Əsas Çıxarışlar
- IRS vergi ödəyicilərinin autentifikasiyası üçün üz tanımadan istifadə etmək planlarından imtina etdi.
- Departament indi geri götürülmüş planının təhlükəsizlik/məxfilik təsirlərini dərk edir.
-
Təhlükəsizlik və məxfilik ekspertləri məxfiliyə hörmət edən bir neçə uyğun alternativ təklif etdilər.
İRS-in indi geri çağırdığı plana uyğun olaraq şəxsin şəxsiyyətini yoxlamaq üçün sifətin tanınması heç vaxt düzgün yanaşma deyildi, təhlükəsizlik və məxfilik ekspertləri tərəfindən təsdiqləndi.
IRS-in bu addımı elan edildiyi andan məxfilik müdafiəçilərinin qəzəbinə səbəb oldu. 7 fevral 2022-ci ildə bir neçə qanunverici IRS-i qərarını ləğv etməyə çağıran xora qoşuldu, departament bunu tezliklə etdi və bunun əvəzinə başqa variantları araşdıracağını vəd etdi.
"IRS vergi ödəyicisinin məxfiliyinə və təhlükəsizliyinə ciddi yanaşır və biz qaldırılan narahatlıqları başa düşürük" deyə IRS komissarı Çak Rettiq qərardan imtina edərkən qeyd etdi. "Hər kəs şəxsi məlumatlarının necə qorunduğuna dair rahat hiss etməlidir və biz sifətin tanınmasını nəzərdə tutmayan qısamüddətli seçimləri sürətlə davam etdiririk."
Save Face
Agentlik ID.me-dən autentifikasiya texnologiyasından istifadə etməyi planlaşdırırdı və istifadəçilərdən onlayn hesablarına daxil olmaq üçün şirkətə video selfi göndərmələrini xahiş etmişdi.
Cob alt-ın Çatdırılma üzrə Baş Direktoru Cey Paz Lifewire-a e-poçt vasitəsilə bildirib ki, biometrik məlumatlar smartfonlar və ağıllı cihazlar sayəsində gündəlik həyatımızın bir hissəsinə çevrilsə də, onun autentifikasiya üçün istifadəsi könüllü olub.
“Daha həssas sistemlər və məlumatlar üçün, məsələn, IRS-in girişi olduğu kimi, istifadəçilərin məlumatlarını qoruyacaq texnologiya və proseslərdə şəffaflığın olması çox vacibdir,” Paz qeyd edib.
Tripwire-da Strategiya üzrə VP Tim Erlin razılaşdı və e-poçt vasitəsilə Lifewire-a bildirdi ki, sifətin tanınması texnologiyası ümumiyyətlə qütbləşsə də, bir çoxları üçün bu cür şəxsi məlumatları idarə etmək üçün üçüncü tərəfə etibar etmək ideyası qəbuledilməzdir.
"Əgər Birləşmiş Ştatlarda fərdlərin biometrik məlumatlarını qoruyan möhkəm məxfilik qanunu olsaydı, bu, başqa vəziyyət olardı. Bununla belə, Amerika vətəndaşlarının məlumatları üçün heç bir qorunma olmadan, bu texnologiyanı bu miqyasda qəbul etmək çətin olardı. məxfilik pozuntusu, "Lecio DePaula Jr., KnowBe4-də Məlumatların Qorunması üzrə vitse-prezidenti, e-poçt vasitəsilə Lifewire-ə bildirib.
Bundan sonra bütün insanların biometrik autentifikasiya imkanlarına çıxışı olmadığı faktı var ki, Tessian-ın Təhdid Kəşfiyyatının rəhbəri Paul Laudanski e-poçt vasitəsilə Lifewire-a işarə etdi. O, bunun etibarlı internet xidmətlərinə və ya uyğun kamera və sensorlara malik cihazlara çıxışın olmaması kimi bir neçə amillə bağlı ola biləcəyini əsaslandırdı.
Müvafiq Alternativlər
DePaula Jr. hesab edir ki, IRS-in planı məqsədlərin vasitələrə haqq qazandırmadığı hallardan biri idi.
"Güclü parol tələblərindən, eləcə də son istifadəçilər üçün iki faktorlu autentifikasiyadan istifadə etməklə portal eyni dərəcədə təhlükəsiz ola bilər ki, bu da portalın təhlükəsizliyini təmin etmək üçün daha ucuz, daha az müdaxilə edən və qərəzsiz bir üsuldur. üçüncü tərəfdən yararlanmaq üçün "dedi.
Paz bu cür ikinci dərəcəli şəxsiyyət yoxlama üsullarının, xüsusən də Google Authenticator kimi vaxta əsaslanan birdəfəlik parol tətbiqlərinin istifadəsinin tərəfdarıdır. Alternativ olaraq, o, IRS-in istifadəçilərə SMS kodu göndərmək üçün təsdiqlənmiş telefon nömrələrindən istifadə etməyə cəhd edə biləcəyini təklif etdi, bu, bəlkə də bütün yaşlarda olan bütün istifadəçilər üçün əlçatan olan ən geniş həll yoludur.
"Daha həssas sistemlər və məlumatlar üçün… istifadəçilərin məlumatlarını qoruyacaq texnologiya və proseslərdə şəffaflığın olması vacibdir."
Sıfır bir həll tapmazdan əvvəl, Egress şirkətinin texniki direktoru Darren Kuper Lifewire-a e-poçt vasitəsilə izah etdi ki, IRS seçdiyi mexanizmin vergi ödəyicilərinin məlumatlarını əlçatanlıq problemlərini ortaya qoymadan qoruya biləcəyini təmin etməli olacaq.
O, təklif etdi ki, departament daha yüksək səviyyəli təhlükəsizliyə üstünlük vermək istəsə, RSA təhlükəsizlik açarı kimi fiziki identifikasiya vasitələrindən istifadə edə bilər. Lakin bu üsul logistik cəhətdən mürəkkəbdir. SMS autentifikasiyası potensial olaraq daha az mürəkkəb seçimdir, lakin Kuper əlavə etdi ki, bu, yalnız departamentin hər kəs üçün məlum mobil nömrəsi olduqda işləyəcək.
"IRS həmçinin xidmətə daxil olmamışdan əvvəl şəxsiyyətini təsdiqləmək üçün istifadəçi ilə əvvəlcədən qarşılıqlı əlaqə tələbini də nəzərə almalıdır. Məsələn, onlar vergi ödəyicilərindən sosial təminat və ya pasport nömrələri kimi unikal şəxsiyyət vəsiqələrinin daxil edilməsini tələb edə bilər., onlayn giriş verilməzdən əvvəl IRS tərəfindən daxili olaraq yoxlana bilər. Buradakı maddi-texniki əlavə xərclər daha böyükdür, lakin daha yüksək səviyyəli təhlükəsizliyin əldə edilməsini təmin edir "deyə Kuper təklif etdi.
IRS araşdırdığı alternativləri sadalamasa da, açıq şəkildə seçim çatışmazlığı yoxdur.
İRS-i qərarını ləğv etdiyinə görə kollektiv şəkildə alqışlasalar da, təhlükəsizlik ekspertləri hökumətdəki digər şəxslərin, xüsusilə də Veteranlarla İş Departamentinin şəxsiyyəti təsdiqləmək üçün hələ də eyni əsas sifətin tanınması xidmətindən istifadə etdiklərini qeyd edirlər.
Bu, DePaula Jr-ın yaxşı bildiyi bir şeydir və ümid edir ki, IRS “düzgün istiqamətdə getməyə başlayır, çünki bir dövlət qurumu standart qəbul etdikdən sonra digərləri də əməl etməyə başlayır”