موارد مهم
- IRS برنامه های استفاده از تشخیص چهره برای احراز هویت مالیات دهندگان را کنار گذاشته است.
- این بخش اکنون از پیامدهای امنیتی/حریم خصوصی طرحی که اکنون کنار گذاشته شده است آگاه است.
-
کارشناسان امنیت و حریم خصوصی چندین گزینه قابل اجرا برای احترام به حریم خصوصی پیشنهاد کرده اند.
استفاده از تشخیص چهره برای تأیید هویت یک فرد، طبق طرحی که اکنون سازمان امور مالیاتی فراخوان داده است، هرگز رویکرد درستی نبود، کارشناسان امنیت و حفظ حریم خصوصی تاکید کردند.
این اقدام IRS از همان لحظه ای که اعلام شد مورد اعتراض طرفداران حریم خصوصی قرار گرفت. در 7 فوریه 2022، چندین قانونگذار به گروه کر پیوستند و از IRS خواستند تصمیم خود را لغو کند، که این وزارتخانه بلافاصله پس از آن انجام داد و به جای آن وعده داد که گزینههای دیگر را بررسی کند.
چاک رتیگ، کمیسیونر امور مالیاتی، هنگام انصراف از این تصمیم، خاطرنشان کرد: "IRS حریم خصوصی و امنیت مالیات دهندگان را جدی می گیرد و ما نگرانی های مطرح شده را درک می کنیم." "همه باید با نحوه ایمن شدن اطلاعات شخصی خود احساس راحتی کنند و ما به سرعت گزینه های کوتاه مدتی را دنبال می کنیم که شامل تشخیص چهره نمی شود."
ذخیره چهره
آژانس قصد داشت از فناوری احراز هویت از ID.me استفاده کند و از کاربران خواسته بود برای دسترسی به حسابهای آنلاین خود، سلفیهای ویدیویی را برای شرکت ارسال کنند.
Jay Paz، مدیر ارشد تحویل در Cob alt، از طریق ایمیل به Lifewire گفت که در حالی که بیومتریک به بخشی از زندگی روزمره ما تبدیل شده است، به لطف تلفن های هوشمند و دستگاه های هوشمند، استفاده از آن برای احراز هویت داوطلبانه بوده است..
پاز خاطرنشان کرد: «برای سیستمها و دادههای حساستر، مانند آنچه IRS به آن دسترسی دارد، شفافیت در فناوری و فرآیندهایی که از دادههای کاربران محافظت میکند، حیاتی است.»
تیم ارلین، معاون استراتژی در Tripwire، موافقت کرد و از طریق ایمیل به Lifewire گفت که در حالی که فناوری تشخیص چهره به طور کلی قطبی شده است، برای بسیاری، ایده اعتماد به شخص ثالث برای مدیریت چنین دادههای شخصی غیرقابل قبول است.
اگر ایالات متحده یک قانون محرمانگی قوی داشت که از اطلاعات بیومتریک افراد محافظت می کرد، وضعیت متفاوت بود. با این حال، بدون هیچ گونه حفاظتی برای داده های شهروندان آمریکایی، اتخاذ این فناوری در این مقیاس می تواند انجام شود. Lecio DePaula Jr.، معاون حفاظت از داده ها در KnowBe4، از طریق ایمیل به Lifewire گفت.
سپس این واقعیت وجود دارد که همه مردم به قابلیتهای احراز هویت بیومتریک دسترسی ندارند، چیزی که پل لاودانسکی، رئیس بخش اطلاعات تهدید در Tessian، از طریق ایمیل به Lifewire اشاره کرد.او استدلال کرد که این می تواند به دلیل عوامل متعددی باشد، مانند عدم دسترسی به خدمات اینترنتی قابل اعتماد یا دستگاه های دارای دوربین و سنسور سازگار.
جایگزین های قابل اجرا
DePaula Jr. معتقد است که طرح IRS یکی از آن موقعیتهایی است که اهداف وسیله را توجیه نمیکند.
پورتال می تواند با استفاده از الزامات رمز عبور قوی و همچنین احراز هویت دو مرحله ای برای کاربران نهایی به همان اندازه ایمن باشد، که روشی بسیار ارزان تر، کمتر مزاحم و بی طرفانه برای ایمن سازی پورتال بدون نیاز به نیاز است. او عقیده داشت تا از یک شخص ثالث استفاده کند.
Paz نیز طرفدار چنین روشهای تأیید هویت ثانویه است، بهویژه استفاده از برنامههای رمز عبور یکبار مصرف مبتنی بر زمان مانند Google Authenticator. از طرف دیگر، او پیشنهاد کرد که IRS همچنین میتواند از شمارههای تلفن تأیید شده برای ارسال یک کد SMS به کاربران استفاده کند، که شاید به طور گستردهای در دسترسترین راهحل موجود برای تقریباً همه کاربران در هر سنی باشد.
"برای سیستمها و دادههای حساستر… وجود شفافیت در فناوری و فرآیندهایی که از دادههای کاربران محافظت میکند، حیاتی است."
قبل از اینکه راه حل را به صفر برساند، دارن کوپر، CTO در Egress، از طریق ایمیل به Lifewire توضیح داد که IRS باید مطمئن شود مکانیسمی که انتخاب می کند می تواند از داده های مالیات دهندگان بدون ارائه مشکلات دسترسی محافظت کند.
او پیشنهاد کرد که اگر بخش می خواهد سطح بالاتری از امنیت را در اولویت قرار دهد، می تواند از ابزارهای فیزیکی احراز هویت شخصی مانند یک کلید امنیتی RSA استفاده کند. این روش اما از نظر لجستیکی پیچیده است. احراز هویت پیامکی یک گزینه بالقوه کمتر پیچیده است، اما کوپر اضافه کرد که تنها در صورتی کار خواهد کرد که بخش شماره تلفن همراه شناخته شده ای برای همه داشته باشد.
IRS همچنین باید الزامی را برای تعامل قبلی با کاربر در نظر بگیرد تا هویت او را قبل از دسترسی به سرویس تأیید کند. به عنوان مثال، آنها می توانند از مالیات دهندگان بخواهند که جزئیات شناسایی منحصر به فرد مانند شماره امنیت اجتماعی یا گذرنامه را وارد کنند. ، که می تواند توسط IRS به صورت داخلی قبل از صدور لاگین آنلاین بررسی شود.کوپر پیشنهاد کرد که هزینه تدارکات در اینجا بیشتر است، اما تضمین می کند که می توان به سطح بالاتری از امنیت دست یافت.
در حالی که IRS گزینه های جایگزینی را که در حال بررسی است فهرست نکرده است، واضح است که هیچ کمبودی در گزینه ها وجود ندارد.
حتی با وجود اینکه آنها به طور جمعی از IRS برای تغییر تصمیم خود استقبال کردند، کارشناسان امنیتی به سایرین در دولت، به ویژه وزارت امور کهنه سربازان اشاره می کنند که هنوز از همان سرویس تشخیص چهره برای اهداف تأیید هویت استفاده می کنند.
این چیزی است که DePaula Jr به خوبی از آن آگاه است و امیدوار است که IRS "شروع به حرکت در مسیر درست کند، زیرا زمانی که یک سازمان دولتی استانداردی را اتخاذ کند، سایرین شروع به پیروی می کنند."