Asiantuntijat sanovat, että käyttäjien todentaminen kasvojentunnistuksella ei ole koskaan hyvä idea
Avaimet takeawayt
- IRS on luopunut suunnitelmista käyttää kasvojentunnistusta veronmaksajien todentamiseen.
- Osasto on nyt tietoinen nyt peruutetun suunnitelmansa turvallisuus-/yksityisyysvaikutuksista.
- Tietoturva- ja tietosuojaasiantuntijat ovat ehdottaneet useita toteuttamiskelpoisia yksityisyyttä kunnioittavia vaihtoehtoja.
Spencer Whalen / EyeEm / Getty Images
Kasvojentunnistuksen käyttäminen henkilön henkilöllisyyden todentamiseksi Verohallinnon nyt muistanut suunnitelma, ei koskaan ollut oikea lähestymistapa, vakuuttavat tietoturva- ja tietosuojaasiantuntijat.
Verohallinnon siirto piirsi tiilipuita yksityisyyden puolestapuhujilta siitä hetkestä lähtien, kun se ilmoitettiin. 7. helmikuuta 2022 useita lainsäätäjiä liittyi kuoroon, joka kehotti veroviranomaista kumoamaan päätöksensä osasto teki pian sen jälkeen, ja lupasi sen sijaan tutkia muita vaihtoehtoja.
"Verohallinto ottaa veronmaksajien yksityisyyden ja turvallisuuden vakavasti, ja ymmärrämme esitetyt huolenaiheet", totesi verohallinnon komissaari Chuck Rettig peruessaan päätöksen. "Jokaisen pitäisi tuntea olonsa mukavaksi siinä, miten heidän henkilötietonsa on suojattu, ja pyrimme nopeasti lyhytaikaisiin vaihtoehtoihin, joihin ei liity kasvojentunnistusta."
Tallennetaan kasvoja
Virasto aikoi käyttää ID.me: n todennustekniikkaa ja oli pyytänyt käyttäjiä lähettämään videoselfieitä yritykselle päästäkseen verkkotileilleen.
Jay Paz, toimitusjohtaja klo Koboltti, kertoi Lifewirelle sähköpostitse, että vaikka biometriikasta on tullut osa jokapäiväistä elämäämme, älypuhelimien ja älylaitteiden ansiosta sen käyttö todentamiseen on ollut vapaaehtoista.
"Arkaluonteisemmissa järjestelmissä ja tiedoissa, kuten verohallinnolla on pääsy teknologiaan ja prosesseihin, on erittäin tärkeää olla läpinäkyvä, mikä suojaa käyttäjien tietoja", Paz huomautti.
Tim Erlin, strategiajohtaja klo Ansalanka, suostui ja kertoi Lifewirelle sähköpostitse, että vaikka kasvojentunnistustekniikka on yleisesti polarisoitumassa, monien mielestä ajatus kolmannen osapuolen luottamisesta tällaisten henkilötietojen hallintaan on mahdotonta hyväksyä.
"Jos Yhdysvalloissa olisi vankka tietosuojalaki, joka suojelisi yksilöiden biometrisiä tietoja, tilanne olisi toinen. Ilman Yhdysvaltain kansalaisten tietojen suojaa tämän tekniikan käyttöönotto tässä mittakaavassa olisi kuitenkin yksityisyyden väärinkäyttöä." Lecio DePaula Jr., tietosuojajohtaja osoitteessa KnowBe4, kertoi Lifewirelle sähköpostitse.
Sitten on se tosiasia, että kaikilla ihmisillä ei ole pääsyä biometrisiin todennusominaisuuksiin Paul Laudanski, uhkatiedustelun päällikkö klo Tessian, huomautti Lifewirelle sähköpostitse. Hän perusteli tämän voivan johtua useista tekijöistä, kuten luotettavien Internet-palvelujen tai yhteensopivilla kameroilla ja antureilla varustettujen laitteiden puutteesta.
Toimivia vaihtoehtoja
DePaula Jr. uskoo, että verohallinnon suunnitelma oli yksi niistä tilanteista, joissa päämäärät eivät oikeuta keinoja.
"Portaali voi olla yhtä turvallinen hyödyntämällä vahvoja salasanavaatimuksia sekä loppukäyttäjien kaksivaiheista todennusta, joka on paljon halvempi, vähemmän häiritsevä ja puolueeton tapa suojata portaali ilman, että sinun tarvitsee käyttää kolmatta osapuolta", hän arvioinut.
Paz kannattaa myös tällaisia toissijaisia henkilöllisyyden vahvistusmenetelmiä, erityisesti aikaperusteisten kertakäyttöisten salasanasovellusten, kuten Google Authenticator, käyttöä. Vaihtoehtoisesti hän ehdotti, että verohallinto voi myös yrittää lähettää tekstiviestikoodin käyttämällä vahvistettuja puhelinnumeroita käyttäjille, mikä on ehkä laajimmin saavutettavissa oleva ratkaisu, joka on lähes kaikkien käyttäjien käytettävissä iät.
"Arkaluonteisemmille järjestelmille ja tiedoille... On elintärkeää avoimuutta teknologiaan ja prosesseihin, jotka suojaavat käyttäjien tietoja."
Ennen kuin se nollautuu ratkaisuun, Darren Cooper, CTO klo Lähtö, selitti Lifewirelle sähköpostitse, IRS: n on varmistettava, että sen valitsema mekanismi voi suojata veronmaksajien tietoja aiheuttamatta saavutettavuusongelmia.
Hän ehdotti, että jos osasto haluaa priorisoida korkeamman turvallisuustason, he voisivat käyttää fyysisiä henkilötodennusmenetelmiä, kuten RSA-suojausavainta. Tämä menetelmä on kuitenkin logistisesti monimutkainen. Tekstiviestitodennus on mahdollisesti vähemmän monimutkainen vaihtoehto, mutta Cooper lisäsi, että se toimii vain, jos osastolla on kaikille tiedossa oleva matkapuhelinnumero.
"Verohallinnon tulisi myös harkita vaatimusta, jonka mukaan käyttäjän on oltava etukäteen yhteydessä henkilöllisyytensä vahvistamiseksi ennen kuin hän voi käyttää palvelua. Ne voivat esimerkiksi vaatia, että veronmaksajat syöttävät yksilölliset henkilöllisyystiedot, kuten sosiaaliturva- tai passinumerot, jotka veroviranomainen voi tarkistaa sisäisesti ennen online-kirjautumisen myöntämistä. Logistiset lisäkustannukset ovat suuremmat, mutta takaavat korkeamman turvallisuustason saavuttamisen", Cooper ehdotti.
dem10 / Getty Images
Vaikka IRS ei ole listannut tutkimiaan vaihtoehtoja, vaihtoehdoista ei selvästikään ole pulaa.
Vaikka he yhdessä ylistivät IRS: ää päätöksen kumoamisesta, turvallisuusasiantuntijat huomauttavat muita hallituksen jäseniä, Varsinkin veteraaniasioiden ministeriö käyttää edelleen samaa taustalla olevaa kasvojentunnistuspalvelua henkilöllisyyden todentamiseen tarkoituksiin.
Tämän DePaula Jr. on hyvin tietoinen ja toivoo, että verohallinto "alkaa mennä oikeaan suuntaan, koska kun yksi valtion virasto ottaa käyttöön standardin, muut alkavat noudattaa sitä."