Önemli Bilgiler
- IRS, vergi mükelleflerinin kimliğini doğrulamak için yüz tanıma kullanma planlarını iptal etti.
- Departman, şimdi geri çekilen planının güvenlik/gizlilik etkilerinin artık farkında.
-
Güvenlik ve gizlilik uzmanları, mahremiyete saygılı birkaç uygun alternatif önerdi.
IRS'nin şu anda hatırlanan planına göre, bir bireyin kimliğini doğrulamak için yüz tanımayı kullanmak hiçbir zaman doğru bir yaklaşım olmadı, güvenlik ve gizlilik uzmanlarını öne çıkarın.
IRS'nin hareketi, duyurulduğu andan itibaren gizlilik savunucularının tepkisini çekti. 7 Şubat 2022'de birkaç milletvekili, IRS'yi kararını tersine çevirmeye çağıran koroya katıldı, ancak bakanlık kısa süre sonra bunu yaptı ve bunun yerine diğer seçenekleri keşfetmeye söz verdi.
"IRS vergi mükelleflerinin gizliliğini ve güvenliğini ciddiye alıyor ve dile getirilen endişeleri anlıyoruz, " diye belirtti IRS komisyon üyesi Chuck Rettig kararı geri çekerken. "Herkes kişisel bilgilerinin nasıl güvende olduğu konusunda kendini rahat hissetmeli ve yüz tanımayı içermeyen kısa vadeli seçenekleri hızla takip ediyoruz."
Yüzü Kaydetme
Ajans, ID.me'den gelen kimlik doğrulama teknolojisini kullanmayı planladı ve kullanıcılardan çevrimiçi hesaplarına erişmek için şirkete video özçekimleri göndermelerini istedi.
Cob alt Kıdemli Teslimat Direktörü Jay Paz, Lifewire'a e-posta yoluyla, biyometrinin akıllı telefonlar ve akıllı cihazlar sayesinde günlük hayatımızın bir parçası haline gelmesine rağmen, kimlik doğrulama için kullanımının gönüllü olduğunu söyledi.
"IRS'nin erişebildiği gibi daha hassas sistemler ve veriler için, kullanıcıların verilerini koruyacak teknoloji ve süreçlerde şeffaflığa sahip olmak hayati önem taşıyor" dedi Paz.
Tripwire'da Strateji Başkan Yardımcısı Tim Erlin, Lifewire'a e-posta yoluyla, yüz tanıma teknolojisi genel olarak kutuplaşırken, çoğu kişi için bu tür kişisel verileri yönetmek için üçüncü bir tarafa güvenme fikrinin kabul edilemez olduğunu kabul etti ve söyledi.
Amerika Birleşik Devletleri, bireylerin biyometrik bilgilerini koruyan sağlam bir gizlilik yasasına sahip olsaydı, bu farklı bir durum olurdu. Ancak, Amerikan vatandaşlarının verileri için herhangi bir koruma olmadan, bu teknolojiyi bu ölçekte benimsemek olurdu. KnowBe4'te Veri Koruma Başkan Yardımcısı Lecio DePaula Jr., e-posta üzerinden Lifewire'a şunları söyledi:
Öyleyse herkesin biyometrik kimlik doğrulama yeteneklerine erişimi olmadığı gerçeği var, Tessian Tehdit İstihbaratı Başkanı Paul Laudanski e-posta üzerinden Lifewire'a işaret etti. Bunun güvenilir internet hizmetlerine veya uyumlu kameralara ve sensörlere sahip cihazlara erişim eksikliği gibi çeşitli faktörlerden kaynaklanabileceğini düşündü.
Uygun Alternatifler
DePaula Jr., IRS'nin planının, amaçların araçları haklı çıkarmadığı durumlardan biri olduğuna inanıyor.
"Güçlü parola gereksinimlerinden ve son kullanıcılar için iki faktörlü kimlik doğrulamasından yararlanarak portal aynı derecede güvenli olabilir; üçüncü bir taraftan yararlanmak için," diye belirtti.
Paz, özellikle Google Authenticator gibi zamana dayalı tek kullanımlık şifre uygulamalarının kullanılması gibi ikincil kimlik doğrulama yöntemlerinden de yanadır. Alternatif olarak, IRS'nin, kullanıcılara bir SMS kodu göndermek için doğrulanmış telefon numaralarını kullanmayı deneyebileceğini de önerdi; bu, belki de her yaştan hemen hemen tüm kullanıcılar için mevcut olan en yaygın şekilde erişilebilir çözümdür.
"Daha hassas sistemler ve veriler için… kullanıcıların verilerini koruyacak teknoloji ve süreçlere ilişkin şeffaflığa sahip olmak hayati önem taşır."
Ancak Egress CTO'su Darren Cooper, Lifewire'a e-posta yoluyla bir çözüme odaklanmadan önce, IRS'nin seçtiği mekanizmanın erişilebilirlik sorunları getirmeden vergi mükellefi verilerini koruyabilmesini sağlaması gerektiğini açıkladı.
Departman daha yüksek bir güvenlik düzeyine öncelik vermek istiyorsa, RSA güvenlik anahtarı gibi fiziksel kişisel kimlik doğrulama yöntemlerini kullanabileceğini önerdi. Ancak bu yöntem lojistik açıdan karmaşıktır. SMS kimlik doğrulaması potansiyel olarak daha az karmaşık bir seçenektir, ancak Cooper bunun yalnızca departmanın herkes için bilinen bir cep telefonu numarasına sahip olması durumunda çalışacağını ekledi.
"IRS ayrıca, hizmete erişmeden önce kimliğini doğrulamak için kullanıcıyla önceden etkileşim kurma gereksinimini de dikkate almalıdır. Örneğin, vergi mükelleflerinin sosyal güvenlik veya pasaport numaraları gibi benzersiz kimlik bilgilerini girmesini isteyebilirler., çevrimiçi bir giriş yapılmadan önce IRS tarafından dahili olarak kontrol edilebilir. Buradaki lojistik ek yük daha fazladır, ancak daha yüksek bir güvenlik seviyesinin elde edilmesini sağlar, " diye önerdi Cooper.
IRS, araştırdığı alternatifleri listelememiş olsa da, açık bir şekilde seçenek sıkıntısı yok.
Kararını tersine çevirdiği için IRS'yi topluca selamlasalar bile, güvenlik uzmanları hükümetteki diğer kişilerin, özellikle de Gazi İşleri Bakanlığı'nın, kimlik doğrulama amacıyla hâlâ aynı temel yüz tanıma hizmetini kullandığına dikkat çekiyor.
Bu, DePaula Jr.'ın çok iyi bildiği bir şey ve IRS'nin "doğru yönde ilerlemeye başlayacağını, çünkü bir devlet kurumu bir standardı benimsediğinde diğerleri de onu takip etmeye başlayacağını" umuyor.
