Klíčové poznatky
- Úřad IRS upustil od plánů používat rozpoznávání obličeje k ověřování daňových poplatníků.
- Oddělení si je nyní vědomo důsledků svého nyní staženého plánu na bezpečnost/ochranu soukromí.
-
Odborníci na bezpečnost a soukromí navrhli několik schůdných alternativ respektujících soukromí.
Použití rozpoznávání obličeje k ověření identity jednotlivce, podle plánu IRS, který nyní připomíná, nebylo nikdy tím správným přístupem, prosazujte odborníky na bezpečnost a soukromí.
Chyba IRS od chvíle, kdy byla oznámena, přitahovala od zastánce soukromí neblahé. Dne 7. února 2022 se ke sboru připojilo několik zákonodárců, kteří naléhali na IRS, aby své rozhodnutí zvrátil, což ministerstvo brzy poté učinilo a místo toho slíbilo, že prozkoumá jiné možnosti.
„Úřad IRS bere soukromí a bezpečnost daňových poplatníků vážně a chápeme obavy, které byly vzneseny,“poznamenal komisař IRS Chuck Rettig, když rozhodnutí odvolal. "Každý by se měl cítit dobře s tím, jak jsou jeho osobní údaje zabezpečeny, a my rychle sledujeme krátkodobé možnosti, které nezahrnují rozpoznávání obličeje."
Saving Face
Agentura plánovala použít ověřovací technologii od ID.me a požádala uživatele, aby společnosti odeslali video selfie, aby měli přístup ke svým online účtům.
Jay Paz, Senior Director of Delivery ve společnosti Cob alt, řekl Lifewire e-mailem, že biometrie se sice díky chytrým telefonům a chytrým zařízením staly součástí našeho každodenního života, ale jejich použití pro ověřování bylo dobrovolné.
„Pro citlivější systémy a data, jako jsou ta, k nimž má přístup IRS, je životně důležité mít transparentní technologie a procesy, které budou chránit data uživatelů,“zdůraznil Paz.
Tim Erlin, viceprezident pro strategii ve společnosti Tripwire, souhlasil a prostřednictvím e-mailu řekl Lifewire, že ačkoli technologie rozpoznávání obličeje obecně polarizuje, pro mnohé je myšlenka důvěřovat třetí straně při správě takových osobních údajů nepřijatelná.
„Pokud by Spojené státy měly silný zákon na ochranu soukromí, který by chránil biometrické informace jednotlivců, byla by to jiná situace. Bez jakékoli ochrany údajů amerických občanů by však přijetí této technologie v tomto rozsahu bylo porušení ochrany osobních údajů,“řekl Lecio DePaula Jr., viceprezident pro ochranu dat ve společnosti KnowBe4, Lifewire e-mailem.
Pak je tu skutečnost, že ne všichni lidé mají přístup k biometrickým autentizačním schopnostem, na což upozornil Paul Laudanski, vedoucí zpravodajství hrozeb ve společnosti Tessian, Lifewire prostřednictvím e-mailu. Usoudil, že by to mohlo být způsobeno několika faktory, jako je nedostatečný přístup ke spolehlivým internetovým službám nebo zařízení s kompatibilními kamerami a senzory.
Životaschopné alternativy
DePaula Jr. věří, že plán IRS byl jednou z těch situací, kdy cíle neospravedlňují prostředky.
Portál může být stejně zabezpečený využitím požadavků na silné heslo a také dvoufaktorové autentizace pro koncové uživatele, což je mnohem levnější, méně rušivý a nezaujatý způsob, jak zabezpečit portál bez nutnosti využít třetí stranu,“řekl.
Paz také podporuje takové sekundární metody ověřování identity, zejména použití aplikací s jednorázovým heslem, jako je Google Authenticator. Alternativně navrhl, aby IRS také zkusil použít ověřená telefonní čísla k odeslání SMS kódu uživatelům, což je možná nejdostupnější řešení dostupné prakticky všem uživatelům všech věkových kategorií.
„Pro citlivější systémy a data… je životně důležité mít transparentní technologie a procesy, které ochrání data uživatelů.“
Než se však zaměří na řešení, Darren Cooper, technický ředitel společnosti Egress, prostřednictvím e-mailu společnosti Lifewire vysvětlil, že IRS bude muset zajistit, aby mechanismus, který vybere, ochrání data daňových poplatníků, aniž by zaváděl problémy s přístupností.
Navrhl, že pokud chce oddělení upřednostnit vyšší úroveň zabezpečení, mohlo by použít fyzické prostředky osobní autentizace, jako je bezpečnostní klíč RSA. Tato metoda je však logisticky náročná. SMS autentizace je potenciálně méně složitá možnost, ale Cooper dodal, že bude fungovat pouze v případě, že má oddělení známé mobilní číslo pro každého.
Úřad IRS by měl také zvážit požadavek na předchozí interakci s uživatelem za účelem potvrzení jeho identity před tím, než bude moci přistupovat ke službě. Mohli by například požadovat, aby daňoví poplatníci zadali jedinečné identifikační údaje, jako je číslo sociálního zabezpečení nebo číslo pasu., kterou může IRS interně zkontrolovat před vydáním online přihlášení. Logistická režie je zde vyšší, ale zajišťuje, že lze dosáhnout vyšší úrovně zabezpečení,“navrhl Cooper.
IRS sice neuvedl seznam alternativ, které zkoumá, je jasné, že možností není nedostatek.
I když společně chválili IRS za to, že změnil své rozhodnutí, bezpečnostní experti poukazují na to, že jiní ve vládě, zejména ministerstvo pro záležitosti veteránů, stále používají stejnou základní službu rozpoznávání obličeje pro účely ověření identity.
To je něco, čeho si je DePaula Jr. dobře vědoma a doufá, že IRS „začne jít správným směrem, protože jakmile jedna vládní agentura přijme standard, ostatní se začnou řídit.“
