ซื้อกลับบ้านที่สำคัญ
- กรมสรรพากรยกเลิกแผนใช้การจดจำใบหน้าเพื่อตรวจสอบสิทธิ์ผู้เสียภาษี
- ขณะนี้หน่วยงานรับทราบถึงความปลอดภัย/ความเป็นส่วนตัวของแผนยกเลิกแล้ว
-
ผู้เชี่ยวชาญด้านความปลอดภัยและความเป็นส่วนตัวได้แนะนำทางเลือกที่เคารพความเป็นส่วนตัวหลายทางเลือก
การใช้การจดจำใบหน้าเพื่อยืนยันตัวตนของบุคคลตามแผนการเรียกคืนของ IRS นั้นไม่เคยเป็นวิธีที่ถูกต้อง ยืนยันผู้เชี่ยวชาญด้านความปลอดภัยและความเป็นส่วนตัว
การเคลื่อนไหวของ IRS ดึงกลุ่มก้อนอิฐจากผู้สนับสนุนความเป็นส่วนตัวตั้งแต่ช่วงที่มีการประกาศ เมื่อวันที่ 7 กุมภาพันธ์ พ.ศ. 2565 สมาชิกสภานิติบัญญัติหลายคนได้เข้าร่วมคณะนักร้องประสานเสียงเรียกร้องให้ IRS ยกเลิกการตัดสินใจ ซึ่งกรมฯ ได้ดำเนินการหลังจากนั้นไม่นาน โดยสัญญาว่าจะสำรวจทางเลือกอื่นแทน
"กรมสรรพากรให้ความสำคัญกับความเป็นส่วนตัวและความปลอดภัยของผู้เสียภาษีอย่างจริงจัง และเราเข้าใจถึงข้อกังวลที่ได้รับการหยิบยกขึ้นมา" Chuck Rettig กรรมาธิการกรมสรรพากรตั้งข้อสังเกตในขณะที่เขายกเลิกการตัดสินใจ "ทุกคนควรรู้สึกสบายใจกับการรักษาความปลอดภัยของข้อมูลส่วนบุคคล และเรากำลังดำเนินการอย่างรวดเร็วตัวเลือกระยะสั้นที่ไม่เกี่ยวข้องกับการจดจำใบหน้า"
เซฟหน้า
เอเจนซี่วางแผนที่จะใช้เทคโนโลยีการตรวจสอบสิทธิ์จาก ID.me และขอให้ผู้ใช้ส่งวิดีโอเซลฟี่ให้บริษัทเพื่อเข้าถึงบัญชีออนไลน์ของพวกเขา
Jay Paz ผู้อำนวยการอาวุโสฝ่ายจัดส่งของ Cob alt บอกกับ Lifewire ทางอีเมลว่าแม้ว่าไบโอเมตริกซ์จะกลายเป็นส่วนหนึ่งในชีวิตประจำวันของเราแล้วก็ตาม ต้องขอบคุณสมาร์ทโฟนและอุปกรณ์อัจฉริยะ การใช้งานสำหรับการตรวจสอบสิทธิ์นั้นเป็นไปโดยสมัครใจ
“สำหรับระบบและข้อมูลที่มีความละเอียดอ่อนมากขึ้น เช่น สิ่งที่ IRS เข้าถึงได้ มีความโปร่งใสในเทคโนโลยีและกระบวนการที่จะปกป้องข้อมูลของผู้ใช้” Paz ชี้ให้เห็น
Tim Erlin รองประธานฝ่ายกลยุทธ์ของ Tripwire ตกลงและบอกกับ Lifewire ทางอีเมลว่าแม้ว่าเทคโนโลยีการจดจำใบหน้าจะทำให้เกิดการแบ่งขั้วโดยทั่วไป แต่สำหรับหลายๆ คน แนวคิดในการไว้วางใจบุคคลที่สามให้จัดการข้อมูลส่วนบุคคลดังกล่าวเป็นสิ่งที่ยอมรับไม่ได้
"หากสหรัฐอเมริกามีกฎหมายความเป็นส่วนตัวที่เข้มงวดซึ่งปกป้องข้อมูลไบโอเมตริกของปัจเจกบุคคล นั่นจะเป็นสถานการณ์ที่แตกต่าง อย่างไรก็ตาม หากปราศจากการคุ้มครองข้อมูลของพลเมืองอเมริกัน การใช้เทคโนโลยีนี้ในระดับนี้จะเป็น การทุจริตต่อหน้าที่ " Lecio DePaula Jr. รองประธานฝ่ายการปกป้องข้อมูลที่ KnowBe4 บอกกับ Lifewire ทางอีเมล
จากนั้นก็มีความจริงที่ว่าไม่ใช่ทุกคนที่จะเข้าถึงความสามารถในการพิสูจน์ตัวตนด้วยไบโอเมตริกซ์ Paul Laudanski หัวหน้าฝ่ายข่าวกรองภัยคุกคามของ Tessian ได้ชี้ไปที่ Lifewire ทางอีเมลเขาให้เหตุผลว่าอาจเป็นเพราะปัจจัยหลายประการ เช่น ขาดการเข้าถึงบริการอินเทอร์เน็ตที่เชื่อถือได้ หรืออุปกรณ์ที่มีกล้องและเซ็นเซอร์ที่เข้ากันได้
ทางเลือกใหม่
DePaula Jr. เชื่อว่าแผนของ IRS เป็นหนึ่งในสถานการณ์เหล่านั้นที่จุดจบไม่ได้แสดงให้เห็นถึงวิธีการ
"พอร์ทัลสามารถมีความปลอดภัยพอๆ กันโดยใช้ประโยชน์จากข้อกำหนดรหัสผ่านที่รัดกุม เช่นเดียวกับการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ปลายทาง ซึ่งเป็นวิธีที่ไม่แพงกว่า ล่วงล้ำน้อยกว่า และเป็นกลางในการรักษาความปลอดภัยพอร์ทัลโดยไม่จำเป็น เพื่อใช้ประโยชน์จากบุคคลที่สาม " เขาให้ความเห็น
Paz ก็สนับสนุนวิธีการยืนยันตัวตนสำรองเช่นกัน โดยเฉพาะอย่างยิ่งการใช้แอปรหัสผ่านแบบใช้ครั้งเดียวตามเวลา เช่น Google Authenticator อีกทางหนึ่ง เขาแนะนำให้กรมสรรพากรสามารถใช้หมายเลขโทรศัพท์ที่ยืนยันแล้วเพื่อส่งข้อความรหัส SMS ถึงผู้ใช้ ซึ่งอาจเป็นโซลูชันที่เข้าถึงได้อย่างกว้างขวางที่สุดสำหรับผู้ใช้แทบทุกวัย
"สำหรับระบบและข้อมูลที่มีความละเอียดอ่อนมากขึ้น… มีความโปร่งใสในเทคโนโลยีและกระบวนการที่จะปกป้องข้อมูลของผู้ใช้"
ก่อนที่จะไม่มีวิธีแก้ปัญหา อย่างไรก็ตาม Darren Cooper, CTO ของ Egress ได้อธิบายให้ Lifewire ทราบทางอีเมลว่ากรมสรรพากรจะต้องตรวจสอบให้แน่ใจว่ากลไกที่เลือกสามารถปกป้องข้อมูลผู้เสียภาษีได้โดยไม่มีปัญหาในการเข้าถึง
เขาแนะนำว่าหากแผนกต้องการจัดลำดับความสำคัญของการรักษาความปลอดภัยในระดับที่สูงขึ้น พวกเขาสามารถใช้วิธีการทางกายภาพของการตรวจสอบส่วนบุคคล เช่น fob คีย์ความปลอดภัย RSA อย่างไรก็ตาม วิธีนี้มีความซับซ้อนทางลอจิสติกส์ การตรวจสอบสิทธิ์ทาง SMS เป็นตัวเลือกที่อาจซับซ้อนน้อยกว่า แต่ Cooper เพิ่มว่าจะใช้ได้ก็ต่อเมื่อแผนกมีหมายเลขโทรศัพท์มือถือที่รู้จักสำหรับทุกคน
กรมสรรพากรควรพิจารณาข้อกำหนดสำหรับการโต้ตอบกับผู้ใช้ก่อนเพื่อยืนยันตัวตนก่อนจะสามารถเข้าถึงบริการได้ ตัวอย่างเช่น อาจกำหนดให้ผู้เสียภาษีป้อนรายละเอียด ID เฉพาะ เช่น หมายเลขประกันสังคมหรือหนังสือเดินทาง ซึ่งสามารถตรวจสอบได้โดย IRS ภายในก่อนที่จะออกการเข้าสู่ระบบออนไลน์ค่าโสหุ้ยด้านลอจิสติกส์ที่นี่สูงกว่าแต่รับประกันว่าจะสามารถบรรลุการรักษาความปลอดภัยในระดับที่สูงขึ้นได้” คูเปอร์แนะนำ
ในขณะที่กรมสรรพากรไม่ได้ระบุทางเลือกที่กำลังสำรวจ แต่ก็ไม่มีปัญหาการขาดแคลนตัวเลือก
แม้ว่าพวกเขาจะยกย่องกรมสรรพากรเพื่อยกเลิกการตัดสินใจ ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นถึงหน่วยงานอื่นๆ ในรัฐบาล โดยเฉพาะกรมกิจการทหารผ่านศึก ยังคงใช้บริการจดจำใบหน้าแบบเดียวกันเพื่อวัตถุประสงค์ในการยืนยันตัวตน
นี่คือสิ่งที่ DePaula Jr. ตระหนักดีและหวังว่า IRS “จะเริ่มมุ่งหน้าไปในทิศทางที่ถูกต้อง เพราะเมื่อหน่วยงานของรัฐหนึ่งใช้มาตรฐาน หน่วยงานอื่นๆ ก็เริ่มปฏิบัติตาม”
