Βασικά Takeaways
- Η IRS απέσυρε τα σχέδια για χρήση της αναγνώρισης προσώπου για τον έλεγχο ταυτότητας των φορολογουμένων.
- Το τμήμα έχει πλέον επίγνωση των επιπτώσεων ασφάλειας/απόρρητου του τώρα αποσυρθέντος σχεδίου του.
-
Εμπειρογνώμονες σε θέματα ασφάλειας και απορρήτου έχουν προτείνει διάφορες βιώσιμες εναλλακτικές λύσεις που σέβονται το απόρρητο.
Η χρήση της αναγνώρισης προσώπου για την επαλήθευση της ταυτότητας ενός ατόμου, σύμφωνα με το σχέδιο που ανακαλείται τώρα από την IRS, δεν ήταν ποτέ η σωστή προσέγγιση, ισχυρίζονται ειδικοί στην ασφάλεια και το απόρρητο.
Η κίνηση της IRS προκάλεσε αντιδράσεις από τους υποστηρικτές της ιδιωτικής ζωής από τη στιγμή που ανακοινώθηκε. Στις 7 Φεβρουαρίου 2022, αρκετοί νομοθέτες εντάχθηκαν στη χορωδία προτρέποντας την IRS να ανακαλέσει την απόφασή της, κάτι που το τμήμα έκανε αμέσως μετά, υποσχόμενος αντ' αυτού να διερευνήσει άλλες επιλογές.
"Το IRS λαμβάνει σοβαρά υπόψη το απόρρητο και την ασφάλεια των φορολογουμένων και κατανοούμε τις ανησυχίες που έχουν εκφραστεί", σημείωσε ο επίτροπος της IRS Τσακ Ρέττιγκ καθώς ανακάλεσε την απόφαση. "Όλοι θα πρέπει να αισθάνονται άνετα με τον τρόπο με τον οποίο προστατεύονται τα προσωπικά τους στοιχεία και επιδιώκουμε γρήγορα βραχυπρόθεσμες επιλογές που δεν περιλαμβάνουν αναγνώριση προσώπου."
Αποθήκευση προσώπου
Η εταιρεία σχεδίαζε να χρησιμοποιήσει τεχνολογία ελέγχου ταυτότητας από το ID.me και είχε ζητήσει από τους χρήστες να υποβάλουν βίντεο selfie στην εταιρεία για πρόσβαση στους διαδικτυακούς τους λογαριασμούς.
Ο Τζέι Παζ, Ανώτερος Διευθυντής Παράδοσης στην Cob alt, είπε στο Lifewire μέσω email ότι ενώ τα βιομετρικά στοιχεία έχουν γίνει μέρος της καθημερινότητάς μας, χάρη στα smartphone και τις έξυπνες συσκευές, η χρήση τους για έλεγχο ταυτότητας ήταν εθελοντική.
"Για πιο ευαίσθητα συστήματα και δεδομένα, όπως αυτά στα οποία έχει πρόσβαση η IRS, είναι ζωτικής σημασίας να υπάρχει διαφάνεια στην τεχνολογία και τις διαδικασίες που θα προστατεύουν τα δεδομένα των χρηστών", επεσήμανε ο Παζ.
Ο Tim Erlin, Αντιπρόεδρος Στρατηγικής της Tripwire, συμφώνησε και είπε στο Lifewire μέσω email ότι, ενώ η τεχνολογία αναγνώρισης προσώπου πολώνεται γενικά, για πολλούς, η ιδέα να εμπιστεύονται τρίτους για τη διαχείριση τέτοιων προσωπικών δεδομένων είναι απαράδεκτη.
"Εάν οι Ηνωμένες Πολιτείες είχαν έναν ισχυρό νόμο περί απορρήτου που προστάτευε τις βιομετρικές πληροφορίες των ατόμων, θα ήταν μια διαφορετική κατάσταση. Ωστόσο, χωρίς καμία προστασία για τα δεδομένα των Αμερικανών πολιτών, η υιοθέτηση αυτής της τεχνολογίας σε αυτήν την κλίμακα θα ήταν παραβίαση απορρήτου, " είπε ο Lecio DePaula Jr., Αντιπρόεδρος Προστασίας Δεδομένων στο KnowBe4, στο Lifewire μέσω email.
Έπειτα, υπάρχει το γεγονός ότι δεν έχουν όλοι οι άνθρωποι πρόσβαση σε δυνατότητες βιομετρικής επαλήθευσης ταυτότητας, κάτι που επισήμανε ο Paul Laudanski, επικεφαλής της υπηρεσίας πληροφοριών απειλών στο Tessian, στο Lifewire μέσω email. Σκέφτηκε ότι αυτό μπορεί να οφείλεται σε διάφορους παράγοντες, όπως η έλλειψη πρόσβασης σε αξιόπιστες υπηρεσίες διαδικτύου ή συσκευές με συμβατές κάμερες και αισθητήρες.
Βιώσιμες εναλλακτικές λύσεις
Η DePaula Jr. πιστεύει ότι το σχέδιο της IRS ήταν μία από εκείνες τις περιπτώσεις όπου οι στόχοι δεν αγνοούν τα μέσα.
Η πύλη μπορεί να είναι εξίσου ασφαλής αξιοποιώντας ισχυρές απαιτήσεις κωδικού πρόσβασης καθώς και έλεγχο ταυτότητας δύο παραγόντων για τους τελικούς χρήστες, που είναι ένας πολύ πιο φθηνός, λιγότερο παρεμβατικός και αμερόληπτος τρόπος για να ασφαλίσετε την πύλη χωρίς να χρειάζεται για να αξιοποιήσει ένα τρίτο μέρος», είπε.
Το Paz τάσσεται επίσης υπέρ αυτών των δευτερευουσών μεθόδων επαλήθευσης ταυτότητας, ιδιαίτερα της χρήσης εφαρμογών κωδικού πρόσβασης μίας χρήσης που βασίζονται σε χρόνο, όπως ο Επαληθευτής Google. Εναλλακτικά, πρότεινε ότι η IRS μπορεί επίσης να δοκιμάσει να χρησιμοποιήσει επαληθευμένους αριθμούς τηλεφώνου για να στείλει έναν κωδικό SMS στους χρήστες, η οποία είναι ίσως η πιο ευρέως προσβάσιμη λύση που είναι διαθέσιμη σε όλους σχεδόν τους χρήστες όλων των ηλικιών.
"Για πιο ευαίσθητα συστήματα και δεδομένα… είναι ζωτικής σημασίας να υπάρχει διαφάνεια στην τεχνολογία και τις διαδικασίες που θα προστατεύουν τα δεδομένα των χρηστών."
Πριν καταλήξει σε μια λύση, ωστόσο, ο Darren Cooper, CTO στο Egress, εξήγησε στο Lifewire μέσω email ότι η IRS θα πρέπει να διασφαλίσει ότι ο μηχανισμός που επιλέγει μπορεί να προστατεύει τα δεδομένα των φορολογουμένων χωρίς να εισάγει προβλήματα προσβασιμότητας.
Πρότεινε ότι εάν το τμήμα θέλει να δώσει προτεραιότητα σε ένα υψηλότερο επίπεδο ασφάλειας, θα μπορούσε να χρησιμοποιήσει φυσικά μέσα προσωπικού ελέγχου ταυτότητας, όπως ένα κλειδί ασφαλείας RSA. Αυτή η μέθοδος, ωστόσο, είναι υλικοτεχνικά πολύπλοκη. Ο έλεγχος ταυτότητας SMS είναι μια δυνητικά λιγότερο περίπλοκη επιλογή, αλλά ο Cooper πρόσθεσε ότι θα λειτουργήσει μόνο εάν το τμήμα έχει έναν γνωστό αριθμό κινητού τηλεφώνου για όλους.
Η IRS θα πρέπει επίσης να εξετάσει την απαίτηση για προηγούμενη αλληλεπίδραση με τον χρήστη για επιβεβαίωση της ταυτότητάς του προτού μπορέσει να αποκτήσει πρόσβαση στην υπηρεσία. Για παράδειγμα, θα μπορούσε να απαιτήσει από τους φορολογούμενους να εισάγουν μοναδικά στοιχεία ταυτότητας, όπως αριθμούς κοινωνικής ασφάλισης ή διαβατηρίου, το οποίο μπορεί να ελεγχθεί από την IRS εσωτερικά πριν από την έκδοση μιας ηλεκτρονικής σύνδεσης. Τα έξοδα επιμελητείας εδώ είναι μεγαλύτερα, αλλά διασφαλίζουν ότι μπορεί να επιτευχθεί υψηλότερο επίπεδο ασφάλειας», πρότεινε ο Cooper.
Αν και η IRS δεν έχει αναφέρει τις εναλλακτικές που διερευνά, σαφώς, δεν υπάρχει έλλειψη επιλογών.
Ακόμη και όταν χαιρέτησαν συλλογικά την IRS για την ανατροπή της απόφασής της, οι ειδικοί σε θέματα ασφάλειας επισημαίνουν ότι άλλοι στην κυβέρνηση, κυρίως το Υπουργείο Υποθέσεων Βετεράνων, εξακολουθούν να χρησιμοποιούν την ίδια υποκείμενη υπηρεσία αναγνώρισης προσώπου για σκοπούς επαλήθευσης ταυτότητας.
Αυτό είναι κάτι που η DePaula Jr. γνωρίζει πολύ καλά και ελπίζει ότι η IRS "αρχίζει να κατευθύνεται προς τη σωστή κατεύθυνση, επειδή μόλις ένας κυβερνητικός οργανισμός υιοθετήσει ένα πρότυπο, αρχίζουν να ακολουθούν και άλλοι."
