Folje kryesore
- IRS ka hequr dorë nga planet për të përdorur njohjen e fytyrës për vërtetimin e tatimpaguesve.
- Departamenti tani është i vetëdijshëm për implikimet e sigurisë/privatësisë së planit të tij të tërhequr tani.
-
Ekspertët e sigurisë dhe privatësisë kanë sugjeruar disa alternativa të zbatueshme për respektimin e privatësisë.
Përdorimi i njohjes së fytyrës për të verifikuar identitetin e një individi, sipas planit të tërhequr tani nga IRS, nuk ishte kurrë qasja e duhur, pohojnë ekspertë të sigurisë dhe privatësisë.
Lëvizja e IRS tërhoqi tullat e tullave nga avokatët e privatësisë që nga momenti i shpalljes. Më 7 shkurt 2022, disa ligjvënës iu bashkuan korit duke i kërkuar IRS të anulonte vendimin e saj, të cilin departamenti e bëri menjëherë më pas, duke premtuar në vend të kësaj të eksploronte opsione të tjera.
"IRS e merr seriozisht privatësinë dhe sigurinë e taksapaguesve dhe ne i kuptojmë shqetësimet që janë ngritur," vuri në dukje komisioneri i IRS, Chuck Rettig, ndërsa hoqi dorë nga vendimi. "Të gjithë duhet të ndihen rehat me mënyrën se si sigurohen informacioni i tyre personal dhe ne po ndjekim shpejt opsionet afatshkurtra që nuk përfshijnë njohjen e fytyrës."
Ruajtja e fytyrës
Agjencia planifikoi të përdorte teknologjinë e vërtetimit nga ID.me dhe u kishte kërkuar përdoruesve të dërgonin video selfie në kompani për të hyrë në llogaritë e tyre në internet.
Jay Paz, Drejtor i Lartë i Dorëzimit në Cob alt, i tha Lifewire përmes emailit se ndërsa biometria është bërë pjesë e jetës sonë të përditshme, falë telefonave inteligjentë dhe pajisjeve inteligjente, përdorimi i saj për vërtetim ka qenë vullnetar.
"Për sisteme dhe të dhëna më të ndjeshme, si ato në të cilat IRS ka akses, është jetike që të ketë transparencë në teknologjinë dhe proceset që do të mbrojnë të dhënat e përdoruesve," vuri në dukje Paz.
Tim Erlin, VP i Strategjisë në Tripwire, ra dakord dhe i tha Lifewire përmes emailit se ndërsa teknologjia e njohjes së fytyrës po polarizohet në përgjithësi, për shumë njerëz, ideja për t'i besuar një pale të tretë për të menaxhuar të dhëna të tilla personale është e papranueshme.
"Nëse Shtetet e Bashkuara do të kishin një ligj të fortë për privatësinë që mbronte informacionin biometrik të individëve, kjo do të ishte një situatë tjetër. Megjithatë, pa asnjë mbrojtje për të dhënat e qytetarëve amerikanë, adoptimi i kësaj teknologjie në këtë shkallë do të ishte keqpërdorim privatësie, " i tha Lecio DePaula Jr., VP i Mbrojtjes së të Dhënave në KnowBe4, për Lifewire përmes emailit.
Pastaj është fakti që jo të gjithë njerëzit kanë akses në aftësitë e vërtetimit biometrik, diçka që Paul Laudanski, Shefi i Inteligjencës së Kërcënimeve në Tessian, vuri në dukje për Lifewire përmes emailit. Ai arsyetoi se kjo mund të jetë për shkak të disa faktorëve, të tillë si mungesa e aksesit në shërbime të besueshme të internetit ose pajisje me kamera dhe sensorë të pajtueshëm.
Alternativa të qëndrueshme
DePaula Jr. beson se plani i IRS ishte një nga ato situata ku qëllimet nuk justifikojnë mjetet.
"Portali mund të jetë po aq i sigurt duke shfrytëzuar kërkesat e forta të fjalëkalimit si dhe vërtetimin me dy faktorë për përdoruesit fundorë, që është një mënyrë shumë më e lirë, më pak ndërhyrëse dhe e paanshme për të siguruar portalin pa pasur nevojë për të shfrytëzuar një palë të tretë, " mendoi ai.
Paz është gjithashtu në favor të metodave të tilla dytësore të verifikimit të identitetit, veçanërisht përdorimin e aplikacioneve me fjalëkalim një herë të bazuar në kohë, si p.sh. Google Authenticator. Përndryshe, ai sugjeroi se IRS mund të provojë gjithashtu të përdorë numrat e verifikuar të telefonit për t'i shkruar një kod SMS përdoruesve, që është ndoshta zgjidhja më e aksesueshme e disponueshme për pothuajse të gjithë përdoruesit e të gjitha moshave.
"Për sisteme dhe të dhëna më të ndjeshme… është jetike të kemi transparencë në teknologjinë dhe proceset që do të mbrojnë të dhënat e përdoruesve."
Para se të zeroi një zgjidhje, megjithatë, Darren Cooper, CTO në Egress, shpjegoi për Lifewire përmes emailit që IRS do të duhet të sigurojë që mekanizmi që ajo zgjedh mund të mbrojë të dhënat e taksapaguesve pa futur çështje të aksesueshmërisë.
Ai sugjeroi që nëse departamenti dëshiron t'i japë përparësi një niveli më të lartë sigurie, ata mund të përdorin mjete fizike të vërtetimit personal, si p.sh. një çelës sigurie RSA. Sidoqoftë, kjo metodë është komplekse logjistike. Vërtetimi i SMS-ve është një opsion potencialisht më pak kompleks, por Cooper shtoi se do të funksionojë vetëm nëse departamenti ka një numër celular të njohur për të gjithë.
"IRS duhet gjithashtu të marrë në konsideratë një kërkesë për ndërveprim paraprak me përdoruesin për të konfirmuar identitetin e tyre përpara se ai të mund të hyjë në shërbim. Për shembull, ata mund të kërkojnë që taksapaguesit të fusin detaje unike të identifikimit, si p.sh. numrat e sigurimeve shoqërore ose të pasaportës, të cilat mund të kontrollohen nga IRS brenda vendit përpara se të lëshohet një hyrje në internet. Shpenzimet logjistike këtu janë më të mëdha, por siguron që mund të arrihet një nivel më i lartë sigurie, " sugjeroi Cooper.
Ndërsa IRS nuk ka renditur alternativat që po eksploron, qartësisht, nuk ka mungesë opsionesh.
Edhe pse ata përshëndetën kolektivisht IRS për ndryshimin e vendimit të saj, ekspertët e sigurisë theksojnë se të tjerët në qeveri, veçanërisht Departamenti i Çështjeve të Veteranëve, përdorin ende të njëjtin shërbim themelor të njohjes së fytyrës për qëllime të verifikimit të identitetit.
Kjo është diçka që DePaula Jr. e di mirë dhe shpreson se IRS "fillon të shkojë në drejtimin e duhur, sepse sapo një agjenci qeveritare miraton një standard, të tjerat fillojnë ta ndjekin."