Mga Key Takeaway
- Ibinaba ng IRS ang mga planong gumamit ng facial recognition para sa pag-authenticate ng mga nagbabayad ng buwis.
- Alam na ngayon ng departamento ang mga implikasyon sa seguridad/privacy ng na-withdraw na nitong plano.
-
Ang mga dalubhasa sa seguridad at privacy ay nagmungkahi ng ilang praktikal na alternatibong may kinalaman sa privacy.
Ang paggamit ng facial recognition upang i-verify ang pagkakakilanlan ng isang indibidwal, alinsunod sa naalala na ngayong plano ng IRS, ay hindi kailanman naging tamang diskarte, igiit ang mga eksperto sa seguridad at privacy.
Ang hakbang ng IRS ay nakakuha ng mga brickbats mula sa mga tagapagtaguyod ng privacy mula sa sandaling ito ay inanunsyo. Noong Pebrero 7, 2022, ilang mambabatas ang sumali sa chorus na humihimok sa IRS na baligtarin ang desisyon nito, na ginawa ng departamento sa lalong madaling panahon, nangako sa halip na tuklasin ang iba pang mga opsyon.
"Sineseryoso ng IRS ang privacy at seguridad ng nagbabayad ng buwis, at naiintindihan namin ang mga alalahanin na ibinangon," sabi ni IRS commissioner Chuck Rettig habang binawi niya ang desisyon. "Dapat maging komportable ang lahat sa kung paano sini-secure ang kanilang personal na impormasyon, at mabilis kaming nagsasagawa ng mga panandaliang opsyon na hindi nagsasangkot ng pagkilala sa mukha."
Saving Face
Plano ng ahensya na gumamit ng teknolohiya sa pagpapatunay mula sa ID.me at hiniling sa mga user na magsumite ng mga video selfie sa kumpanya upang ma-access ang kanilang mga online na account.
Jay Paz, Senior Director ng Delivery sa Cob alt, ay nagsabi sa Lifewire sa pamamagitan ng email na habang ang biometrics ay naging bahagi na ng ating pang-araw-araw na buhay, salamat sa mga smartphone at smart device, ang paggamit nito para sa pagpapatotoo ay boluntaryo.
“Para sa mas sensitibong mga system at data, tulad ng kung ano ang access ng IRS, mahalagang magkaroon ng transparency sa teknolohiya at mga prosesong magpoprotekta sa data ng mga user,” ipinunto ni Paz.
Si Tim Erlin, VP ng Strategy sa Tripwire, ay sumang-ayon at sinabi sa Lifewire sa pamamagitan ng email na habang ang teknolohiya sa pagkilala sa mukha ay polarizing sa pangkalahatan, para sa marami, ang ideya ng pagtitiwala sa isang third-party na pamahalaan ang naturang personal na data ay hindi katanggap-tanggap.
"Kung ang United States ay may matatag na batas sa privacy na nagpoprotekta sa biometric na impormasyon ng mga indibidwal, magiging ibang sitwasyon iyon. Gayunpaman, nang walang anumang proteksyon para sa data ng mga mamamayang Amerikano, ang paggamit ng teknolohiyang ito sa sukat na ito ay magiging malpractice sa privacy, " sinabi ni Lecio DePaula Jr., VP ng Proteksyon ng Data sa KnowBe4, sa Lifewire sa pamamagitan ng email.
Kung gayon, mayroong katotohanan na hindi lahat ng tao ay may access sa mga kakayahan sa biometric na pagpapatotoo, isang bagay na itinuro ni Paul Laudanski, Pinuno ng Threat Intelligence sa Tessian, sa Lifewire sa pamamagitan ng email. Nangangatuwiran siya na maaaring dahil ito sa ilang salik, gaya ng kakulangan ng access sa mga maaasahang serbisyo sa internet o mga device na may mga compatible na camera at sensor.
Viable Alternatives
Naniniwala si DePaula Jr. na ang plano ng IRS ay isa sa mga sitwasyon kung saan hindi binibigyang-katwiran ng mga layunin ang paraan.
"Ang portal ay maaaring maging kasing-secure sa pamamagitan ng paggamit ng malakas na mga kinakailangan sa password pati na rin ang dalawang-factor na pagpapatotoo para sa mga end-user, na isang mas mura, hindi gaanong mapanghimasok, at walang pinapanigan na paraan upang ma-secure ang portal nang hindi nangangailangan para magamit ang isang third party, " ang palagay niya.
Ang Paz ay pabor din sa naturang pangalawang paraan ng pag-verify ng pagkakakilanlan, lalo na ang paggamit ng time-based na one-time na password na apps gaya ng Google Authenticator. Bilang kahalili, iminungkahi niya na maaari ding subukan ng IRS ang paggamit ng mga na-verify na numero ng telepono upang mag-text ng SMS code sa mga user, na marahil ang pinaka-malawak na naa-access na solusyon na magagamit sa halos lahat ng mga user sa lahat ng edad.
"Para sa mas sensitibong mga system at data… mahalagang magkaroon ng transparency sa teknolohiya at mga prosesong magpoprotekta sa data ng mga user."
Bago ito mag-zero in sa isang solusyon, gayunpaman, ipinaliwanag ni Darren Cooper, CTO sa Egress, sa Lifewire sa pamamagitan ng email na kakailanganin ng IRS na tiyaking mapoprotektahan ng mekanismong pipiliin nito ang data ng nagbabayad ng buwis nang hindi nagpapakilala ng mga isyu sa pagiging naa-access.
Iminungkahi niya na kung gusto ng departamento na unahin ang mas mataas na antas ng seguridad, maaari silang gumamit ng pisikal na paraan ng personal na pagpapatotoo gaya ng RSA security key fob. Ang pamamaraang ito, gayunpaman, ay kumplikado sa logistik. Ang pagpapatotoo sa SMS ay isang potensyal na hindi gaanong kumplikadong opsyon, ngunit idinagdag ni Cooper na gagana lamang ito kung ang departamento ay may kilalang numero ng mobile para sa lahat.
"Dapat ding isaalang-alang ng IRS ang isang kinakailangan para sa paunang pakikipag-ugnayan sa user upang kumpirmahin ang kanilang pagkakakilanlan bago nila ma-access ang serbisyo. Halimbawa, maaari nilang hilingin sa mga nagbabayad ng buwis na magpasok ng mga natatanging detalye ng ID, gaya ng social security o mga numero ng pasaporte, na maaaring suriin ng IRS sa loob bago maglabas ng online na pag-log in. Ang logistical overhead dito ay mas malaki ngunit tinitiyak na mas mataas na antas ng seguridad ang makakamit, " iminungkahi ni Cooper.
Bagama't hindi inilista ng IRS ang mga alternatibong tinitingnan nito, malinaw na walang kakulangan sa mga opsyon.
Kahit na sama-sama nilang pinuri ang IRS sa pagbaligtad sa desisyon nito, itinuturo ng mga eksperto sa seguridad ang iba pa sa gobyerno, lalo na ang Department of Veterans Affairs, ay gumagamit pa rin ng parehong pinagbabatayan na serbisyo sa pagkilala sa mukha para sa mga layunin ng pag-verify ng pagkakakilanlan.
Ito ay isang bagay na alam na alam ni DePaula Jr. at umaasa na ang IRS ay “magsisimulang magtungo sa tamang direksyon, dahil kapag ang isang ahensya ng gobyerno ay nagpatibay ng isang pamantayan, ang iba ay nagsisimulang sumunod.”