Kľúčové poznatky
- Úrad IRS upustil od plánov používať rozpoznávanie tváre na overovanie totožnosti daňových poplatníkov.
- Oddelenie si je teraz vedomé dôsledkov svojho teraz stiahnutého plánu na bezpečnosť/ochranu súkromia.
-
Odborníci na bezpečnosť a súkromie navrhli niekoľko realizovateľných alternatív rešpektujúcich súkromie.
Používanie rozpoznávania tváre na overenie identity jednotlivca, podľa plánu IRS, ktorý teraz pripomína, nebolo nikdy tým správnym prístupom, presadzujte expertov na bezpečnosť a súkromie.
Chyba IRS od chvíle, keď bola oznámená, prilákala ochrancov súkromia. 7. februára 2022 sa k zboru pripojilo niekoľko zákonodarcov, ktorí naliehali na IRS, aby zmenili svoje rozhodnutie, čo ministerstvo krátko nato urobilo a namiesto toho sľúbilo, že preskúma iné možnosti.
„Úrad IRS berie súkromie a bezpečnosť daňových poplatníkov vážne a chápeme obavy, ktoré boli vznesené,“poznamenal komisár IRS Chuck Rettig, keď odvolal svoje rozhodnutie. „Každý by sa mal cítiť dobre v tom, ako sú zabezpečené jeho osobné informácie, a my rýchlo hľadáme krátkodobé možnosti, ktoré nezahŕňajú rozpoznávanie tváre.“
Saving Face
Agentúra plánovala použiť autentifikačnú technológiu od ID.me a požiadala používateľov, aby spoločnosti odoslali video selfie, aby mali prístup k svojim online účtom.
Jay Paz, hlavný riaditeľ doručovania v Cob alt, povedal Lifewire e-mailom, že hoci sa biometria vďaka smartfónom a inteligentným zariadeniam stala súčasťou nášho každodenného života, jej používanie na autentifikáciu bolo dobrovoľné.
„Pre citlivejšie systémy a údaje, ako napríklad to, ku ktorým má prístup IRS, je dôležité mať transparentnosť v oblasti technológie a procesov, ktoré budú chrániť údaje používateľov,“zdôraznil Paz.
Tim Erlin, viceprezident pre stratégiu v Tripwire, súhlasil a prostredníctvom e-mailu pre Lifewire povedal, že hoci technológia rozpoznávania tváre je vo všeobecnosti polarizujúca, pre mnohých je myšlienka dôverovať tretej strane pri správe takýchto osobných údajov neprijateľná.
„Ak by Spojené štáty mali silný zákon na ochranu súkromia, ktorý by chránil biometrické informácie jednotlivcov, bola by to iná situácia. Bez akejkoľvek ochrany údajov amerických občanov by však prijatie tejto technológie v tomto rozsahu bolo porušenie ochrany osobných údajov,“povedal Lecio DePaula Jr., viceprezident pre ochranu údajov v KnowBe4, Lifewire e-mailom.
Potom je tu skutočnosť, že nie všetci ľudia majú prístup k možnostiam biometrickej autentifikácie, na čo upozornil Paul Laudanski, vedúci oddelenia spravodajstva o hrozbách v Tessian, Lifewire prostredníctvom e-mailu. Usúdil, že to môže byť spôsobené niekoľkými faktormi, ako je napríklad nedostatočný prístup k spoľahlivým internetovým službám alebo zariadeniam s kompatibilnými kamerami a senzormi.
Životaschopné alternatívy
DePaula Jr. verí, že plán IRS bol jednou z tých situácií, kde ciele neospravedlňujú prostriedky.
Portál môže byť rovnako bezpečný, ak využije požiadavky na silné heslo, ako aj dvojfaktorovú autentifikáciu pre koncových používateľov, čo je oveľa lacnejší, menej rušivý a nezaujatý spôsob zabezpečenia portálu bez potreby využiť tretiu stranu,“povedal.
Paz podporuje aj takéto sekundárne metódy overovania identity, najmä používanie aplikácií na jednorazové heslo, ako je Google Authenticator. Alternatívne navrhol, že IRS môže tiež skúsiť použiť overené telefónne čísla na odoslanie SMS kódu používateľom, čo je možno najdostupnejšie riešenie dostupné prakticky všetkým používateľom všetkých vekových kategórií.
„Pre citlivejšie systémy a údaje… je životne dôležité mať transparentnosť v oblasti technológie a procesov, ktoré budú chrániť údaje používateľov.“
Predtým, než sa však zameria na riešenie, Darren Cooper, technický riaditeľ spoločnosti Egress, prostredníctvom e-mailu spoločnosti Lifewire vysvetlil, že IRS bude musieť zabezpečiť, aby mechanizmus, ktorý vyberie, chráni údaje daňových poplatníkov bez toho, aby sa zaviedli problémy s dostupnosťou.
Navrhol, že ak chce oddelenie uprednostniť vyššiu úroveň bezpečnosti, mohlo by použiť fyzické prostriedky osobnej autentifikácie, ako je napríklad bezpečnostný kľúč RSA. Táto metóda je však logisticky náročná. Overenie SMS je potenciálne menej zložitá možnosť, ale Cooper dodal, že bude fungovať iba vtedy, ak má oddelenie známe mobilné číslo pre každého.
Úrad IRS by mal zvážiť aj požiadavku predchádzajúcej interakcie s používateľom s cieľom potvrdiť jeho identitu predtým, ako bude môcť pristupovať k službe. Môžu napríklad vyžadovať, aby daňoví poplatníci zadali jedinečné identifikačné údaje, ako sú čísla sociálneho zabezpečenia alebo pasu, ktoré môže úrad IRS interne skontrolovať pred vydaním online prihlásenia. Logistická réžia je tu väčšia, ale zaisťuje, že je možné dosiahnuť vyššiu úroveň bezpečnosti,“navrhol Cooper.
Aj keď IRS neuviedol alternatívy, ktoré skúma, je jasné, že možností nie je nedostatok.
Aj keď spoločne volali IRS za zvrátenie svojho rozhodnutia, bezpečnostní experti poukazujú na to, že iní vo vláde, najmä ministerstvo pre záležitosti veteránov, stále používajú rovnakú základnú službu rozpoznávania tváre na účely overenia identity.
Toto je niečo, čo si DePaula Jr. veľmi dobre uvedomuje a dúfa, že IRS „začne ísť správnym smerom, pretože akonáhle jedna vládna agentúra prijme normu, ostatné ju začnú nasledovať.“
