Saltar al contenido

Експерти кажуть, що автентифікація користувачів за допомогою розпізнавання облич ніколи не є гарною ідеєю

21 de julio de 2023

Змістовий покажчик

Ключові висновки

  • Податкове управління США відмовилося від планів використовувати розпізнавання облич для ідентифікації платників податків.
  • Тепер департамент усвідомлює наслідки для безпеки та конфіденційності свого відкликаного плану.
  • Експерти з безпеки та конфіденційності запропонували кілька життєздатних альтернатив, які поважають конфіденційність.

Експерти з безпеки та конфіденційності стверджують, що використання розпізнавання обличчя для перевірки особи, згідно з планом IRS, який тепер відкликано, ніколи не було правильним підходом. Крок IRS викликав критику з боку захисників конфіденційності з моменту оголошення. 7 лютого 2022 року кілька законодавців приєдналися до хору, закликаючи IRS скасувати своє рішення, що департамент незабаром і зробив, пообіцявши натомість вивчити інші варіанти. «Податкове управління серйозно ставиться до конфіденційності та безпеки платників податків, і ми розуміємо висловлене занепокоєння», — зазначив уповноважений IRS Чак Реттіг, коли він скасував своє рішення. «Кожен повинен відчувати себе комфортно з тим, як захищена його особиста інформація, і ми швидко шукаємо короткострокові варіанти, які не включають розпізнавання обличчя».

Збереження обличчя

Агентство планувало використовувати технологію автентифікації від ID.me і попросило користувачів надіслати компанії відео селфі для доступу до своїх онлайн-акаунтів. Джей Пас, старший директор із доставки в Cobalt, повідомив Lifewire електронною поштою, що хоча біометрія стала частиною нашого повсякденного життя завдяки смартфонам і інтелектуальним пристроям, її використання для автентифікації було добровільним. «Для більш чутливих систем і даних, як-от тих, до яких має доступ IRS, життєво важливо мати прозорість технологій і процесів, які захищатимуть дані користувачів», — зазначив Паз. Тім Ерлін, віце-президент зі стратегії в Tripwire, погодився та повідомив Lifewire електронною поштою, що хоча технологія розпізнавання обличчя загалом поляризує, для багатьох ідея довіряти третій стороні керування такими особистими даними є неприйнятною. «Якби в Сполучених Штатах був надійний закон про конфіденційність, який захищав биометричну інформацію окремих осіб, це була б інша ситуація. Однак без будь-якого захисту даних американських громадян впровадження цієї технології в такому масштабі було б порушенням конфіденційності», — сказав Lifewire електронною поштою Лесіо ДеПаула-молодший, віце-президент із захисту даних у KnowBe4. Крім того, є той факт, що не всі люди мають доступ до можливостей біометричної автентифікації, про що Пол Лауданські, керівник відділу аналізу загроз у Tessian, зазначив Lifewire електронною поштою. Він вважає, що це може бути пов’язано з кількома факторами, такими як відсутність доступу до надійних інтернет-сервісів або пристроїв із сумісними камерами та датчиками.

Життєздатні альтернативи

ДеПаула молодший вважає, що план IRS був однією з тих ситуацій, коли цілі не виправдовують засоби. «Портал може бути настільки ж безпечним, якщо використовувати вимоги до надійних паролів, а також двофакторну автентифікацію для кінцевих користувачів, що є набагато дешевшим, менш нав’язливим і неупередженим способом захисту порталу без необхідності залучення третьої сторони», – вважає він. Паз також підтримує такі вторинні методи перевірки особи, особливо використання програм із одноразовим паролем на основі часу, таких як Google Authenticator. Крім того, він запропонував, що IRS також може спробувати використовувати перевірені телефонні номери для надсилання SMS-коду користувачам, що є, мабуть, найдоступнішим рішенням, доступним практично для всіх користувачів будь-якого віку. «Для більш чутливих систем і даних… життєво важливо мати прозорість технологій і процесів, які захищатимуть дані користувачів». Проте перш ніж знайти рішення, Даррен Купер, технічний директор Egress, пояснив Lifewire електронною поштою, що IRS має переконатися, що вибраний механізм може захистити дані платників податків без проблем із доступністю. Він припустив, що якщо департамент хоче віддати пріоритет вищому рівню безпеки, вони можуть використовувати фізичні засоби особистої автентифікації, такі як брелок безпеки RSA. Цей метод, однак, є логістично складним. Аутентифікація через SMS є потенційно менш складним варіантом, але Купер додав, що він працюватиме, лише якщо у відділі є номер мобільного телефону, відомий кожному. «Податкове управління також має розглянути вимогу щодо попередньої взаємодії з користувачем для підтвердження його особи, перш ніж він зможе отримати доступ до сервісу. Наприклад, вони можуть вимагати від платників податків вводити унікальні ідентифікаційні дані, такі як номери соціального страхування або паспорта, які можуть бути перевірені внутрішньою податковою службою до того, як буде видано вхід в систему. Логістичні витрати тут більші, але гарантують вищий рівень безпеки», — запропонував Купер.

Штучний інтелект і технології абстрактні фони

Хоча IRS не перерахувала альтернативи, які вона вивчає, очевидно, що варіантів не бракує. Незважаючи на те, що вони колективно привітали IRS за скасування свого рішення, експерти з безпеки вказують на те, що інші в уряді, особливо Департамент у справах ветеранів, все ще використовують ту саму базову службу розпізнавання обличчя для перевірки особи. Це те, про що ДеПаула-молодший добре знає, і сподівається, що IRS «почне рухатися в правильному напрямку, тому що як тільки одна державна установа приймає стандарт, інші починають слідувати йому».