Perintah keamanan siber Biden dapat membantu bank mencegah penipuan

Presiden Joe Biden mengeluarkan perintah eksekutif pada hari Kamis yang dapat – jika diterapkan oleh pemerintahan Donald Trump yang akan datang – membantu bank dan serikat kredit mengurangi penipuan dan kejahatan keuangan dengan meningkatkan proses verifikasi informasi identitas yang dikeluarkan pemerintah dari pelanggan dan pemohon.

Perintah tersebut secara khusus meminta Administrasi Jaminan Sosial untuk mempertimbangkan peningkatan layanan digitalnya untuk memverifikasi informasi identitas yang diberikan oleh bank, dan membuka pintu bagi lembaga federal tambahan yang juga menerbitkan dokumen identitas untuk menerapkan layanan serupa.

Perintah tersebut juga berupaya untuk memungkinkan lebih banyak negara bagian mengadopsi SIM digital, dan menginstruksikan pemerintah federal untuk mulai menerima dokumen digital tersebut sebagai bentuk verifikasi identitas. Secara keseluruhan, perubahan ini dapat mengarah pada peningkatan adopsi sumber identitas digital yang dapat membantu bank dan credit unions mengurangi penipuan.

Selain masalah identitas ini, perintah ini juga menggerakkan inisiatif di seluruh pemerintahan federal yang, antara lain, dapat memberikan informasi yang lebih baik dan tepat waktu kepada bank mengenai ancaman keamanan siber yang baru.

Berikut adalah beberapa bagian dari Perintah Eksekutif Biden tentang Penguatan dan Promosi Inovasi dalam Keamanan Siber Nasional yang dapat berdampak pada bank dan credit unions:

Verifikasi ID Pemerintah ditetapkan untuk peningkatan

Sejak tahun 2019, Badan Penyelenggara Jaminan Sosial telah mengoperasikan Verifikasi Nomor Jaminan Sosial Berbasis Persetujuan secara elektronik (eCBSV) Pelayanan, yang menyediakan a antarmuka digital bank dan credit unions dapat menggunakannya untuk memverifikasi bahwa nomor Jaminan Sosial, tanggal lahir dan nama seseorang semuanya cocok dengan catatan lembaga tersebut.

Berdasarkan perintah yang dikeluarkan pada hari Kamis, sistem ini dapat ditingkatkan, dan lembaga lain mungkin juga akan mengadopsi perbaikan serupa. Perintah tersebut meminta kepala Administrasi Jaminan Sosial untuk menetapkan “penggunaan catatan rutin yang baru atau dimodifikasi secara signifikan” untuk tujuan verifikasi identifikasi.

Perintah tersebut tidak merinci jenis peningkatan apa yang harus diperoleh layanan tersebut, namun menyerahkan keputusan kepada kepala biro. Pada bulan September, Kantor Akuntabilitas Pemerintah merilis laporan yang menemukan kekurangan besar dalam struktur biaya dan skala program. Menanggapi laporan ini, peningkatan dapat ditargetkan untuk menjadikan program ini lebih efisien dan lebih menarik bagi institusi pengguna yang membayar untuk mengaksesnya.

Perintah tersebut juga memungkinkan Direktur Kantor Manajemen dan Anggaran untuk menunjuk kepala lembaga lain yang dianggap tepat untuk mempertimbangkan pembangunan layanan semacam itu. Meskipun tidak disebutkan secara eksplisit dalam perintah tersebut, hal ini dapat mencakup Departemen Luar Negeri, yang menerbitkan paspor AS – dokumen verifikasi identitas utama yang digunakan oleh banyak bank dan credit unions.

Sistem apa pun yang ditawarkan oleh Administrasi Jaminan Sosial atau lembaga lain untuk verifikasi identitas digital, sesuai dengan perintah, harus tersedia untuk lembaga pemerintah, lembaga keuangan yang diatur oleh AS, dan program integritas pembayaran.

Pemerintah federal menerima dokumen identitas digital

Demi mengurangi penipuan terhadap program tunjangan publik, perintah eksekutif tersebut menginstruksikan lembaga yang mengelola program tersebut untuk mulai menerima dokumen identitas digital sebagai bentuk verifikasi identitas dan mendorong lembaga pemberi hibah federal untuk mengeluarkan hibah kepada negara bagian yang ingin mengembangkan SIM seluler.

Meskipun saat ini hanya sedikit negara bagian yang menerbitkannya surat izin mengemudi digitalkebijakan federal yang menetapkan dokumen digital sebagai standar verifikasi identitas dapat menyebabkan lebih banyak negara bagian mengadopsi lisensi digital dan lembaga pemerintah lainnya mengeluarkan tanda pengenal digital mereka sendiri.​

Perintah tersebut juga menginstruksikan Institut Standar dan Teknologi Nasional (NIST) untuk, dalam waktu 270 hari, mengeluarkan panduan implementasi untuk mendukung verifikasi ID digital jarak jauh. Meskipun panduan ini mungkin ditujukan untuk lembaga pemerintah yang berupaya mendukung verifikasi tanda pengenal digital, panduan ini juga kemungkinan akan menetapkan standar yang dapat diikuti oleh bank dan credit unions.

Semua upaya ini pada gilirannya dapat memberikan bank cara yang lebih aman untuk memverifikasi identitas nasabah, sehingga berpotensi mengurangi penipuan dan kejahatan keuangan.

Departemen Keuangan dapat memberi tahu individu tentang penipuan tunjangan publik

Perintah tersebut menginstruksikan Departemen Keuangan dan Administrasi Pelayanan Umum untuk meneliti, mengembangkan dan melakukan program percontohan untuk teknologi yang memberi tahu individu dan entitas ketika informasi identitas mereka digunakan untuk meminta pembayaran dari a program manfaat publik.

Teknologi ini dimaksudkan untuk memberikan individu dan entitas pilihan untuk menghentikan transaksi yang berpotensi penipuan sebelum terjadi dan melaporkan transaksi penipuan kepada lembaga penegak hukum.

Meskipun teknologi ini mungkin tidak berdampak langsung pada bank, teknologi ini dapat menciptakan standar untuk menginformasikan konsumen tentang penipuan yang dilakukan dengan menggunakan identitas mereka yang diharapkan dapat diikuti oleh bank dan credit unions.

Mempromosikan enkripsi ujung ke ujung dan email

Dalam upaya mengamankan komunikasi federal, perintah eksekutif tersebut menginstruksikan lembaga-lembaga untuk mengenkripsi pesan email dan, “jika memungkinkan,” menggunakan enkripsi ujung ke ujung. Perubahan pada enkripsi email harus dilakukan dalam waktu 120 hari, dan lembaga harus mengaktifkan enkripsi ujung ke ujung secara default dalam waktu 180 hari.

Perubahan ini terjadi kurang dari sebulan setelah Badan Keamanan Siber dan Infrastruktur (CISA) pedoman yang dikeluarkan kepada pejabat senior pemerintah dan politisi untuk mengadopsi komunikasi terenkripsi ujung ke ujung, yang berarti mengabaikan panggilan telepon dan pesan teks biasa, yang keduanya tidak terenkripsi ujung ke ujung.

Ketika saluran tidak memiliki enkripsi end-to-end, penegak hukum dan pihak kriminal yang tidak berwenang dapat mendengarkannya. Kemampuan penyadapan ini, dan khususnya penyalahgunaannya oleh penjahat dunia maya, baru-baru ini muncul ketika para pejabat AS menemukan bahwa kelompok peretas Tiongkok Salt Typhoon telah mengakses sejumlah besar saluran. Metadata orang Amerika dalam sapuan pengawasan yang membahayakan sembilan perusahaan telekomunikasi.

Serangan ini telah menghancurkan kepercayaan terhadap infrastruktur dan protokol lama yang mendasari panggilan telepon dan pesan teks. Pada konferensi pers bulan DesemberAnne Neuberger, wakil penasihat keamanan nasional untuk dunia maya dan teknologi baru, mengatakan kepada wartawan bahwa jaringan telekomunikasi yang mendukung panggilan dan SMS “tidak dapat dipertahankan sebagaimana mestinya untuk melawan aktor dunia maya yang memiliki sumber daya yang baik, mampu, dan menyerang seperti Tiongkok .”

Mengadaptasi jaringan federal untuk perburuan ancaman yang lebih baik

Perintah eksekutif tersebut memungkinkan CISA mendapatkan akses tepat waktu ke data dari perangkat lunak keamanan siber yang dipasang di lembaga-lembaga federal termasuk Departemen Keuangan, Kantor Pengawas Mata Uang, dan Federal Deposit Insurance Corporation.

Perubahan ini relevan bagi bank karena pemerintah federal secara rutin berkomunikasi dengan perusahaan di sektor infrastruktur penting, termasuk keuangantentang ancaman dunia maya yang mungkin mempengaruhi mereka. Perubahan yang memungkinkan CISA mengumpulkan intelijen ancaman yang lebih baik dapat mengarah pada hilirisasi intelijen ancaman yang lebih baik dan lebih tepat waktu yang dibagikan oleh pemerintah kepada bank dan credit unions.

Perintah tersebut secara khusus mengharuskan CISA untuk memasang alat pengumpulan data dari solusi deteksi dan respons titik akhir (EDR) yang dipasang di lembaga federal dan pusat operasi mereka. Hal ini akan mendukung upaya perburuan ancaman di CISA, yang melibatkan analisis log jaringan dan komputer untuk mempelajari ancaman keamanan siber seiring perkembangan dan perkembangannya.

Bergerak menuju enkripsi pasca-kuantum

Perintah eksekutif tersebut akan membantu bank mengidentifikasi produk yang dapat mereka gunakan untuk mendukung hal tersebut kriptografi pasca-kuantumalgoritma enkripsi generasi baru dan teknologi komunikasi yang aman. Teknologi ini akan memungkinkan bank mengamankan data mereka dari dekripsi di masa depan dengan komputer kuantum yang mampu memecahkan enkripsi klasik.

Perintah tersebut secara khusus menginstruksikan CISA untuk, dalam waktu 180 hari, merilis dan memperbarui secara berkala daftar “kategori produk” yang secara luas mendukung kriptografi pasca-kuantum. Daftar ini dapat membantu bank mengidentifikasi produk yang dapat mereka gunakan untuk mengamankan komunikasi dan data mereka.

Untuk mendukung pergerakan menuju kriptografi pasca-kuantum, perintah tersebut juga menetapkan persyaratan bagi lembaga keamanan nasional dan sipil untuk mengadopsi protokol Transport Layer Security (TLS) versi 1.3 atau lebih baru pada Januari 2030.

TLS adalah protokol dasar untuk mengamankan lalu lintas internet. Meskipun versi TLS sebelumnya mendukung enkripsi pasca-kuantum, versi terbaru lebih aman dan lebih cepat, dan penelitian tentang bagaimana standar enkripsi baru akan berdampak pada TLS telah difokuskan pada versi 1.3.