Ključni izsledki
- Davčna uprava je opustila načrte za uporabo prepoznavanja obraza za preverjanje pristnosti davkoplačevalcev.
- Oddelek se zdaj zaveda varnostnih/zasebnih posledic svojega zdaj preklicanega načrta.
-
Strokovnjaki za varnost in zasebnost so predlagali več izvedljivih alternativ, ki spoštujejo zasebnost.
Uporaba prepoznave obraza za preverjanje posameznikove identitete v skladu z zdaj opoklicanim načrtom IRS nikoli ni bil pravi pristop, trdijo strokovnjaki za varnost in zasebnost.
Poteza davčne uprave je od trenutka, ko je bila objavljena, pritegnila pozornost zagovornikov zasebnosti. 7. februarja 2022 se je več zakonodajalcev pridružilo zboru in pozivalo davčno upravo, naj prekliče svojo odločitev, kar je ministrstvo kmalu zatem tudi storilo in obljubilo, da bo namesto tega raziskalo druge možnosti.
"Davčna uprava jemlje zasebnost in varnost davkoplačevalcev resno in razumemo pomisleke, ki so bili izraženi," je dejal komisar IRS Chuck Rettig, ko je odstopil od odločitve. "Vsi bi se morali počutiti zadovoljni s tem, kako so njihovi osebni podatki zavarovani, in hitro sledimo kratkoročnim možnostim, ki ne vključujejo prepoznavanja obraza."
Reševanje obraza
Agencija je nameravala uporabiti tehnologijo za preverjanje pristnosti ID.me in je prosila uporabnike, naj podjetju pošljejo video selfije za dostop do svojih spletnih računov.
Jay Paz, višji direktor dostave pri Cob altu, je za Lifewire po e-pošti povedal, da je biometrija postala del našega vsakdanjega življenja, zahvaljujoč pametnim telefonom in pametnim napravam pa je bila njena uporaba za preverjanje pristnosti prostovoljna.
»Za bolj občutljive sisteme in podatke, na primer do tistih, do katerih ima dostop davčna uprava, je bistvenega pomena imeti preglednost tehnologije in procesov, ki bodo varovali podatke uporabnikov,« je poudaril Paz.
Tim Erlin, podpredsednik za strategijo pri Tripwire, se je strinjal in Lifewire-ju po e-pošti povedal, da čeprav je tehnologija prepoznavanja obrazov na splošno polarizirana, je za mnoge zamisel, da bi upravljanje takih osebnih podatkov zaupali tretji osebi, nesprejemljiva.
Če bi Združene države imele trdno zakonodajo o zasebnosti, ki bi ščitila biometrične podatke posameznikov, bi bila to drugačna situacija. Vendar bi bilo brez kakršne koli zaščite podatkov ameriških državljanov sprejetje te tehnologije v tem obsegu zloraba zasebnosti, « je za Lifewire po e-pošti povedal Lecio DePaula Jr., podpredsednik za varstvo podatkov pri KnowBe4.
Potem je tu še dejstvo, da nimajo vsi ljudje dostopa do zmožnosti biometričnega preverjanja pristnosti, kar je Paul Laudanski, vodja obveščevalne službe o grožnjah pri Tessianu, poudaril za Lifewire po elektronski pošti. Menil je, da je to lahko posledica več dejavnikov, kot je pomanjkanje dostopa do zanesljivih internetnih storitev ali naprav z združljivimi kamerami in senzorji.
Izvedljive alternative
DePaula Jr. verjame, da je bil načrt davčne uprave ena tistih situacij, ko cilji ne opravičujejo sredstev.
Portal je lahko prav tako varen, če izkoristi zahteve za močno geslo in dvofaktorsko avtentikacijo za končne uporabnike, kar je veliko cenejši, manj vsiljiv in nepristranski način za zaščito portala, ne da bi potrebovali izkoristiti tretjo osebo, « je menil.
Paz podpira tudi takšne sekundarne metode preverjanja identitete, zlasti uporabo aplikacij za enkratna gesla, ki temeljijo na času, kot je Google Authenticator. Namesto tega je predlagal, da lahko davčna uprava poskusi uporabiti tudi preverjene telefonske številke za pošiljanje SMS kode uporabnikom, kar je morda najbolj dostopna rešitev, ki je na voljo skoraj vsem uporabnikom vseh starosti.
"Za bolj občutljive sisteme in podatke … je bistvenega pomena imeti preglednost tehnologije in procesov, ki bodo varovali podatke uporabnikov."
Preden se loti rešitve, pa je Darren Cooper, tehnični direktor pri Egressu, za Lifewire po e-pošti pojasnil, da bo morala davčna uprava zagotoviti, da lahko mehanizem, ki ga izbere, zaščiti podatke o davkoplačevalcih, ne da bi povzročil težave z dostopnostjo.
Predlagal je, da bi lahko oddelek, če želi dati prednost višji ravni varnosti, uporabil fizična sredstva osebne avtentikacije, kot je varnostni ključ RSA. Ta metoda pa je logistično zapletena. Preverjanje pristnosti SMS je potencialno manj zapletena možnost, vendar je Cooper dodal, da bo delovala samo, če ima oddelek znano mobilno številko za vse.
Davčna uprava bi morala razmisliti tudi o zahtevi po predhodni interakciji z uporabnikom, da potrdi svojo identiteto, preden lahko dostopa do storitve. Lahko bi na primer zahtevala, da davkoplačevalci vnesejo edinstvene identifikacijske podatke, kot je številka socialnega zavarovanja ali potnega lista, ki ga lahko interno preveri IRS, preden se izda spletna prijava. Logistični stroški so tukaj večji, vendar zagotavljajo višjo raven varnosti,« je predlagal Cooper.
Čeprav davčna uprava ni navedla alternativ, ki jih preučuje, očitno možnosti ne manjka.
Čeprav so skupno pozdravili davčno upravo, ker je preklicala svojo odločitev, varnostni strokovnjaki poudarjajo, da drugi v vladi, predvsem ministrstvo za veterane, še vedno uporabljajo isto osnovno storitev prepoznavanja obraza za namene preverjanja identitete.
Tega se DePaula Jr. dobro zaveda in upa, da se bo davčna uprava "začela usmeriti v pravo smer, kajti ko ena vladna agencija sprejme standard, mu začnejo druge slediti."