Key takeaways
- IRS har droppet planene om å bruke ansiktsgjenkjenning for å autentisere skattebetalere.
- Avdelingen er nå klar over sikkerhets-/personvernimplikasjonene av sin nå trukket tilbake plan.
-
Sikkerhets- og personverneksperter har foreslått flere levedyktige alternativer som respekterer personvernet.
Å bruke ansiktsgjenkjenning for å bekrefte en persons identitet, i henhold til skattemyndighetenes nå tilbakek alte plan, var aldri den riktige tilnærmingen, hevdet sikkerhets- og personverneksperter.
Skattemyndighetenes trekk trakk brickbats fra personvernforkjempere fra det øyeblikket det ble kunngjort. 7. februar 2022 sluttet flere lovgivere seg til koret som oppfordret skattemyndighetene til å omgjøre avgjørelsen, noe avdelingen gjorde like etter, og lovet i stedet å utforske andre alternativer.
"IRS tar skattebetalers personvern og sikkerhet på alvor, og vi forstår bekymringene som har blitt reist," bemerket IRS-kommissær Chuck Rettig da han trakk tilbake avgjørelsen. "Alle skal føle seg komfortable med hvordan deres personlige opplysninger er sikret, og vi forfølger raskt kortsiktige alternativer som ikke involverer ansiktsgjenkjenning."
Saving Face
Byrået planla å bruke autentiseringsteknologi fra ID.me og hadde bedt brukere sende inn videoselfier til selskapet for å få tilgang til nettkontoene deres.
Jay Paz, Senior Director of Delivery i Cob alt, fort alte Lifewire over e-post at selv om biometri har blitt en del av hverdagen vår, takket være smarttelefoner og smartenheter, har bruken for autentisering vært frivillig.
"For mer sensitive systemer og data, som det skattemyndighetene har tilgang til, er det viktig å ha åpenhet i teknologien og prosessene som vil beskytte brukernes data," påpekte Paz.
Tim Erlin, VP of Strategy i Tripwire, var enig og fort alte Lifewire via e-post at selv om teknologi for ansiktsgjenkjenning polariserer generelt, er ideen om å stole på en tredjepart for å administrere slike personopplysninger uakseptabel for mange.
"Hvis USA hadde en robust personvernlov som beskyttet den biometriske informasjonen til enkeltpersoner, ville det vært en annen situasjon. Men uten noen beskyttelse for dataene til amerikanske borgere, ville det å ta i bruk denne teknologien i denne skalaen være personvernfeil," sa Lecio DePaula Jr., VP of Data Protection hos KnowBe4, til Lifewire via e-post.
Så er det det faktum at ikke alle mennesker har tilgang til biometriske autentiseringsfunksjoner, noe Paul Laudanski, leder for trusseletterretning hos Tessian, påpekte til Lifewire over e-post. Han begrunnet dette kan skyldes flere faktorer, for eksempel mangel på tilgang til pålitelige internetttjenester eller enheter med kompatible kameraer og sensorer.
Levende alternativer
DePaula Jr. mener at skattemyndighetenes plan var en av de situasjonene der målene ikke rettferdiggjør midlene.
Portalen kan være like sikker ved å utnytte sterke passordkrav samt tofaktorautentisering for sluttbrukerne, som er en mye rimeligere, mindre påtrengende og objektiv måte å sikre portalen på uten behov å utnytte en tredjepart», mente han.
Paz er for slike sekundære identitetsbekreftelsesmetoder også, spesielt bruken av tidsbaserte engangspassordapper som Google Authenticator. Alternativt foreslo han at skattemyndighetene også kan prøve å bruke bekreftede telefonnumre for å sende en SMS-kode til brukere, som kanskje er den mest tilgjengelige løsningen som er tilgjengelig for praktisk t alt alle brukere i alle aldre.
"For mer sensitive systemer og data… er det viktig å ha åpenhet i teknologien og prosessene som vil beskytte brukernes data."
Før den nuller på en løsning, forklarte Darren Cooper, CTO hos Egress, imidlertid til Lifewire via e-post at IRS må sikre at mekanismen den velger kan beskytte skattebetalers data uten å introdusere tilgjengelighetsproblemer.
Han foreslo at hvis avdelingen ønsker å prioritere et høyere sikkerhetsnivå, kan de bruke fysiske midler for personlig autentisering som en RSA-sikkerhetsnøkkel. Denne metoden er imidlertid logistisk kompleks. SMS-autentisering er et potensielt mindre komplekst alternativ, men Cooper la til at det bare vil fungere hvis avdelingen har et kjent mobilnummer for alle.
"IRS bør også vurdere et krav om forhåndsinteraksjon med brukeren for å bekrefte identiteten deres før de kan få tilgang til tjenesten. De kan for eksempel kreve at skattebetalere oppgir unike ID-detaljer, som personnummer eller passnummer, som kan kontrolleres av IRS internt før en online pålogging utstedes. De logistiske overheadene her er større, men sikrer at et høyere sikkerhetsnivå kan oppnås," foreslo Cooper.
Selv om skattemyndighetene ikke har listet opp alternativene de utforsker, er det tydeligvis ingen mangel på alternativer.
Selv om de kollektivt hyllet skattemyndighetene for å omgjøre beslutningen, påpeker sikkerhetseksperter at andre i regjeringen, spesielt Department of Veterans Affairs, fortsatt bruker den samme underliggende ansiktsgjenkjenningstjenesten for identitetsverifiseringsformål.
Dette er noe DePaula Jr. er godt klar over og håper skattemyndighetene «begynner å gå i riktig retning, for når ett offentlig byrå vedtar en standard, begynner andre å følge.»
