Recomandări cheie
- IRS a renunțat la planurile de a utiliza recunoașterea facială pentru autentificarea contribuabililor.
- Departamentul este acum conștient de implicațiile de securitate/confidențialitate ale planului său acum retras.
-
Experții în securitate și confidențialitate au sugerat mai multe alternative viabile care respectă confidențialitatea.
Folosirea recunoașterii faciale pentru a verifica identitatea unei persoane, conform planului acum rechemat al IRS, nu a fost niciodată abordarea potrivită, susțin experții în securitate și confidențialitate.
Mișcarea IRS a atras critici din partea susținătorilor confidențialității din momentul în care a fost anunțată. Pe 7 februarie 2022, mai mulți parlamentari s-au alăturat corului, cerând IRS să-și revină decizia, lucru pe care departamentul a făcut-o la scurt timp după, promițând în schimb să exploreze alte opțiuni.
„IRS ia în serios confidențialitatea și securitatea contribuabililor și înțelegem preocupările care au fost ridicate”, a remarcat comisarul IRS Chuck Rettig în timp ce a retractat decizia. „Toată lumea ar trebui să se simtă confortabil cu modul în care informațiile lor personale sunt securizate și căutăm rapid opțiuni pe termen scurt care nu implică recunoașterea facială.”
Salvarea feței
Agenția plănuia să folosească tehnologia de autentificare de la ID.me și le-a cerut utilizatorilor să trimită selfie-uri video companiei pentru a-și accesa conturile online.
Jay Paz, director senior de livrare la Cob alt, a declarat pentru Lifewire prin e-mail că, în timp ce biometria a devenit parte din viața noastră de zi cu zi, datorită smartphone-urilor și dispozitivelor inteligente, utilizarea sa pentru autentificare a fost voluntară.
„Pentru sisteme și date mai sensibile, cum ar fi cele la care IRS are acces, este vital să existe transparență în tehnologia și procesele care vor proteja datele utilizatorilor”, a subliniat Paz.
Tim Erlin, vicepreședintele Strategiei la Tripwire, a fost de acord și a declarat prin e-mail pentru Lifewire că, în timp ce tehnologia de recunoaștere facială este polarizată în general, pentru mulți, ideea de a avea încredere într-o terță parte pentru gestionarea acestor date personale este inacceptabilă.
„Dacă Statele Unite ar avea o lege solidă a confidențialității care să protejeze informațiile biometrice ale persoanelor, aceasta ar fi o situație diferită. Cu toate acestea, fără nicio protecție a datelor cetățenilor americani, adoptarea acestei tehnologii la această scară ar fi malpraxis privind confidențialitatea”, a declarat Lecio DePaula Jr., VP pentru Protecția datelor la KnowBe4, pentru Lifewire prin e-mail.
Apoi mai este faptul că nu toți oamenii au acces la capabilități de autentificare biometrică, ceva ce Paul Laudanski, șeful Threat Intelligence la Tessian, a subliniat Lifewire prin e-mail. El a considerat că acest lucru s-ar putea datora mai multor factori, cum ar fi lipsa accesului la servicii de internet fiabile sau la dispozitive cu camere și senzori compatibili.
Alternative viabile
DePaula Jr. consideră că planul IRS a fost una dintre acele situații în care scopurile nu justifică mijloacele.
Portalul poate fi la fel de sigur prin folosirea cerințelor puternice de parolă, precum și a autentificării cu doi factori pentru utilizatorii finali, care este o modalitate mult mai ieftină, mai puțin intruzivă și imparțială de a securiza portalul fără a fi nevoie de pentru a folosi o terță parte”, a opinat el.
Paz este de asemenea în favoarea unor astfel de metode secundare de verificare a identității, în special a utilizării de aplicații cu parolă unică bazate pe timp, cum ar fi Google Authenticator. În mod alternativ, el a sugerat că IRS poate încerca, de asemenea, să folosească numere de telefon verificate pentru a trimite un mesaj SMS către utilizatori, care este probabil cea mai accesibilă soluție disponibilă practic tuturor utilizatorilor de toate vârstele.
„Pentru sisteme și date mai sensibile… este vital să avem transparență în tehnologia și procesele care vor proteja datele utilizatorilor.”
Înainte de a se concentra asupra unei soluții, însă, Darren Cooper, CTO la Egress, a explicat lui Lifewire prin e-mail că IRS va trebui să se asigure că mecanismul pe care îl selectează poate proteja datele contribuabililor fără a introduce probleme de accesibilitate.
El a sugerat că, dacă departamentul dorește să acorde prioritate unui nivel mai ridicat de securitate, ar putea folosi mijloace fizice de autentificare personală, cum ar fi un port cheie de securitate RSA. Această metodă, însă, este complexă din punct de vedere logistic. Autentificarea prin SMS este o opțiune potențial mai puțin complexă, dar Cooper a adăugat că va funcționa numai dacă departamentul are un număr de telefon mobil cunoscut pentru toată lumea.
IRS ar trebui, de asemenea, să ia în considerare o cerință de interacțiune prealabilă cu utilizatorul pentru a-și confirma identitatea înainte de a putea accesa serviciul. De exemplu, ar putea solicita contribuabililor să introducă detalii unice de identificare, cum ar fi numere de securitate socială sau de pașaport., care poate fi verificat intern de IRS înainte de emiterea unei autentificări online. Suplimentarul logistic aici este mai mare, dar asigură că poate fi atins un nivel mai ridicat de securitate”, a sugerat Cooper.
Deși IRS nu a enumerat alternativele pe care le explorează, în mod clar, opțiunile nu lipsesc.
Chiar dacă au salutat colectiv IRS pentru că și-a anulat decizia, experții în securitate subliniază că alții din guvern, în special Departamentul pentru Afacerile Veteranilor, folosesc în continuare același serviciu de recunoaștere facială în scopuri de verificare a identității.
Acesta este ceva de care DePaula Jr. este bine conștient și speră că IRS „începe să se îndrepte în direcția corectă, deoarece odată ce o agenție guvernamentală adoptă un standard, altele încep să urmeze.”
