Pagrindiniai pasiėmimai
- IRS atsisakė planų naudoti veido atpažinimą mokesčių mokėtojų tapatybei patvirtinti.
- Departamentas dabar žino savo dabar atšaukto plano saugumo ir privatumo pasekmes.
-
Saugumo ir privatumo ekspertai pasiūlė keletą perspektyvių privatumą gerbiančių alternatyvų.
Saugos ir privatumo ekspertai tvirtina, kad veido atpažinimo naudojimas asmens tapatybei patikrinti pagal dabar atšauktą IRS planą niekada nebuvo tinkamas būdas.
IRS žingsnis nuo tada, kai buvo paskelbtas, pritraukė privatumo gynėjų kliūtis. 2022 m. vasario 7 d. keli įstatymų leidėjai prisijungė prie choro, ragindami IRS atšaukti savo sprendimą, ką departamentas netrukus padarė ir pažadėjo ištirti kitas galimybes.
„IRS rimtai žiūri į mokesčių mokėtojų privatumą ir saugumą, ir mes suprantame susirūpinimą, kuris buvo iškeltas“, – pažymėjo IRS komisaras Chuckas Rettigas, atsisakęs sprendimo. „Kiekvienas turėtų jaustis patogiai, kai yra apsaugota jų asmeninė informacija, o mes greitai ieškome trumpalaikių galimybių, kurios neapima veido atpažinimo.“
Išsaugoti veidą
Agentūra planavo naudoti ID.me autentifikavimo technologiją ir paprašė vartotojų pateikti vaizdo asmenukes įmonei, kad ji galėtų pasiekti savo internetines paskyras.
Jay Paz, vyresnysis „Cob alt“pristatymo direktorius, „Lifewire“el. paštu sakė, kad nors biometriniai duomenys tapo mūsų kasdienio gyvenimo dalimi, dėka išmaniųjų telefonų ir išmaniųjų įrenginių, jos naudojimas autentifikavimui buvo savanoriškas.
„Norint jautresnėms sistemoms ir duomenims, pvz., prie kurių turi prieigą IRS, labai svarbu užtikrinti technologijų ir procesų, kurie apsaugos naudotojų duomenis, skaidrumą“, – pažymėjo Pazas.
Timas Erlinas, „Tripwire“strategijos viceprezidentas, sutiko ir el. paštu Lifewire pasakė, kad nors veido atpažinimo technologija apskritai poliarizuojasi, daugeliui idėja patikėti tokius asmens duomenis tvarkyti trečiajai šaliai yra nepriimtina.
Jei Jungtinėse Valstijose būtų priimtas tvirtas privatumo įstatymas, apsaugantis asmenų biometrinę informaciją, situacija būtų kitokia. Tačiau be jokios Amerikos piliečių duomenų apsaugos šios technologijos pritaikymas tokiu mastu būtų privatumo pažeidimas“, – „Lifewire“el. paštu sakė Lecio DePaula Jr., „KnowBe4“duomenų apsaugos viceprezidentas.
Tada yra faktas, kad ne visi žmonės turi prieigą prie biometrinio autentifikavimo galimybių, ką Paulas Laudanskis, Tessian grėsmių žvalgybos vadovas, nurodė Lifewire el. paštu. Jis svarstė, kad taip galėjo nutikti dėl kelių veiksnių, pvz., prieigos prie patikimų interneto paslaugų ar įrenginių su suderinamomis kameromis ir jutikliais trūkumas.
Gyvenimos alternatyvos
DePaula Jr. mano, kad IRS planas buvo viena iš tų situacijų, kai tikslai nepateisina priemonių.
Portalas gali būti toks pat saugus naudodamas griežtus slaptažodžio reikalavimus ir dviejų veiksnių autentifikavimą galutiniams vartotojams, o tai yra daug nebrangesnis, mažiau įkyrus ir nešališkas būdas apsaugoti portalą be reikalo. pasinaudoti trečiąja šalimi“, – teigė jis.
Paz taip pat pritaria tokiems antriniams tapatybės patvirtinimo metodams, ypač laiko pagrįstų vienkartinių slaptažodžių programų, pvz., „Google Authenticator“, naudojimui. Arba jis pasiūlė IRS taip pat pabandyti naudoti patvirtintus telefono numerius, kad vartotojams išsiųstų SMS kodą, o tai tikriausiai yra plačiausiai prieinamas sprendimas, prieinamas beveik visiems bet kokio amžiaus vartotojams.
„Skelbtesnėms sistemoms ir duomenims… labai svarbu, kad technologijos ir procesai, kurie apsaugos naudotojų duomenis, būtų skaidrūs.“
Prieš nurodant sprendimą, Darren Cooper, Egress CTO, paaiškino Lifewire el. paštu, kad IRS turės užtikrinti, kad jos pasirinktas mechanizmas galėtų apsaugoti mokesčių mokėtojų duomenis nesukeldamas prieinamumo problemų.
Jis pasiūlė, kad jei skyrius nori teikti pirmenybę aukštesniam saugumo lygiui, jie galėtų naudoti fizines asmens autentifikavimo priemones, pvz., RSA saugos raktų pakabuką. Tačiau šis metodas logistiškai sudėtingas. SMS autentifikavimas yra galbūt ne tokia sudėtinga parinktis, tačiau Cooper pridūrė, kad ji veiks tik tuo atveju, jei skyrius turi žinomą mobiliojo telefono numerį.
IRS taip pat turėtų apsvarstyti reikalavimą iš anksto bendrauti su vartotoju, kad patvirtintų savo tapatybę, kad jis galėtų naudotis paslauga. Pavyzdžiui, jie gali reikalauti, kad mokesčių mokėtojai įvestų unikalią ID informaciją, pvz., socialinio draudimo ar paso numerius., kurį IRS gali patikrinti viduje prieš išduodant prisijungimą internetu. Logistikos išlaidos čia yra didesnės, tačiau užtikrinama, kad būtų galima pasiekti aukštesnį saugumo lygį“, – pasiūlė Cooperis.
Nors IRS nenurodė ieškomų alternatyvų, aišku, galimybių netrūksta.
Nr.
DePaula jaunesnysis tai puikiai žino ir tikisi, kad IRS „pradės eiti teisinga kryptimi, nes kai viena vyriausybinė agentūra priima standartą, kitos pradeda vadovautis“.
