الوجبات الجاهزة الرئيسية
- أسقطت مصلحة الضرائب خططًا لاستخدام التعرف على الوجه لمصادقة دافعي الضرائب.
- أصبح القسم الآن على دراية بتداعيات الأمان / الخصوصية لخطته التي تم سحبها الآن.
-
اقترح خبراء الأمن والخصوصية عدة بدائل قابلة للتطبيق تحترم الخصوصية.
استخدام التعرف على الوجه للتحقق من هوية الفرد ، وفقًا لخطة IRS التي تم استدعاؤها الآن ، لم يكن النهج الصحيح أبدًا ، أكد خبراء الأمن والخصوصية.
استقطبت خطوة مصلحة الضرائب الأمريكية من دعاة الخصوصية منذ لحظة الإعلان عنها. في 7 فبراير 2022 ، انضم العديد من المشرعين إلى الجوقة وحثوا مصلحة الضرائب على التراجع عن قرارها ، وهو ما فعلته الوزارة بعد فترة وجيزة ، ووعد بدلاً من ذلك باستكشاف خيارات أخرى.
أشار مفوض مصلحة الضرائب تشاك ريتيج إلى أنه تراجع عن القرار"إن مصلحة الضرائب تأخذ خصوصية دافعي الضرائب وأمنهم على محمل الجد ، ونحن نتفهم المخاوف التي أثيرت". "يجب أن يشعر الجميع بالراحة تجاه كيفية تأمين معلوماتهم الشخصية ، ونحن نتبع بسرعة خيارات قصيرة المدى لا تتضمن التعرف على الوجه."
حفظ الوجه
خططت الوكالة لاستخدام تقنية المصادقة من ID.me وطلبت من المستخدمين إرسال صور شخصية بالفيديو إلى الشركة للوصول إلى حساباتهم عبر الإنترنت.
قال جاي باز ، كبير مديري التسليم في Cob alt ، لـ Lifewire عبر البريد الإلكتروني أنه بينما أصبحت القياسات الحيوية جزءًا من حياتنا اليومية ، بفضل الهواتف الذكية والأجهزة الذكية ، كان استخدامها للمصادقة طوعيًا.
أشار باز إلى أنه "بالنسبة للأنظمة والبيانات الأكثر حساسية ، مثل ما يمكن لـ IRS الوصول إليه ، من الضروري وجود شفافية في التكنولوجيا والعمليات التي ستحمي بيانات المستخدمين".
وافق تيم إيرلين ، نائب رئيس الإستراتيجية في Tripwire ، وأخبر Lifewire عبر البريد الإلكتروني أنه في حين أن تقنية التعرف على الوجه مستقطبة بشكل عام ، بالنسبة للكثيرين ، فإن فكرة الوثوق بطرف ثالث لإدارة مثل هذه البيانات الشخصية أمر غير مقبول.
"إذا كان لدى الولايات المتحدة قانون خصوصية قوي يحمي معلومات القياسات الحيوية للأفراد ، فسيكون هذا وضعًا مختلفًا. ومع ذلك ، بدون أي حماية لبيانات المواطنين الأمريكيين ، فإن اعتماد هذه التكنولوجيا على هذا النطاق سيكون سوء التصرف بشأن الخصوصية ، "Lecio DePaula Jr. ، نائب رئيس حماية البيانات في KnowBe4 ، أخبر Lifewire عبر البريد الإلكتروني.
ثم هناك حقيقة أنه ليس كل الأشخاص لديهم إمكانية الوصول إلى إمكانات المصادقة البيومترية ، وهو ما أشار إليه بول لودانسكي ، رئيس استخبارات التهديدات في Tessian ، لـ Lifewire عبر البريد الإلكتروني.ورأى أن هذا قد يرجع إلى عدة عوامل ، مثل عدم الوصول إلى خدمات الإنترنت الموثوقة أو الأجهزة المزودة بكاميرات وأجهزة استشعار متوافقة.
بدائل قابلة للتطبيق
يعتقد DePaula Jr. أن خطة IRS كانت واحدة من تلك المواقف التي لا تبرر فيها الغايات الوسيلة.
"يمكن أن تكون البوابة آمنة بنفس القدر من خلال الاستفادة من متطلبات كلمة المرور القوية بالإضافة إلى المصادقة الثنائية للمستخدمين النهائيين ، وهي طريقة أقل تكلفة وأقل تدخلاً وغير منحازة لتأمين البوابة دون الحاجة إلى ذلك. للاستفادة من طرف ثالث ".
Paz يؤيد مثل هذه الأساليب الثانوية للتحقق من الهوية أيضًا ، لا سيما استخدام تطبيقات كلمات المرور لمرة واحدة المستندة إلى الوقت مثل Google Authenticator. بدلاً من ذلك ، اقترح أن تحاول IRS أيضًا استخدام أرقام الهواتف التي تم التحقق منها لإرسال رمز SMS إلى المستخدمين ، والذي ربما يكون الحل الأكثر سهولة للوصول إلى جميع المستخدمين تقريبًا من جميع الأعمار.
"بالنسبة للأنظمة والبيانات الأكثر حساسية … من الضروري وجود شفافية في التكنولوجيا والعمليات التي ستحمي بيانات المستخدمين."
قبل ذلك ، أوضح دارين كوبر ، كبير موظفي التكنولوجيا في Egress ، لـ Lifewire عبر البريد الإلكتروني ، أنه سيتعين على مصلحة الضرائب الأمريكية التأكد من أن الآلية التي تختارها يمكنها حماية بيانات دافعي الضرائب دون تقديم مشكلات إمكانية الوصول.
اقترح أنه إذا أراد القسم إعطاء الأولوية لمستوى أعلى من الأمان ، فيمكنه استخدام الوسائل المادية للمصادقة الشخصية مثل مفتاح أمان RSA. هذه الطريقة ، مع ذلك ، معقدة من الناحية اللوجستية. تعد مصادقة الرسائل القصيرة خيارًا أقل تعقيدًا ، لكن كوبر أضاف أنه لن يعمل إلا إذا كان لدى القسم رقم هاتف محمول معروف للجميع.
"يجب أن تأخذ مصلحة الضرائب في الاعتبار أيضًا مطلبًا للتفاعل المسبق مع المستخدم لتأكيد هويته قبل أن يتمكن من الوصول إلى الخدمة. على سبيل المثال ، يمكن أن يطلبوا من دافعي الضرائب إدخال تفاصيل هوية فريدة ، مثل أرقام الضمان الاجتماعي أو جواز السفر ، والتي يمكن التحقق منها من قِبل مصلحة الضرائب داخليًا قبل إصدار تسجيل الدخول عبر الإنترنت.النفقات اللوجستية هنا أكبر ولكنها تضمن تحقيق مستوى أعلى من الأمن "، اقترح كوبر.
بينما لم تدرج مصلحة الضرائب الأمريكية البدائل التي تستكشفها ، من الواضح أنه لا يوجد نقص في الخيارات.
حتى عندما أشادوا بشكل جماعي بـ IRS لعكس قرارها ، يشير خبراء الأمن إلى آخرين في الحكومة ، وعلى الأخص وزارة شؤون المحاربين القدامى ، لا يزالون يستخدمون نفس خدمة التعرف على الوجه الأساسية لأغراض التحقق من الهوية.
هذا شيء يدركه DePaula Jr. جيدًا ويأمل أن تبدأ مصلحة الضرائب "في السير في الاتجاه الصحيح ، لأنه بمجرد أن تتبنى وكالة حكومية معيارًا ما ، يبدأ الآخرون في اتباعه".
