მთავარი წაღებები
- საგადასახადო სამსახურმა უარი თქვა სახის ამოცნობის გეგმებზე გადასახადის გადამხდელთა ავთენტიფიკაციისთვის.
- დეპარტამენტი ახლა აცნობიერებს მისი ახლა ამოღებული გეგმის უსაფრთხოების/კონფიდენციალურობის გავლენას.
-
უსაფრთხოების და კონფიდენციალურობის ექსპერტებმა შემოგვთავაზეს კონფიდენციალურობის პატივისცემის რამდენიმე ეფექტური ალტერნატივა.
სახის ამოცნობის გამოყენება ინდივიდის ვინაობის გადასამოწმებლად, IRS-ის ახლა გახსენებული გეგმის მიხედვით, არასდროს ყოფილა სწორი მიდგომა, ამტკიცებენ უსაფრთხოებისა და კონფიდენციალურობის ექსპერტები.
საგადასახადო ინსპექტირების გადაწყვეტილებამ მიიპყრო კონფიდენციალურობის დამცველების მხრიდან მისი გამოცხადების მომენტიდან. 2022 წლის 7 თებერვალს, რამდენიმე კანონმდებელი შეუერთდა გუნდს და მოუწოდა IRS-ს შეეცვალა გადაწყვეტილება, რაც დეპარტამენტმა მალევე გააკეთა და დაჰპირდა სხვა ვარიანტების შესწავლას.
"გადასახადის გადამხდელთა კონფიდენციალურობასა და უსაფრთხოებას სერიოზულად ეკიდება და ჩვენ გვესმის, რომ წამოჭრილი შეშფოთებაა", - აღნიშნა IRS-ის კომისარმა ჩაკ რეტიგმა, როდესაც მან გააუქმა გადაწყვეტილება. „ყველამ კომფორტულად უნდა იგრძნოს, თუ როგორ არის დაცული მისი პერსონალური ინფორმაცია და ჩვენ სწრაფად ვეძებთ მოკლევადიან ვარიანტებს, რომლებიც არ მოიცავს სახის ამოცნობას.“
სახის შენახვა
სააგენტო გეგმავდა ID.me-დან ავტორიზაციის ტექნოლოგიის გამოყენებას და სთხოვდა მომხმარებლებს გაეგზავნათ ვიდეო სელფები კომპანიაში, რათა მათ ონლაინ ანგარიშებზე წვდომა ჰქონოდათ.
ჯეი პაზმა, Cob alt-ის მიწოდების უფროსმა დირექტორმა, განუცხადა Lifewire-ს ელექტრონული ფოსტით, რომ მიუხედავად იმისა, რომ ბიომეტრია გახდა ჩვენი ყოველდღიური ცხოვრების ნაწილი, სმარტფონებისა და ჭკვიანი მოწყობილობების წყალობით, მისი გამოყენება ავტორიზაციისთვის ნებაყოფლობითი იყო.
„უფრო მგრძნობიარე სისტემებისთვის და მონაცემებისთვის, როგორიცაა ის, რაზეც IRS-ს აქვს წვდომა, სასიცოცხლოდ მნიშვნელოვანია ტექნოლოგიებისა და პროცესების გამჭვირვალობა, რომლებიც დაიცავს მომხმარებლების მონაცემებს“, - აღნიშნა პაზმა.
ტიმ ერლინი, Tripwire-ის სტრატეგიის ვიცე-პრეზიდენტი, დათანხმდა და განუცხადა Lifewire-ს ელექტრონული ფოსტით, რომ მიუხედავად იმისა, რომ სახის ამოცნობის ტექნოლოგია ზოგადად პოლარიზებულია, ბევრისთვის ასეთი პერსონალური მონაცემების მართვის მესამე მხარის ნდობის იდეა მიუღებელია.
თუ შეერთებულ შტატებს ექნებოდა კონფიდენციალურობის მკაცრი კანონი, რომელიც იცავდა ინდივიდების ბიომეტრიულ ინფორმაციას, ეს სხვა სიტუაცია იქნებოდა. თუმცა, ამერიკის მოქალაქეების მონაცემების ყოველგვარი დაცვის გარეშე, ამ ტექნოლოგიის ამ მასშტაბის გამოყენება იქნებოდა. კონფიდენციალურობის დარღვევა“, განუცხადა ლესიო დეპაულა უმცროსმა, KnowBe4-ის მონაცემთა დაცვის ვიცე-პრეზიდენტმა, Lifewire-ს ელფოსტით.
მაშინ არის ის ფაქტი, რომ ყველა ადამიანს არ აქვს წვდომა ბიომეტრიული ავთენტიფიკაციის შესაძლებლობებზე, რასაც პოლ ლაუდანსკიმ, Tessian-ის საფრთხეების დაზვერვის ხელმძღვანელმა, მიანიშნა Lifewire-ს ელექტრონული ფოსტით.მისი აზრით, ეს შეიძლება გამოწვეული იყოს რამდენიმე ფაქტორით, როგორიცაა სანდო ინტერნეტ სერვისებზე ან თავსებადი კამერებითა და სენსორებით მოწყობილობებზე წვდომის ნაკლებობა.
სიცოცხლისუნარიანი ალტერნატივები
DePaula Jr. თვლის, რომ IRS-ის გეგმა იყო ერთ-ერთი იმ სიტუაციიდან, როდესაც მიზნები არ ამართლებს საშუალებებს.
პორტალი შეიძლება იყოს ისეთივე უსაფრთხო, თუ გამოიყენებს ძლიერი პაროლის მოთხოვნებს, ასევე ორფაქტორიან ავტორიზაციას საბოლოო მომხმარებლებისთვის, რაც ბევრად უფრო იაფი, ნაკლებად ინტრუზიული და მიუკერძოებელი გზაა პორტალის უზრუნველსაყოფად. მესამე მხარის ბერკეტის გამოყენება,”- თქვა მან.
Paz მხარს უჭერს იდენტურობის დადასტურების მეორად მეთოდებსაც, განსაკუთრებით დროზე დაფუძნებული ერთჯერადი პაროლის აპების გამოყენებას, როგორიცაა Google Authenticator. ალტერნატიულად, მან შესთავაზა IRS-ს ასევე შეუძლია შეეცადოს დადასტურებული ტელეფონის ნომრების გამოყენება SMS კოდის გაგზავნისთვის მომხმარებლებისთვის, რაც, ალბათ, ყველაზე ფართოდ ხელმისაწვდომი გამოსავალია, რომელიც ხელმისაწვდომია პრაქტიკულად ყველა ასაკის მომხმარებლისთვის.
"უფრო მგრძნობიარე სისტემებისთვის და მონაცემებისთვის… სასიცოცხლოდ მნიშვნელოვანია ტექნოლოგიებისა და პროცესების გამჭვირვალობა, რომლებიც დაიცავს მომხმარებლების მონაცემებს."
სანამ გადაწყვეტილების მიღებას ნულამდე მიაღწევს, დარენ კუპერმა, Egress-ის CTO-მ განუმარტა Lifewire-ს ელექტრონული ფოსტით, IRS უნდა უზრუნველყოს, რომ მის მიერ არჩეულ მექანიზმს შეუძლია დაიცვას გადასახადის გადამხდელთა მონაცემები ხელმისაწვდომობის საკითხების დანერგვის გარეშე.
მან შესთავაზა, რომ თუ დეპარტამენტს სურს პრიორიტეტად მიენიჭოს უსაფრთხოების უფრო მაღალი დონე, მათ შეეძლოთ გამოიყენონ პერსონალური ავტორიზაციის ფიზიკური საშუალებები, როგორიცაა RSA უსაფრთხოების გასაღები. თუმცა, ეს მეთოდი ლოჯისტიკურად რთულია. SMS ავთენტიფიკაცია პოტენციურად ნაკლებად რთული ვარიანტია, მაგრამ კუპერმა დაამატა, რომ ის იმუშავებს მხოლოდ იმ შემთხვევაში, თუ განყოფილებას აქვს ყველასთვის ცნობილი მობილური ნომერი.
საგადასახადო სამსახურმა ასევე უნდა განიხილოს მომხმარებელთან წინასწარი ინტერაქციის მოთხოვნა, რათა დაადასტუროს მისი ვინაობა, სანამ სერვისზე წვდომას შეძლებენ. მაგალითად, მათ შეუძლიათ მოითხოვონ გადასახადის გადამხდელებისგან შეიყვანონ უნიკალური პირადობის მონაცემები, როგორიცაა სოციალური უზრუნველყოფა ან პასპორტის ნომრები., რომელიც შეიძლება შემოწმდეს შიდა საგადასახადო სამსახურის მიერ ონლაინ შესვლის გაცემამდე.ლოგისტიკური ხარჯი აქ უფრო დიდია, მაგრამ უზრუნველყოფს უსაფრთხოების უფრო მაღალი დონის მიღწევას“, - შესთავაზა კუპერმა.
მიუხედავად იმისა, რომ IRS-ს არ აქვს ჩამოთვლილი ალტერნატივები, რომლებსაც ის იკვლევს, ცხადია, ვარიანტების ნაკლებობა არ არის.
მიუხედავად იმისა, რომ ისინი ერთობლივად მიესალმნენ IRS გადაწყვეტილების შეცვლას, უსაფრთხოების ექსპერტები აღნიშნავენ, რომ მთავრობაში სხვები, განსაკუთრებით ვეტერანთა საქმეთა დეპარტამენტი, კვლავ იყენებენ სახის ამოცნობის იგივე სერვისს პირადობის გადამოწმების მიზნით.
ეს არის ის, რაც დეპოლამ უმცროსმა კარგად იცის და იმედოვნებს, რომ IRS „იწყებს სწორი მიმართულებით სვლას, რადგან როგორც კი ერთი სამთავრობო უწყება მიიღებს სტანდარტს, სხვები იწყებენ მიბაძვას“.
