Bài học rút ra chính
- IRS đã bỏ kế hoạch sử dụng nhận dạng khuôn mặt để xác thực người nộp thuế.
- Bộ hiện đã nhận thức được các tác động về bảo mật / quyền riêng tư của kế hoạch hiện đã bị thu hồi.
-
Các chuyên gia bảo mật và quyền riêng tư đã đề xuất một số giải pháp thay thế khả thi về tôn trọng quyền riêng tư.
Sử dụng nhận dạng khuôn mặt để xác minh danh tính của một cá nhân, theo kế hoạch hiện đã được thu hồi của IRS, chưa bao giờ là cách tiếp cận đúng đắn, khẳng định các chuyên gia bảo mật và quyền riêng tư.
Động thái của IRS đã thu hút nhiều ý kiến phản đối từ những người ủng hộ quyền riêng tư ngay từ khi nó được công bố. Vào ngày 7 tháng 2 năm 2022, một số nhà lập pháp đã tham gia hợp xướng thúc giục IRS đảo ngược quyết định của mình, mà bộ đã làm ngay sau đó, thay vào đó hứa hẹn sẽ khám phá các lựa chọn khác.
"IRS coi trọng quyền riêng tư và bảo mật của người đóng thuế và chúng tôi hiểu những lo ngại đã được nêu ra", ủy viên IRS Chuck Rettig lưu ý khi ông rút ra quyết định. "Mọi người nên cảm thấy thoải mái với cách thông tin cá nhân của họ được bảo mật và chúng tôi đang nhanh chóng theo đuổi các lựa chọn ngắn hạn không liên quan đến nhận dạng khuôn mặt."
Tiết kiệm khuôn mặt
Cơ quan đã lên kế hoạch sử dụng công nghệ xác thực từ ID.me và đã yêu cầu người dùng gửi video selfie cho công ty để truy cập vào tài khoản trực tuyến của họ.
Jay Paz, Giám đốc Cấp cao của Bộ phận Giao hàng tại Cob alt, nói với Lifewire qua email rằng mặc dù sinh trắc học đã trở thành một phần trong cuộc sống hàng ngày của chúng ta, nhưng nhờ có điện thoại thông minh và các thiết bị thông minh, việc sử dụng nó để xác thực là tự nguyện.
“Đối với các hệ thống và dữ liệu nhạy cảm hơn, như những gì IRS có quyền truy cập, điều quan trọng là phải có sự minh bạch về công nghệ và quy trình sẽ bảo vệ dữ liệu của người dùng,” Paz chỉ ra.
Tim Erlin, Phó chủ tịch Chiến lược tại Tripwire, đã đồng ý và nói với Lifewire qua email rằng mặc dù công nghệ nhận dạng khuôn mặt nói chung đang phân cực, nhưng đối với nhiều người, ý tưởng tin tưởng một bên thứ ba quản lý dữ liệu cá nhân như vậy là không thể chấp nhận được.
"Nếu Hoa Kỳ có luật bảo mật mạnh mẽ bảo vệ thông tin sinh trắc học của các cá nhân, thì đó sẽ là một tình huống khác. Tuy nhiên, nếu không có bất kỳ sự bảo vệ nào đối với dữ liệu của công dân Mỹ, việc áp dụng công nghệ này ở quy mô này sẽ là sơ suất về quyền riêng tư ", Lecio DePaula Jr., Phó chủ tịch Bảo vệ Dữ liệu tại KnowBe4, nói với Lifewire qua email.
Sau đó, có một thực tế là không phải tất cả mọi người đều có quyền truy cập vào khả năng xác thực sinh trắc học, điều mà Paul Laudanski, Trưởng bộ phận Tình báo Đe dọa tại Tessian, đã chỉ ra với Lifewire qua email. Ông lý giải điều này có thể là do một số yếu tố, chẳng hạn như thiếu quyền truy cập vào các dịch vụ internet đáng tin cậy hoặc các thiết bị có camera và cảm biến tương thích.
Giải pháp thay thế khả thi
DePaula Jr. tin rằng kế hoạch của IRS là một trong những tình huống mà phần cuối không biện minh cho phương tiện.
"Cổng có thể an toàn bằng cách tận dụng các yêu cầu mật khẩu mạnh cũng như xác thực hai yếu tố cho người dùng cuối, đây là một cách rẻ hơn, ít xâm nhập và không thiên vị hơn nhiều để bảo mật cổng mà không cần để tận dụng bên thứ ba, "anh ấy chọn.
Paz cũng ủng hộ các phương pháp xác minh danh tính phụ như vậy, đặc biệt là việc sử dụng các ứng dụng mật khẩu một lần dựa trên thời gian như Google Authenticator. Ngoài ra, ông đề xuất IRS cũng có thể thử sử dụng các số điện thoại đã được xác minh để nhắn tin mã SMS cho người dùng, đây có lẽ là giải pháp có thể truy cập rộng rãi nhất dành cho hầu hết mọi người dùng ở mọi lứa tuổi.
"Đối với các hệ thống và dữ liệu nhạy cảm hơn … điều quan trọng là phải có sự minh bạch về công nghệ và quy trình sẽ bảo vệ dữ liệu của người dùng."
Tuy nhiên, trước khi đưa ra giải pháp, Darren Cooper, CTO tại Egress, đã giải thích với Lifewire qua email rằng IRS sẽ phải đảm bảo cơ chế mà họ chọn có thể bảo vệ dữ liệu của người nộp thuế mà không gây ra các vấn đề về khả năng truy cập.
Anh ấy gợi ý rằng nếu bộ muốn ưu tiên mức độ bảo mật cao hơn, họ có thể sử dụng các phương tiện xác thực cá nhân vật lý như fob khóa bảo mật RSA. Tuy nhiên, phương pháp này phức tạp về mặt hậu cần. Xác thực qua SMS là một tùy chọn có khả năng ít phức tạp hơn, nhưng Cooper nói thêm rằng nó sẽ chỉ hoạt động nếu bộ phận có một số điện thoại di động đã biết cho tất cả mọi người.
"IRS cũng nên xem xét yêu cầu tương tác trước với người dùng để xác nhận danh tính của họ trước khi họ có thể truy cập dịch vụ. Ví dụ: họ có thể yêu cầu người nộp thuế nhập các chi tiết ID duy nhất, chẳng hạn như số an sinh xã hội hoặc số hộ chiếu, IRS có thể kiểm tra nội bộ trước khi đăng nhập trực tuyến. Chi phí hậu cần ở đây lớn hơn nhưng đảm bảo có thể đạt được mức độ bảo mật cao hơn ", Cooper đề xuất.
Mặc dù IRS chưa liệt kê các lựa chọn thay thế mà IRS đang khám phá, nhưng rõ ràng, không thiếu các lựa chọn.
Ngay cả khi họ ca ngợi IRS đã đảo ngược quyết định của mình, các chuyên gia bảo mật chỉ ra những người khác trong chính phủ, đặc biệt là Bộ Cựu chiến binh, vẫn sử dụng cùng một dịch vụ nhận dạng khuôn mặt cơ bản cho mục đích xác minh danh tính.
Đây là điều mà DePaula Jr nhận thức rõ và hy vọng IRS “bắt đầu đi đúng hướng, bởi vì một khi một cơ quan chính phủ thông qua một tiêu chuẩn, những cơ quan khác sẽ bắt đầu làm theo.”
