Atslēgas līdzņemšanai
- IRS ir atteikusies no plāniem izmantot sejas atpazīšanu nodokļu maksātāju autentifikācijai.
- Nodaļa tagad apzinās sava tagad atsauktā plāna drošības/privātuma ietekmi.
-
Drošības un privātuma eksperti ir ierosinājuši vairākas dzīvotspējīgas, privātumu respektējošas alternatīvas.
Sejas atpazīšanas izmantošana personas identitātes pārbaudei saskaņā ar IRS tagad atsaukto plānu nekad nav bijusi pareizā pieeja, apgalvo drošības un privātuma eksperti.
IRS solis jau no brīža, kad tas tika paziņots, piesaistīja privātuma aizstāvjus. 2022. gada 7. februārī vairāki likumdevēji pievienojās korim, kas mudināja IRS atcelt savu lēmumu, ko departaments izdarīja drīz pēc tam, solot tā vietā izpētīt citas iespējas.
"IRS nopietni uztver nodokļu maksātāju privātumu un drošību, un mēs saprotam izteiktās bažas," norādīja IRS komisārs Čaks Retigs, atsakoties no lēmuma. "Ikvienam vajadzētu justies apmierināti ar to, kā tiek aizsargāta viņu personiskā informācija, un mēs ātri meklējam īstermiņa iespējas, kas neietver sejas atpazīšanu."
Sejas saglabāšana
Aģentūra plānoja izmantot ID.me autentifikācijas tehnoloģiju un bija lūgusi lietotājus iesniegt uzņēmumam video pašbildes, lai piekļūtu saviem tiešsaistes kontiem.
Jay Paz, Cob alt vecākais piegādes direktors, Lifewire pa e-pastu pastāstīja, ka, lai gan biometrija ir kļuvusi par mūsu ikdienas sastāvdaļu, pateicoties viedtālruņiem un viedierīcēm, tās izmantošana autentifikācijai ir bijusi brīvprātīga.
“Sensitīvākām sistēmām un datiem, piemēram, tiem, kam IRS ir piekļuve, ir ļoti svarīgi nodrošināt tehnoloģiju un procesu pārredzamību, kas aizsargās lietotāju datus,” norādīja Pazs.
Tims Erlins, Tripwire stratēģijas viceprezidents, piekrita un e-pastā Lifewire pastāstīja, ka, lai gan sejas atpazīšanas tehnoloģija kopumā polarizējas, daudziem ideja uzticēties trešajai pusei šādu personas datu pārvaldībā ir nepieņemama.
"Ja Amerikas Savienotajās Valstīs būtu stingrs privātuma likums, kas aizsargātu personu biometrisko informāciju, situācija būtu citāda. Tomēr bez jebkādas Amerikas pilsoņu datu aizsardzības šīs tehnoloģijas pieņemšana šādā mērogā būtu apgrūtinoša. privātuma pārkāpums, "Lecio DePaula Jr., KnowBe4 datu aizsardzības viceprezidents, pastāstīja Lifewire pa e-pastu.
Tad ir fakts, ka ne visiem cilvēkiem ir piekļuve biometriskās autentifikācijas iespējām, ko Pauls Laudanskis, Tessian draudu izlūkošanas vadītājs, norādīja Lifewire pa e-pastu. Viņš norādīja, ka to varētu izraisīt vairāki faktori, piemēram, piekļuves trūkums uzticamiem interneta pakalpojumiem vai ierīcēm ar saderīgām kamerām un sensoriem.
Dzīvotspējīgas alternatīvas
DePaula Jr. uzskata, ka IRS plāns bija viena no tām situācijām, kad mērķis neattaisno līdzekļus.
"Portāls var būt tikpat drošs, izmantojot spēcīgas paroles prasības, kā arī divu faktoru autentifikāciju galalietotājiem, kas ir daudz lētāks, mazāk traucējošs un objektīvs veids, kā nodrošināt portālu bez nepieciešamības lai piesaistītu trešo pusi," viņš uzskatīja.
Paz atbalsta arī šādas sekundārās identitātes verifikācijas metodes, jo īpaši uz laiku balstītu vienreizējas paroles lietotņu, piemēram, Google autentifikatora, izmantošanu. Alternatīvi viņš ieteica IRS arī mēģināt izmantot pārbaudītus tālruņu numurus, lai lietotājiem nosūtītu SMS kodu, kas, iespējams, ir visplašāk pieejamais risinājums, kas pieejams praktiski visiem visu vecumu lietotājiem.
"Sensitīvākām sistēmām un datiem… ir ļoti svarīgi nodrošināt to tehnoloģiju un procesu pārredzamību, kas aizsargās lietotāju datus."
Tomēr, pirms tiek meklēts risinājums, Darens Kūpers, Egress tehniskais direktors, e-pastā Lifewire paskaidroja, ka IRS būs jānodrošina, ka tā izvēlētais mehānisms var aizsargāt nodokļu maksātāju datus, neradot pieejamības problēmas.
Viņš ieteica, ka, ja departaments vēlas noteikt augstāku drošības līmeni, viņi varētu izmantot fiziskus personas autentifikācijas līdzekļus, piemēram, RSA drošības atslēgu piekariņu. Tomēr šī metode ir loģistiski sarežģīta. SMS autentifikācija ir potenciāli mazāk sarežģīta iespēja, taču Kūpers piebilda, ka tā darbosies tikai tad, ja nodaļai ir zināms mobilā tālruņa numurs.
IRS ir jāapsver arī prasība iepriekš sadarboties ar lietotāju, lai apstiprinātu viņa identitāti, pirms viņš var piekļūt pakalpojumam. Piemēram, tā var pieprasīt, lai nodokļu maksātāji ievadītu unikālu ID informāciju, piemēram, sociālās apdrošināšanas vai pases numurus., ko IRS var pārbaudīt iekšēji pirms tiešsaistes pieteikšanās. Loģistikas pieskaitāmās izmaksas šeit ir lielākas, taču tas nodrošina augstāku drošības līmeni,”ieteica Kūpers.
Lai gan IRS nav uzskaitījis alternatīvas, ko tas pēta, ir skaidrs, ka iespēju netrūkst.
Lai gan viņi kopīgi apsveica IRS par lēmuma atcelšanu, drošības eksperti norāda, ka citi valdības locekļi, jo īpaši Veterānu lietu departaments, joprojām izmanto to pašu pamatā esošo sejas atpazīšanas pakalpojumu identitātes verifikācijas nolūkos.
To DePaula jaunākā labi apzinās un cer, ka IRS “sāks iet pareizajā virzienā, jo, tiklīdz viena valsts aģentūra pieņem standartu, citas sāk ievērot.”
