Klíčové věci
- IRS upustil od plánů používat rozpoznávání obličeje pro ověřování daňových poplatníků.
- Oddělení si je nyní vědomo důsledků svého nyní staženého plánu na bezpečnost/ochranu soukromí.
- Odborníci na bezpečnost a soukromí navrhli několik životaschopných alternativ respektujících soukromí.
Použití rozpoznávání obličeje k ověření identity jednotlivce, podle nyní připomenutého plánu IRS, nebylo nikdy tím správným přístupem, prosazují odborníci na bezpečnost a soukromí. Krok IRS od chvíle, kdy to bylo oznámeno, přitahoval od obhájců soukromí. Dne 7. února 2022 se několik zákonodárců připojilo ke sboru, který naléhal na IRS, aby své rozhodnutí zvrátil, což ministerstvo brzy poté učinilo a místo toho slíbilo, že prozkoumá jiné možnosti. „Úřad IRS bere soukromí a bezpečnost daňových poplatníků vážně a chápeme obavy, které byly vzneseny,“ poznamenal komisař IRS Chuck Rettig, když rozhodnutí odvolal. „Každý by se měl cítit dobře s tím, jak jsou jeho osobní údaje zabezpečeny, a my rychle sledujeme krátkodobé možnosti, které nezahrnují rozpoznávání obličeje.“
Ukládání tváře
Agentura plánovala použít ověřovací technologii od ID.me a požádala uživatele, aby společnosti odeslali video selfie, aby měli přístup ke svým online účtům. Jay Paz, Senior Director of Delivery ve společnosti Cobalt, řekl Lifewire e-mailem, že zatímco biometrie se díky chytrým telefonům a chytrým zařízením stala součástí našeho každodenního života, její použití pro autentizaci bylo dobrovolné. „Pro citlivější systémy a data, jako je to, k čemu má přístup IRS, je životně důležité mít transparentní technologie a procesy, které budou chránit data uživatelů,“ zdůraznil Paz. Tim Erlin, viceprezident pro strategii ve společnosti Tripwire, souhlasil a prostřednictvím e-mailu řekl Lifewire, že ačkoli technologie rozpoznávání obličeje obecně polarizuje, pro mnohé je myšlenka důvěřovat třetí straně při správě takových osobních údajů nepřijatelná. „Pokud by Spojené státy měly silný zákon na ochranu soukromí, který by chránil biometrické informace jednotlivců, byla by to jiná situace. Bez jakékoli ochrany dat amerických občanů by však přijetí této technologie v tomto rozsahu bylo porušením soukromí,“ Lecio DePaula Jr., viceprezident pro ochranu dat ve společnosti KnowBe4, řekl Lifewire e-mailem. Dále je tu skutečnost, že ne všichni lidé mají přístup k biometrickým autentizačním schopnostem, na což upozornil Paul Laudanski, vedoucí zpravodajství hrozeb ve společnosti Tessian, Lifewire prostřednictvím e-mailu. Usoudil, že by to mohlo být způsobeno několika faktory, jako je nedostatečný přístup ke spolehlivým internetovým službám nebo zařízení s kompatibilními kamerami a senzory.
Životaschopné alternativy
DePaula Jr. věří, že plán IRS byl jednou z těch situací, kdy cíle neospravedlňují prostředky. „Portál může být stejně zabezpečený využitím požadavků na silné heslo a také dvoufaktorové autentizace pro koncové uživatele, což je mnohem levnější, méně rušivý a nezaujatý způsob zabezpečení portálu, aniž by bylo nutné využívat třetí stranu. ,“ domníval se. Paz také podporuje takové sekundární metody ověřování identity, zejména použití aplikací pro jednorázové heslo, jako je Google Authenticator. Alternativně navrhl, aby IRS také zkusil použít ověřená telefonní čísla k odeslání SMS kódu uživatelům, což je možná nejdostupnější řešení dostupné prakticky všem uživatelům všech věkových kategorií. „Pro citlivější systémy a data… je životně důležité mít transparentní technologie a procesy, které budou chránit data uživatelů.“ Než se však zaměří na řešení, Darren Cooper, technický ředitel společnosti Egress, prostřednictvím e-mailu společnosti Lifewire vysvětlil, že IRS bude muset zajistit, aby vybraný mechanismus mohl chránit data daňových poplatníků, aniž by zaváděl problémy s přístupností. Navrhl, že pokud chce oddělení upřednostnit vyšší úroveň zabezpečení, mohlo by použít fyzické prostředky osobní autentizace, jako je bezpečnostní klíč RSA. Tato metoda je však logisticky náročná. SMS autentizace je potenciálně méně složitá možnost, ale Cooper dodal, že bude fungovat pouze v případě, že má oddělení známé mobilní číslo pro každého. „Úřad IRS by měl také zvážit požadavek na předchozí interakci s uživatelem, aby potvrdil jeho identitu předtím, než bude mít přístup ke službě. Mohl by například požadovat, aby daňoví poplatníci zadali jedinečné identifikační údaje, jako je číslo sociálního zabezpečení nebo čísla pasu, které lze zkontrolovat.“ ze strany IRS interně před vydáním online přihlášení. Logistická režie je zde vyšší, ale zajišťuje vyšší úroveň zabezpečení, kterou lze dosáhnout,“ navrhl Cooper.
Zatímco IRS neuvedl alternativy, které zkoumá, je jasné, že o možnosti není nouze. I když kolektivně chválili IRS za zvrácení svého rozhodnutí, bezpečnostní experti poukazují na to, že jiní ve vládě, zejména ministerstvo pro záležitosti veteránů, stále používají stejnou základní službu rozpoznávání obličeje pro účely ověření identity. To je něco, čeho si je DePaula Jr. dobře vědoma a doufá, že IRS „začne jít správným směrem, protože jakmile jedna vládní agentura přijme standard, ostatní se začnou řídit“.