การรับรองความถูกต้องของผู้ใช้ด้วยการจดจำใบหน้าไม่ใช่ความคิดที่ดี ผู้เชี่ยวชาญกล่าว

February 10, 2022
ในข่าว อินเทอร์เน็ตและความปลอดภัย

ประเด็นที่สำคัญ

กรมสรรพากรได้ยกเลิกแผนการใช้การจดจำใบหน้าเพื่อรับรองความถูกต้องของผู้เสียภาษี
หน่วยงานรับทราบถึงผลกระทบด้านความปลอดภัย/ความเป็นส่วนตัวของแผนยกเลิกแล้วในขณะนี้
ผู้เชี่ยวชาญด้านความปลอดภัยและความเป็นส่วนตัวได้แนะนำทางเลือกอื่นๆ ที่เคารพต่อความเป็นส่วนตัว

ผู้ชายกับพื้นหลังสีดำที่มีเส้นดิจิตอลบนใบหน้าของเขา — Spencer Whalen / EyeEm / Getty Images

การใช้การจดจำใบหน้าเพื่อยืนยันตัวตนของบุคคลตาม กรมสรรพากรเรียกคืนแผนไม่เคยเป็นแนวทางที่ถูกต้อง ยืนยันผู้เชี่ยวชาญด้านความปลอดภัยและความเป็นส่วนตัว

ความเคลื่อนไหวของกรมสรรพากร ดึงอิฐ จากผู้สนับสนุนความเป็นส่วนตัวตั้งแต่ประกาศ เมื่อวันที่ 7 กุมภาพันธ์ พ.ศ. 2565 ผู้ร่างกฎหมายหลายคน เข้าร่วมคณะนักร้องประสานเสียงเรียกร้องให้กรมสรรพากรยกเลิกการตัดสินใจซึ่ง แผนกไม่ได้ หลังจากนั้นไม่นาน สัญญาว่าจะสำรวจทางเลือกอื่นแทน

“กรมสรรพากรให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยของผู้เสียภาษีอย่างจริงจัง และเราเข้าใจถึงข้อกังวลที่ได้รับการหยิบยกขึ้นมา” Chuck Rettig กรรมาธิการกรมสรรพากรตั้งข้อสังเกตในขณะที่เขายกเลิกการตัดสินใจ "ทุกคนควรรู้สึกสบายใจกับการรักษาความปลอดภัยของข้อมูลส่วนบุคคล และเรากำลังดำเนินการอย่างรวดเร็วตัวเลือกระยะสั้นที่ไม่เกี่ยวข้องกับการจดจำใบหน้า"

ออมทรัพย์ใบหน้า

หน่วยงานวางแผนที่จะใช้เทคโนโลยีการรับรองความถูกต้องจาก ID.me และขอให้ผู้ใช้ส่งวิดีโอเซลฟี่ให้กับบริษัทเพื่อเข้าถึงบัญชีออนไลน์ของพวกเขา

เจ ปาซ, ผู้อำนวยการอาวุโสฝ่ายจัดส่งสินค้าที่ โคบอลต์บอกกับ Lifewire ทางอีเมลว่าแม้ว่าไบโอเมตริกจะเป็นส่วนหนึ่งของชีวิตประจำวันของเราแล้วก็ตาม ต้องขอบคุณสมาร์ทโฟนและอุปกรณ์อัจฉริยะ การใช้งานสำหรับการตรวจสอบสิทธิ์นั้นเป็นไปโดยสมัครใจ

“สำหรับระบบและข้อมูลที่มีความละเอียดอ่อนมากขึ้น เช่น สิ่งที่ IRS เข้าถึงได้ มีความโปร่งใสในเทคโนโลยีและกระบวนการที่จะปกป้องข้อมูลของผู้ใช้” Paz ชี้ให้เห็น

ทิม เออร์ลิน, VP of Strategy ที่ ทริปไวร์ตกลงและบอกกับ Lifewire ทางอีเมลว่าแม้ว่าเทคโนโลยีการจดจำใบหน้าจะมีการแบ่งขั้วโดยทั่วไป แต่สำหรับหลายๆ คน แนวคิดในการไว้วางใจบุคคลที่สามให้จัดการข้อมูลส่วนบุคคลดังกล่าวนั้นเป็นสิ่งที่ยอมรับไม่ได้

“หากสหรัฐอเมริกามีกฎหมายความเป็นส่วนตัวที่เข้มงวดซึ่งปกป้องข้อมูลไบโอเมตริกซ์ของบุคคล นั่นจะเป็นสถานการณ์ที่แตกต่างออกไป อย่างไรก็ตาม หากปราศจากการคุ้มครองข้อมูลของพลเมืองอเมริกัน การใช้เทคโนโลยีนี้ในระดับนี้จะถือเป็นการละเมิดความเป็นส่วนตัว" เลซิโอ เดอพอลล่า จูเนียร์, VP of Data Protection ที่ KnowBe4บอก Lifewire ทางอีเมล

แล้วมีความจริงที่ว่าไม่ใช่ทุกคนที่จะเข้าถึงความสามารถในการตรวจสอบไบโอเมตริกซ์บางอย่าง Paul Laudanski, Head of Threat Intelligence ที่ Tessianชี้ไปที่ Lifewire ทางอีเมล เขาให้เหตุผลว่าอาจเป็นเพราะปัจจัยหลายประการ เช่น ขาดการเข้าถึงบริการอินเทอร์เน็ตที่เชื่อถือได้ หรืออุปกรณ์ที่มีกล้องและเซ็นเซอร์ที่เข้ากันได้

ทางเลือกที่เป็นไปได้

DePaula Jr. เชื่อว่าแผนของ IRS เป็นหนึ่งในสถานการณ์เหล่านั้นที่จุดจบไม่ได้แสดงให้เห็นถึงวิธีการ

"พอร์ทัลสามารถมีความปลอดภัยได้โดยการใช้ประโยชน์จากข้อกำหนดรหัสผ่านที่รัดกุม เช่นเดียวกับการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ปลายทาง ซึ่งเป็นวิธีที่ถูกกว่ามาก ล่วงล้ำน้อยกว่า และเป็นกลางในการรักษาความปลอดภัยพอร์ทัลโดยไม่ต้องอาศัยบุคคลที่สาม" เขา ความเห็น

Paz ก็สนับสนุนวิธีการยืนยันตัวตนสำรองเช่นกัน โดยเฉพาะอย่างยิ่งการใช้แอปรหัสผ่านแบบใช้ครั้งเดียวตามเวลา เช่น Google Authenticator หรือเขาแนะนำให้กรมสรรพากรสามารถใช้หมายเลขโทรศัพท์ที่ยืนยันแล้วเพื่อส่งข้อความ SMS ไปที่ ผู้ใช้ ซึ่งอาจเป็นโซลูชันที่เข้าถึงได้อย่างกว้างขวางที่สุดสำหรับผู้ใช้แทบทุกคน อายุ

"สำหรับระบบและข้อมูลที่มีความละเอียดอ่อนมากขึ้น... สิ่งสำคัญคือต้องมีความโปร่งใสในเทคโนโลยีและกระบวนการที่จะปกป้องข้อมูลของผู้ใช้"

ก่อนที่มันจะศูนย์ในการแก้ปัญหาอย่างไรก็ตาม ดาร์เรน คูเปอร์, CTO ที่ ทางออกอธิบายให้ Lifewire ทางอีเมลว่ากรมสรรพากรจะต้องตรวจสอบให้แน่ใจว่ากลไกที่เลือกสามารถปกป้องข้อมูลผู้เสียภาษีได้โดยไม่ต้องแนะนำปัญหาการเข้าถึง

เขาแนะนำว่าหากแผนกต้องการจัดลำดับความสำคัญของการรักษาความปลอดภัยในระดับที่สูงขึ้น พวกเขาสามารถใช้วิธีการทางกายภาพของการตรวจสอบส่วนบุคคล เช่น fob คีย์ความปลอดภัย RSA อย่างไรก็ตาม วิธีการนี้มีความซับซ้อนทางลอจิสติกส์ การตรวจสอบสิทธิ์ SMS เป็นตัวเลือกที่อาจซับซ้อนน้อยกว่า แต่ Cooper เพิ่มว่าจะใช้ได้ก็ต่อเมื่อแผนกมีหมายเลขโทรศัพท์มือถือที่รู้จักสำหรับทุกคน

"กรมสรรพากรควรพิจารณาข้อกำหนดสำหรับการโต้ตอบกับผู้ใช้ก่อนเพื่อยืนยันตัวตนก่อนจะสามารถเข้าถึงบริการได้ ตัวอย่างเช่น พวกเขาสามารถกำหนดให้ผู้เสียภาษีป้อนรายละเอียดบัตรประจำตัวที่ไม่ซ้ำกัน เช่น หมายเลขประกันสังคมหรือหมายเลขหนังสือเดินทาง ซึ่งกรมสรรพากรตรวจสอบภายในได้ก่อนที่จะออกการเข้าสู่ระบบออนไลน์ ค่าโสหุ้ยด้านลอจิสติกส์ที่นี่สูงกว่า แต่รับประกันว่าจะสามารถบรรลุการรักษาความปลอดภัยในระดับที่สูงขึ้นได้" คูเปอร์กล่าว

พื้นหลังนามธรรมปัญญาประดิษฐ์และเทคโนโลยี — รูปภาพ dem10 / Getty

แม้ว่ากรมสรรพากรไม่ได้ระบุทางเลือกอื่นที่กำลังสำรวจ แต่ก็ไม่มีปัญหาการขาดแคลนตัวเลือก

แม้ว่าพวกเขาจะยกย่องกรมสรรพากรเพื่อยกเลิกการตัดสินใจ ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นถึงหน่วยงานอื่นๆ ในรัฐบาล ส่วนใหญ่ โดยเฉพาะอย่างยิ่งกรมกิจการทหารผ่านศึกยังคงใช้บริการจดจำใบหน้าพื้นฐานเดิมเพื่อตรวจสอบตัวตน วัตถุประสงค์

นี่คือสิ่งที่ DePaula Jr. ตระหนักดีและหวังว่ากรมสรรพากร "จะเริ่มมุ่งหน้าไปในทิศทางที่ถูกต้อง เพราะเมื่อหน่วยงานของรัฐแห่งหนึ่งใช้มาตรฐาน หน่วยงานอื่นๆ ก็เริ่มปฏิบัติตาม"