Clau per emportar
- L'IRS ha abandonat els plans per utilitzar el reconeixement facial per autenticar els contribuents.
- El departament ara és conscient de les implicacions de seguretat/privadesa del seu pla ara retirat.
-
Els experts en seguretat i privadesa han suggerit diverses alternatives viables que respecten la privadesa.
Utilitzar el reconeixement facial per verificar la identitat d'una persona, segons el pla de l'IRS ara retirat, mai va ser l'enfocament correcte, afirmen els experts en seguretat i privadesa.
La mesura de l'IRS va atraure els crits dels defensors de la privadesa des del moment en què es va anunciar. El 7 de febrer de 2022, diversos legisladors es van unir al cor per instar l'IRS a revertir la seva decisió, cosa que el departament va fer poc després, prometent-se explorar altres opcions.
"L'IRS es pren seriosament la privadesa i la seguretat dels contribuents, i entenem les preocupacions que s'han plantejat", va assenyalar el comissari de l'IRS, Chuck Rettig, quan es va retractar de la decisió. "Tothom hauria de sentir-se còmode amb com es protegeix la seva informació personal, i estem buscant ràpidament opcions a curt termini que no impliquin reconeixement facial."
Desar la cara
L'agència tenia previst utilitzar la tecnologia d'autenticació d'ID.me i havia demanat als usuaris que enviessin selfies de vídeo a l'empresa per accedir als seus comptes en línia.
Jay Paz, director sènior de lliurament de Cob alt, va dir a Lifewire per correu electrònic que, tot i que la biometria s'ha convertit en part de la nostra vida diària, gràcies als telèfons intel·ligents i els dispositius intel·ligents, el seu ús per a l'autenticació ha estat voluntari..
"Per a sistemes i dades més sensibles, com el que té accés l'IRS, és vital tenir transparència en la tecnologia i els processos que salvaguardaran les dades dels usuaris", va assenyalar Paz..
Tim Erlin, vicepresident d'Estratègia de Tripwire, va estar d'acord i va dir a Lifewire per correu electrònic que, tot i que la tecnologia de reconeixement facial s'està polaritzant en general, per a molts, la idea de confiar en un tercer per gestionar aquestes dades personals és inacceptable.
"Si els Estats Units tinguessin una llei de privadesa sòlida que protegiés la informació biomètrica de les persones, aquesta seria una situació diferent. Tanmateix, sense cap protecció per a les dades dels ciutadans nord-americans, adoptar aquesta tecnologia a aquesta escala seria mala pràctica de privadesa ", va dir Lecio DePaula Jr., vicepresident de Protecció de dades de KnowBe4, a Lifewire per correu electrònic.
Després hi ha el fet que no totes les persones tenen accés a les capacitats d'autenticació biomètrica, cosa que Paul Laudanski, cap d'intel·ligència d'amenaces de Tessian, va assenyalar a Lifewire per correu electrònic. Va raonar que això podria ser degut a diversos factors, com ara la manca d'accés a serveis d'Internet fiables o dispositius amb càmeres i sensors compatibles.
Alternatives viables
DePaula Jr. creu que el pla de l'IRS era una d'aquelles situacions en què els fins no justifiquen els mitjans.
"El portal pot ser igual de segur aprofitant els requisits de contrasenya forts i l'autenticació de dos factors per als usuaris finals, que és una manera molt més econòmica, menys intrusiva i imparcial de protegir el portal sense necessitat de per aprofitar un tercer", va opinar.
Paz també està a favor d'aquests mètodes secundaris de verificació d'identitat, especialment l'ús d'aplicacions de contrasenya d'un sol ús basades en el temps, com ara Google Authenticator. Alternativament, va suggerir que l'IRS també pot provar d'utilitzar números de telèfon verificats per enviar un missatge SMS als usuaris, que potser és la solució més accessible disponible per a pràcticament tots els usuaris de totes les edats.
"Per a sistemes i dades més sensibles… és vital tenir transparència en la tecnologia i els processos que protegiran les dades dels usuaris."
Abans d'aconseguir una solució, però, Darren Cooper, CTO d'Egress, va explicar a Lifewire per correu electrònic que l'IRS haurà d'assegurar-se que el mecanisme que seleccioneu pugui protegir les dades dels contribuents sense introduir problemes d'accessibilitat..
Va suggerir que si el departament vol prioritzar un nivell més alt de seguretat, podria utilitzar mitjans físics d'autenticació personal, com ara una clau de seguretat RSA. Aquest mètode, però, és logísticament complex. L'autenticació per SMS és una opció potencialment menys complexa, però Cooper va afegir que només funcionarà si el departament té un número de mòbil conegut per a tothom.
"L'IRS també hauria de considerar un requisit d'interacció prèvia amb l'usuari per confirmar la seva identitat abans de poder accedir al servei. Per exemple, podria exigir als contribuents que introduïssin dades d'identificació úniques, com ara números de seguretat social o de passaport., que l'IRS pot comprovar internament abans d'emetre un inici de sessió en línia. La sobrecàrrega logística aquí és més gran, però garanteix que es pugui aconseguir un nivell més alt de seguretat", va suggerir Cooper.
Tot i que l'IRS no ha enumerat les alternatives que està explorant, és evident que no hi ha escassetat d'opcions.
Tot i que van elogiar col·lectivament l'IRS per revertir la seva decisió, els experts en seguretat assenyalen que altres membres del govern, sobretot el Departament d'Afers de Veterans, segueixen utilitzant el mateix servei de reconeixement facial subjacent per a la verificació d'identitat.
Això és una cosa de la qual DePaula Jr. és ben conscient i espera que l'IRS "comença a dirigir-se en la direcció correcta, perquè una vegada que una agència governamental adopta una norma, altres comencen a seguir-la".
