Провера аутентичности корисника помоћу препознавања лица никада није добра идеја, кажу стручњаци
Кључне Такеаваис
- Пореска управа је одустала од планова да користи препознавање лица за аутентификацију пореских обвезника.
- Одељење је сада свесно безбедносних/приватних импликација свог сада повученог плана.
- Стручњаци за безбедност и приватност предложили су неколико одрживих алтернатива за поштовање приватности.
Спенцер Вхален / ЕиеЕм / Гетти Имагес
Коришћење препознавања лица за верификацију идентитета појединца, према Пореска управа је сада опозвала план, никада није био прави приступ, тврде стручњаци за безбедност и приватност.
Покрет пореске управе цртао цигле од заговорника приватности од тренутка објављивања. Дана 7. фебруара 2022. год. неколико посланика придружио се хору позивајући ИРС да поништи своју одлуку, што је одељење учинио убрзо након тога, обећавајући уместо тога да ће истражити друге опције.
„Пореска управа озбиљно схвата приватност и безбедност пореских обвезника и разумемо забринутост која је изнета“, приметио је комесар ИРС Чак Ретиг повлачећи одлуку. „Свако би требало да се осећа пријатно са начином на који су њихови лични подаци обезбеђени, а ми брзо тражимо краткорочне опције које не укључују препознавање лица.
Чување лица
Агенција је планирала да користи технологију аутентификације са ИД.ме-а и замолила је кориснике да пошаљу видео селфије компанији како би приступили својим онлајн налозима.
Јаи Паз, виши директор испоруке у кобалт, рекао је Лајфвајру преко е-поште да је биометрија постала део нашег свакодневног живота, захваљујући паметним телефонима и паметним уређајима, да је њена употреба за аутентификацију била добровољна.
„За осетљивије системе и податке, попут оних којима Пореска управа има приступ, од виталног је значаја транспарентност у технологији и процесима који ће заштитити податке корисника“, истакао је Паз.
Тим Ерлин, потпредседник стратегије при Трипвире, сложио се и рекао Лифевире-у путем е-поште да, иако технологија препознавања лица генерално поларизира, за многе је идеја о повјерењу трећем лицу да управља таквим личним подацима неприхватљива.
„Када би Сједињене Државе имале снажан закон о приватности који штити биометријске податке појединаца, то би била другачија ситуација. Међутим, без икакве заштите података америчких грађана, усвајање ове технологије у овом обиму представљало би кршење приватности“, Лецио ДеПаула Јр., потпредседник за заштиту података при КновБе4, рекао је за Лифевире преко е-поште.
Затим, ту је и чињеница да немају сви људи приступ могућностима биометријске аутентификације, нешто Павла Лауданског, шеф обавештајне службе за претње у Тессиан, истакао је Лифевире-у преко мејла. Он је закључио да би то могло бити због неколико фактора, као што је недостатак приступа поузданим интернет услугама или уређајима са компатибилним камерама и сензорима.
Виабле Алтернативес
ДеПаула Јр. верује да је план пореске управе био једна од оних ситуација у којима циљеви не оправдавају средства.
„Портал може бити једнако безбедан коришћењем јаких захтева за лозинком, као и двофакторске аутентификације за крајње кориснике, што је много јефтинији, мање наметљив и непристрасан начин да се обезбеди портал без потребе за коришћењем треће стране“, мишљења.
Паз се такође залаже за такве секундарне методе верификације идентитета, посебно за коришћење апликација за једнократну лозинку засноване на времену, као што је Гоогле Аутхентицатор. Алтернативно, он је предложио да ИРС такође може да покуша да користи верификоване бројеве телефона за слање СМС кода корисницима, што је можда најприступачније решење доступно готово свим корисницима старости.
„За осетљивије системе и податке... од виталног је значаја имати транспарентност у технологији и процесима који ће заштитити податке корисника."
Међутим, пре него што се усмери на решење, Даррен Цоопер, ЦТО ат Егресс, објашњено је за Лифевире путем е-поште да ће пореска управа морати да осигура да механизам који одабере може заштитити податке пореских обвезника без увођења проблема са приступачношћу.
Он је предложио да, ако одељење жели да да приоритет вишем нивоу безбедности, може да користи физичка средства личне аутентификације као што је РСА сигурносни привезак за кључеве. Овај метод је, међутим, логистички сложен. СМС аутентификација је потенцијално мање сложена опција, али Купер је додао да ће функционисати само ако одељење има познат број мобилног телефона за све.
„Пореска управа такође треба да размотри захтев за претходну интеракцију са корисником како би потврдио њихов идентитет пре него што може да приступи услузи. На пример, могли би да захтевају да порески обвезници унесу јединствене податке о ИД-у, као што су бројеви социјалног осигурања или пасоша, које Пореска управа може интерно проверити пре него што се изда онлајн пријава. Логистички трошкови су овде већи, али осигуравају да се може постићи виши ниво безбедности“, предложио је Купер.
дем10 / Гетти Имагес
Иако пореска управа није навела алтернативе које истражује, јасно је да нема недостатка опција.
Чак и док су заједно поздрављали ИРС што је поништила своју одлуку, стручњаци за безбедност истичу друге у влади, већину посебно Одељење за борачка питања, и даље користе исту основну услугу препознавања лица за верификацију идентитета сврхе.
То је нешто чега је ДеПаула млађи добро свестан и нада се да ће пореска управа „почети да иде у правом смеру, јер када једна владина агенција усвоји стандард, друге почињу да га следе“.