Võtmed kaasavõtmiseks
- IRS on loobunud plaanist kasutada maksumaksjate autentimiseks näotuvastust.
- Osakond on nüüd teadlik oma praeguseks tühistatud plaani turvalisuse/privaatsuse mõjudest.
-
Turvalisuse ja privaatsuse eksperdid on pakkunud välja mitu elujõulist privaatsust austavat alternatiivi.
Näotuvastuse kasutamine isiku identiteedi kontrollimiseks vastav alt IRS-i nüüd tagasi kutsutud plaanile ei olnud kunagi õige lähenemisviis, kinnitavad turva- ja privaatsuseksperdid.
IRS-i samm tõmbas privaatsuskaitsjate seast alates sellest väljakuulutamisest. 7. veebruaril 2022 ühinesid mitmed seadusandjad kooriga, kes kutsusid IRS-i üles oma otsust muutma, mida osakond varsti pärast seda ka tegi, lubades selle asemel uurida muid võimalusi.
"IRS võtab maksumaksjate privaatsust ja turvalisust tõsiselt ning me mõistame tõstatatud muresid," märkis maksuameti volinik Chuck Rettig, kui ta otsusest loobus. "Igaüks peaks tundma end mugav alt, kuidas tema isiklik teave on kaitstud, ja me otsime kiiresti lühiajalisi võimalusi, mis ei hõlma näotuvastust."
Näo salvestamine
Agentuur kavatses kasutada ID.me autentimistehnoloogiat ja palus kasutajatel esitada ettevõttele oma veebikontodele juurdepääsuks videoselfid.
Jay Paz, Cob alti kohaletoimetamise vanemdirektor, ütles Lifewire'ile meili teel, et kuigi biomeetria on muutunud meie igapäevaelu osaks, on tänu nutitelefonidele ja nutiseadmetele selle kasutamine autentimiseks olnud vabatahtlik.
„Tundlikemate süsteemide ja andmete puhul, nagu see, millele IRS-il on juurdepääs, on ülioluline läbipaistvus tehnoloogia ja protsesside osas, mis kaitsevad kasutajate andmeid,” märkis Paz.
Tim Erlin, Tripwire'i strateegia asepresident, nõustus ja ütles Lifewire'ile meili teel, et kuigi näotuvastustehnoloogia on üldiselt polariseeruv, on paljude jaoks vastuvõetamatu idee usaldada selliste isikuandmete haldamine kolmandale osapoolele.
Kui Ameerika Ühendriikides kehtiks tugev privaatsusseadus, mis kaitseks üksikisikute biomeetrilist teavet, oleks olukord teistsugune. Kuid ilma Ameerika kodanike andmete kaitseta oleks selle tehnoloogia kasutuselevõtt sellises ulatuses privaatsusega seotud rikkumisi,“ütles KnowBe4 andmekaitse asepresident Lecio DePaula Jr. Lifewire’ile meili teel.
Siis on tõsiasi, et kõigil inimestel pole juurdepääsu biomeetrilisele autentimisvõimalustele, millele Tessiani ohuluure juht Paul Laudanski juhtis Lifewire'ile meili teel tähelepanu. Ta arvas, et see võib olla tingitud mitmest tegurist, näiteks juurdepääsu puudumisest usaldusväärsetele Interneti-teenustele või ühilduvate kaamerate ja anduritega seadmetele.
Elujõulised alternatiivid
DePaula Jr. usub, et maksuameti plaan oli üks neist olukordadest, kus eesmärgid ei õigusta vahendeid.
"Portaal võib olla sama turvaline, kasutades tugevaid paroolinõudeid ja lõppkasutajate jaoks kahefaktorilist autentimist, mis on palju odavam, vähem pealetükkiv ja erapooletu viis portaali kaitsmiseks ilma, et oleks vaja kolmanda osapoole võimendamiseks," arvas ta.
Paz pooldab ka selliseid teiseseid identiteedi kinnitamise meetodeid, eriti ajapõhiste ühekordsete paroolirakenduste (nt Google Authenticator) kasutamist. Teise võimalusena soovitas ta IRS-il proovida kasutajatele SMS-koodi saatmiseks kasutada kinnitatud telefoninumbreid, mis on võib-olla kõige laiem alt juurdepääsetav lahendus, mis on saadaval peaaegu kõigile igas vanuses kasutajatele.
"Tundlikemate süsteemide ja andmete jaoks… on ülioluline kasutajate andmeid kaitsva tehnoloogia ja protsesside läbipaistvus."
Enne kui see lahenduse juurdleb, selgitas Egressi tehnikadirektor Darren Cooper Lifewire'ile meili teel, et IRS peab tagama, et tema valitud mehhanism suudab kaitsta maksumaksja andmeid ilma juurdepääsetavuse probleeme tekitamata.
Ta soovitas, et kui osakond soovib seada prioriteediks kõrgema turvalisuse taseme, võiksid nad kasutada füüsilisi isikliku autentimise vahendeid, näiteks RSA turvavõtmehoidjat. See meetod on aga logistiliselt keeruline. SMS-i autentimine on potentsiaalselt vähem keeruline valik, kuid Cooper lisas, et see töötab ainult siis, kui osakonnal on kõigile teada mobiiltelefoni number.
IRS peaks kaaluma ka nõuet, et enne teenusele juurdepääsu saamist tuleb kasutajaga eelnev alt suhelda, et kinnitada tema identiteet. Näiteks võivad nad nõuda, et maksumaksjad sisestaksid kordumatu isikutunnistuse üksikasjad, nagu sotsiaalkindlustuse või passi numbrid., mida IRS saab sisemiselt kontrollida enne veebipõhise sisselogimise väljastamist. Logistiline üldkulu on siin suurem, kuid tagab kõrgema turvalisuse taseme,“soovitas Cooper.
Kuigi maksuamet ei ole uuritavaid alternatiive loetlenud, pole valikutest puudust.
Isegi kui nad ühiselt kiitsid IRS-i oma otsuse tühistamise eest, juhivad turvaeksperdid tähelepanu valitsuse liikmetele, eelkõige veteranide asjade osakonnale, kes kasutavad identiteedi kinnitamiseks endiselt sama näotuvastusteenust.
See on midagi, millest DePaula juunior on hästi teadlik ja loodab, et IRS "hakkab õiges suunas liikuma, sest kui üks valitsusasutus standardi vastu võtab, hakkavad teised järgima."
