Key Takeaways
- Poreska uprava je odustala od planova da koristi prepoznavanje lica za autentifikaciju poreskih obveznika.
- Odjel je sada svjestan implikacija na sigurnost/privatnost svog sada povučenog plana.
-
Stručnjaci za sigurnost i privatnost predložili su nekoliko održivih alternativa koje poštuju privatnost.
Korišćenje prepoznavanja lica za provjeru identiteta pojedinca, prema sada opozvanom planu Porezne uprave, nikada nije bio pravi pristup, potvrdite stručnjake za sigurnost i privatnost.
Poteza Porezne uprave izazvala je bijes zagovornika privatnosti od trenutka kada je objavljen. 7. februara 2022. nekoliko zakonodavaca se pridružilo zboru pozivajući Poreznu upravu da poništi svoju odluku, što je odjel ubrzo nakon toga i učinio, obećavajući umjesto toga da će istražiti druge opcije.
"Poreska uprava ozbiljno shvata privatnost i bezbednost poreskih obveznika i razumemo zabrinutost koja je izneta," primetio je komesar IRS-a Chuck Rettig povlačeći odluku. "Svako bi se trebao osjećati ugodno s načinom na koji su njihovi lični podaci zaštićeni, a mi brzo tražimo kratkoročne opcije koje ne uključuju prepoznavanje lica."
Sačuvanje lica
Agencija je planirala da koristi tehnologiju autentikacije sa ID.me-a i zamolila je korisnike da dostave video selfije kompaniji kako bi pristupili svojim online računima.
Jay Paz, viši direktor isporuke u Cob altu, rekao je za Lifewire putem e-pošte da je biometrija postala dio našeg svakodnevnog života, zahvaljujući pametnim telefonima i pametnim uređajima, njena upotreba za autentifikaciju bila dobrovoljna.
“Za osjetljivije sisteme i podatke, poput onih kojima Porezna uprava ima pristup, od vitalnog je značaja imati transparentnost u tehnologiji i procesima koji će zaštititi podatke korisnika,” istakao je Paz..
Tim Erlin, potpredsjednik strategije u Tripwireu, složio se i rekao Lifewire-u putem e-pošte da, iako tehnologija prepoznavanja lica općenito polarizira, za mnoge je ideja vjerovanja trećoj strani za upravljanje takvim ličnim podacima neprihvatljiva.
"Kada bi Sjedinjene Države imale snažan zakon o privatnosti koji štiti biometrijske podatke pojedinaca, to bi bila drugačija situacija. Međutim, bez ikakve zaštite podataka američkih građana, usvajanje ove tehnologije u ovom obimu bi bilo zloupotreba privatnosti, " rekao je za Lifewire Lecio DePaula Jr., potpredsjednik za zaštitu podataka u KnowBe4.
Zatim, tu je i činjenica da nemaju svi ljudi pristup mogućnostima biometrijske autentifikacije, što je Paul Laudanski, šef obavještajne službe za prijetnje u Tessianu, istakao za Lifewire putem e-pošte. On je zaključio da bi to moglo biti uzrokovano nekoliko faktora, kao što je nedostatak pristupa pouzdanim internetskim uslugama ili uređajima sa kompatibilnim kamerama i senzorima.
Izdržive alternative
DePaula Jr. vjeruje da je plan porezne uprave bio jedna od onih situacija u kojima ciljevi ne opravdavaju sredstva.
"Portal može biti jednako siguran korištenjem jakih zahtjeva za lozinkom, kao i dvofaktorske autentifikacije za krajnje korisnike, što je mnogo jeftiniji, manje nametljiv i nepristrasan način za osiguranje portala bez potrebe da iskoristi treću stranu," smatra on.
Paz se zalaže i za takve sekundarne metode provjere identiteta, posebno za korištenje vremenskih aplikacija za jednokratnu lozinku kao što je Google Authenticator. Alternativno, on je predložio da Porezna uprava također može pokušati koristiti provjerene telefonske brojeve za slanje SMS koda korisnicima, što je možda najpristupačnije rješenje dostupno gotovo svim korisnicima svih uzrasta.
"Za osjetljivije sisteme i podatke… od vitalnog je značaja imati transparentnost u tehnologiji i procesima koji će zaštititi podatke korisnika."
Međutim, Darren Cooper, CTO u Egress-u, objasnio je za Lifewire putem e-pošte da će Porezna uprava morati osigurati da mehanizam koji odabere može zaštititi podatke poreznih obveznika bez uvođenja problema pristupačnosti, prije nego što se krene u rješenje rješenja.
On je predložio da, ako odjel želi dati prioritet višem nivou sigurnosti, može koristiti fizička sredstva lične autentifikacije kao što je RSA sigurnosni privezak za ključeve. Ova metoda je, međutim, logistički složena. SMS autentifikacija je potencijalno manje složena opcija, ali Cooper je dodao da će funkcionirati samo ako odjel ima poznat broj mobilnog telefona za sve.
"Poreska uprava također treba uzeti u obzir zahtjev za prethodnu interakciju s korisnikom kako bi potvrdio njihov identitet prije nego što može pristupiti usluzi. Na primjer, mogao bi zahtijevati da porezni obveznici unesu jedinstvene podatke o ID-u, kao što su socijalno osiguranje ili brojevi pasoša, što Porezna uprava može interno provjeriti prije nego što se izda prijava na mreži. Logistički troškovi su ovdje veći, ali osiguravaju da se može postići viši nivo sigurnosti", predložio je Cooper.
Iako Porezna uprava nije navela alternative koje istražuje, jasno je da opcija ne nedostaje.
Čak i dok su zajedno pozdravljali Poreznu upravu za poništenje svoje odluke, stručnjaci za sigurnost ističu da drugi u vladi, a posebno Ministarstvo za pitanja boraca, i dalje koriste istu osnovnu uslugu prepoznavanja lica u svrhu provjere identiteta.
Ovo je nešto čega je DePaula Jr. dobro svjestan i nada se da će Porezna uprava "počinje ići u pravom smjeru, jer kada jedna vladina agencija usvoji standard, druge počnu slijediti."