוטבים ולמועמדים יש רמות שונות של נוחות וגישה לטכנולוגיה, סוכנויות ניהול הטבות יכולות להציע למוטבים ולמועמדים אפשרויות בחירה לגבי מתי וכיצד ליצור חשבונות או לאמת את זהותם, אם שלבי ניהול הזהויות הללו רלוונטיים לאינטראקציה מקוונת מסוימת ", נאמר בדו"ח BCSI.

הדו"ח גם אומר כי "אם מועמדים ומוטבים אינם מסוגלים להשתמש בנתיבי שירות עצמי כדי לקבל בחזרה גישה לחשבון שלהם כאשר הם שוכחים או מאבדים את הסיסמה שלהם, הדבר עלול להגביר שיחות למוקדים טלפוניים ולמנוע מאנשים להגיב להודעות או בקשות חשובות למידע."

מרכיב מרכזי של הוכחת זהות יעילה הוא להציע למועמדים אפשרויות בחירה לגבי האופן שבו הם מאמתים את זהותם. הדוח אומר שבשנת 2024, נמצאו 21 סוכנויות מספקות מסלולים מרובים להוכחת זהות, כמו בחירה בין אימות ביומטרי בשירות עצמי, שיחות וידאו או אימות אישי בקיוסקים או בסניפי דואר. גמישות זו מכירה בגיוון בנסיבות המועמדים ובגישה הטכנולוגית, ומקדמת את ההכללה.

גם נוהלי האימות ביישומי תועלת ציבוריים השתנו מאוד, ומשקפים סדרי עדיפויות שונים באבטחה ובחוויית משתמש. בשנת 2024, 75% מהאפליקציות דרשו מהמשתמשים ליצור חשבון כדי להגיש בקשה מקוונת, נתון תואם לשנת 2023. דרישות ליצירת חשבון היו נפוצות במיוחד בבקשות לביטוח אבטלה. מבין היישומים הדורשים יצירת חשבון, 76% הורו לספק כתובת דוא"ל, מה שמדגיש את התפקיד המרכזי של הדוא"ל בניהול זהויות דיגיטליות.

מערכות כניסה יחידה (SSO) שימשו ב-36 יישומים, מה שאיפשר למשתמשים לגשת למספר שירותים ממשלתיים עם סט יחיד של אישורים. בעוד ש-SSOs מייעלים את חווית המשתמש, הם גם יכולים להציג אתגרים אם דרישות אבטחה מחמירות, כגון הוכחת זהות חובה, מיושמות באופן אוניברסלי בשירותים עם רמות סיכון שונות. 14 יישומים אפשרו כניסה באמצעות אישורים של צד שלישי, כגון Facebook, Google או ID.me, מה שמציע גמישות נוספת אך מעורר חששות לגבי פרטיות נתונים ויכולת פעולה הדדית.

שיטות האימות כללו גם ריבוי גורמים רבים כדי לשפר את האבטחה. מבין האפליקציות שנבדקו, 79% העסיקו לפחות מאמת אחד נוסף לצד סיסמאות. אמצעים אלה כללו קוד גישה חד פעמי שנשלח לכתובות דוא"ל או טלפונים, שאלות אבטחה ואפליקציות אימות. בעוד ש-56% מהיישומים הציעו מספר סוגי אימות, שאפשרו למשתמשים לבחור את האפשרות הנוחה ביותר, היו פערים בולטים באימוץ שיטות מודרניות ומאובטחות. לדוגמה, רק מדינה אחת, מישיגן, השתמשה במפתחות סיסמה כאפשרות אימות, שהמכון הלאומי לתקנים וטכנולוגיה (NIST) מזהה כמאמת עמיד בפני דיוג.

שאלות אבטחה, למרות שעדיין משמשות 27 יישומים כמאמת הבלעדי, מדגימות פרקטיקה מיושנת שמציעה יתרונות אבטחה מינימליים, נאמר בדו"ח BCSI, ומציין ששאלות כאלה חשופות להפרות ויכולות ליצור חיכוך מיותר עבור המשתמשים. ההנחיות של NIST אינן מזהות שאלות אבטחה כמאמת אמין, מה שמדגיש את הצורך של סוכנויות לחדש את שיטות העבודה שלהן.

אתגר משמעותי נוסף באימות טמון בהבטחת שאמצעים עובדים ביעילות עבור אוכלוסיות משתמשים מגוונות. לדוגמה, דרישת קוד סיסמה חד פעמי שנשלח באמצעות טקסט עשויה להחריג אנשים ללא גישה אמינה לטלפון נייד. באופן דומה, תהליכים הדורשים יכולות טכנולוגיות ספציפיות, כגון הורדת אפליקציית אימות, עשויים שלא להיות ברי ביצוע עבור כל הפונים. עקרונות עיצוב ממוקדים באדם, אשר נותנים עדיפות לצרכים והאילוצים של המשתמשים, הם קריטיים בהתמודדות עם אתגרים אלו.

תחום עניין מתפתח הוא השילוב של מאמתים עמידים להתחזות וגישות אימות מבוססות סיכונים. שיטות אלו מתאימות את דרישות האבטחה על סמך רגישות העסקה או התנהגות המשתמש, ומציעות איזון מותאם בין אבטחה לשימושיות. בעוד תוכניות טובות לציבור בודקות חידושים כאלה, עליהן להישאר מודעים להשלכות ההון העצמי, ולהבטיח ששיפורי האבטחה לא יפגעו בטעות באוכלוסיות פגיעות.

הדו"ח קובע כי יש להתייחס לתהליכי הוכחת זהות ואימות כמרכיבים אינטגרליים של עיצוב השירות הרחב עבור יישומי טובת הציבור, וכי יישום יעיל דורש שיתוף פעולה הדוק בין סוכנויות מדינה, שותפים פדרליים וספקי טכנולוגיה.

BCSI אמר שותפויות עם ארגונים כמומסייעים בפיתוח קווים מנחים הנותנים מענה לצרכים הייחודיים של תוכניות לתועלת הציבור. שיתופי פעולה אלו מטרתם ליצור מסגרות המקדמות גישה תוך שמירה על נתונים רגישים.

נושאי מאמר

|||||||