Services Australia, platformun tek oturum açma modeli ve sınırsız hesap oluşturma özelliğinden yararlandıktan sonra önümüzdeki yılın Haziran ayına kadar myGov’da bir dizi güvenlik zorluğu ve kontrolü uygulayacak.
Kurum, myGov aracılığıyla erişilen kendi hizmetleri olan Centrelink, Medicare ve Çocuk Desteği genelinde “yeterli ve tutarlı doğrulama adımlarının yerinde olduğundan emin olma” taahhüdünde bulundu.
Ancak dijital hizmet sunumunu myGov üzerinden yürüten diğer departmanların ve kurumların da tutarlılığı sağlamak adına aynı şeyi yapması gerekecek.
Commonwealth Ombudsman soruşturması [pdf] Siber suçluların çalınan kimlik bilgilerini kullanarak myGov hesabına eriştikleri durumlarda, kişisel bilgileri, banka hesaplarını değiştirirken veya diğer dijital devlet hizmetlerine veya hesaplarına bağlanırken genellikle başka zorluklarla karşılaşmadıkları tespit edildi.
Kullanıcılar ayrıca hesaplarında yapılan değişikliklere ilişkin herhangi bir bildirim alamayabilirler.
Soruşturmanın başlarında Services Australia bunun bir kusur değil, bir özellik olduğunu belirtmişti.
Ombudsman, “Bir müşteri myGov hesabına giriş yaptıktan sonra, şu anda yüksek riskli işlemler için ek güvenlik önlemleri bulunmuyor” tespitinde bulundu.
“Services Australia, bunun sebebinin myGov’un devlet hizmetlerine güvenli bir şekilde erişmek için tek bir oturum açma olanağı sağlamak ve birden fazla çevrimiçi hesap ve parolaya olan ihtiyacı azaltmak için tasarlanmış olması olduğunu bildirdi.”
Ancak ombudsman, bu modelin hükümetin çok faktörlü kimlik doğrulamaya (MFA) yönelik daha geniş çaplı çabalarıyla çeliştiğini gördü.
Ombudsman, myGov hesapları içerisinde belirli eylemler gerçekleştirilirken MFA itirazlarının kullanılabileceğini öne sürdü.
“Görüşümüze göre, yüksek riskli işlemler için çok faktörlü kimlik doğrulamanın zorunlu kılınması, müşterileri kayıtlarının ihlal edilmiş olabileceği konusunda gerçek zamanlı olarak uyararak ve yetkisiz işlemleri tamamlanmadan önce durdurarak, gerçek müşteri hesaplarına yetkisiz bağlantı ve erişimden kaynaklanan kayıp riskine karşı önemli bir azaltma sağlıyor” denildi.
Ombudsman ayrıca hesap değişikliklerinin ele alınmasında müşteri hizmetleri kanalları arasında tutarsızlıklar buldu.
Örneğin, Centrelink’in iletişim merkezi temsilcilerinin, kullanıcıdan sistemdeki mevcut bilgileri doğrulamasını isteyerek banka hesabı değişikliğine itiraz etmesi gerekiyor.
Ombudsman, “Ancak, bir kullanıcı Centrelink çevrimiçi hesabında banka bilgilerini güncellediğinde böyle bir kontrol gerekli değildir” dedi.
Ancak telefon tabanlı meydan okuma tutarlı bir şekilde uygulanmadı.
Bir vakada, bir dolandırıcı “adres ve banka hesap bilgilerini değiştirebildi” [an] “Hesabınıza bir felaket kurtarma ödeme talebinde bulunun” diyerek arayın.
Ombudsman, telefon görüşmesi sırasında “talep yetkililerinin dolandırıcıya gerekli tüm güvenlik sorularını sormadığını” söyledi.
Bu özel durumda, dolandırıcı ödemeleri yönlendirmek veya talepte bulunmak için farklı yollar deneyerek çeşitli çevrimiçi hizmetler arasında geçiş yaptı.
Ombudsman, bunun mümkün olduğunu, myGov’daki her hizmetin, bir müşterinin hesabının ihlal edilip edilmediğini diğerleriyle paylaşmaması nedeniyle buldu.
Avustralya Hizmetleri, Centrelink gibi bir hizmeti ilgilendiren bir ihlali, kendi kurumundaki Medicare gibi diğer hizmetlerle, hatta diğer birimlerle bile bildirmesinin yasal olarak engellendiğini söyledi.
Bunun ne kadar doğru olduğu konusunda artık hukuki görüşe başvuruluyor.
Bir dizi güvenlik koruması şu anda yapım aşamasında
Services Australia, myGov için bir dizi güvenlik iyileştirmesi yapma taahhüdünde bulundu.
Bunlar arasında myGov üzerinden erişilen tüm hizmetler için temel standartlar ve kontrollerin belirlenmesi ve Services Australia portföyündeki belirli BT değişikliklerinin yapılması yer alıyor.
Bunlar, “banka hesaplarındaki güncellemeler konusunda güvenlik sağlayacak; Centrelink, Medicare, Çocuk Desteği (ve myGov’daki Centrelink ödeme hizmeti) için çevrimiçi platformlarda banka hesap bilgilerinin gizlenmesini sağlayacak.”
Ayrıca, Services Australia gelecek yılın Haziran ayına kadar kullanıcılara bir “myGov güvenlik panosu” sunmayı planlıyor – “mevcut güvenlik ayarlarının görsel bir sunumu” [that] onları harekete geçirecek
Hesaplarını daha iyi güvence altına almak için oturum açma ayarlarını parola veya Dijital Kimlik olarak yükseltmek gibi eylemlerde bulunmak.”
myGov için geçiş anahtarları Haziran ayı sonlarında tanıtıldı ve geleneksel kullanıcı adı-parola yönteminden daha güvenli bir oturum açma yöntemi olarak öne çıkıyor.
Yüksek riskli işlem türlerine meydan okumak için “telefon ve yüz yüze hizmet sunum kanallarını desteklemek” amacıyla bir diğer yeni araç olan kurumsal müşteri kimlik doğrulama aracı (ECAT) geliştirilecek.
Services Australia, “ECAT’ın getirdiği güçlendirilmiş önlemlerin, personel kanallarında yapılan telefon numaraları, e-postalar ve adreslerdeki sahtekarlık güncellemelerinin riskini azaltacağını öngörüyoruz” dedi.
Son olarak, myGov denetçisi rolüyle Services Australia, en son federal bütçeden gelen fonları kullanarak, “myGov platformu ile bağlantılı üye hizmetleri arasında daha hızlı, daha doğru ve denetlenebilir bilgi paylaşımı sağlamak” amacıyla bir myGov olay müdahale sistemi – MIRS – geliştiriyor.
Services Australia, “MIRS’i Haziran 2025’e kadar iki yinelemeyle sunmayı öngörüyoruz” dedi.
“Buna, bilgi paylaşımı konusunda daha fazla hukuki tavsiye alınması da dahil olacak.”