Негізгі ұсыныстар
- IRS салық төлеушілердің аутентификациясы үшін бет-әлпетті тану мүмкіндігін пайдалану жоспарынан бас тартты.
- Департамент қазір кері қайтарылған жоспарының қауіпсіздік/құпиялылық салдарын біледі.
-
Қауіпсіздік және құпиялылық бойынша сарапшылар құпиялылықты сақтайтын бірнеше өміршең баламаларды ұсынды.
IRS қазір қайтарып алған жоспарына сәйкес тұлғаның жеке басын растау үшін бет-әлпетті тану ешқашан дұрыс әдіс емес еді, қауіпсіздік және құпиялылық жөніндегі сарапшылардың пікірінше.
IRS-тің бұл қадамы жарияланған сәттен бастап құпиялылықты қорғаушыларды ренжітті. 2022 жылдың 7 ақпанында бірнеше заң шығарушы IRS-ті өз шешімін өзгертуге шақырған хорға қосылды, департамент көп ұзамай мұны басқа нұсқаларды зерттеуге уәде берді.
"IRS салық төлеушінің құпиялылығы мен қауіпсіздігіне байыпты қарайды және біз көтерілген алаңдаушылықты түсінеміз", - деді IRS комиссары Чак Реттиг шешімнен бас тартқан кезде. "Әркім өзінің жеке ақпаратының қалай қорғалғанын жайлы сезінуі керек және біз бет-әлпетті тануды қажет етпейтін қысқа мерзімді опцияларды жылдам іздеп жатырмыз."
Бет сақтау
Агенттік ID.me аутентификация технологиясын пайдалануды жоспарлаған және пайдаланушылардан желідегі есептік жазбаларына кіру үшін компанияға бейне селфи жіберуді сұраған.
Джей Пас, Cob alt жеткізу бөлімінің аға директоры Lifewire электрондық поштасы арқылы биометрика күнделікті өміріміздің бір бөлігіне айналғанымен, смартфондар мен смарт құрылғылардың арқасында оны аутентификация үшін пайдалану ерікті болғанын айтты.
«Неғұрлым құпия жүйелер мен деректер үшін, мысалы, IRS қол жеткізе алатындай, пайдаланушылардың деректерін қорғайтын технологиялар мен процестердің ашықтығы маңызды», - деп атап өтті Паз.
Тим Эрлин, Tripwire стратегиялар жөніндегі вице-президенті Lifewire-ке электрондық пошта арқылы бет-әлпетті тану технологиясы жалпы алғанда поляризацияланғанымен, көптеген адамдар үшін мұндай жеке деректерді басқару үшін үшінші тарапқа сену идеясы қолайсыз екенін айтты.
"Егер Америка Құрама Штаттарында жеке тұлғалардың биометриялық ақпаратын қорғайтын сенімді құпиялылық заңы болса, бұл жағдай басқаша болар еді. Дегенмен, американдық азаматтардың деректерін қорғаусыз бұл технологияны осы масштабта қолдану қиын болар еді. Құпиялылыққа қатысты заң бұзушылық, "Лесио ДеПаула кіші, KnowBe4 деректерін қорғау жөніндегі вице-президенті Lifewire-ке электрондық пошта арқылы айтты.
Сосын барлық адамдар биометриялық аутентификация мүмкіндіктеріне қол жеткізе алмайды, бұл туралы Тессиандағы қауіптерді барлау бөлімінің басшысы Пол Лаудански Lifewire-ке электрондық пошта арқылы атап көрсетті. Ол сенімді интернет қызметтеріне немесе үйлесімді камералары мен сенсорлары бар құрылғыларға қолжетімділіктің болмауы сияқты бірнеше факторларға байланысты болуы мүмкін деп түсіндірді.
Өміршең баламалар
Кіші ДеПаула IRS жоспары мақсаттары құралдарды ақтамайтын жағдайлардың бірі деп санайды.
Портал күшті құпиясөз талаптарын, сондай-ақ соңғы пайдаланушылар үшін екі факторлы аутентификацияны қолдану арқылы қауіпсіз болуы мүмкін, бұл порталды қажет етпестен қорғаудың әлдеқайда арзан, аз интрузивті және бейтарап жолы. үшінші тарапты пайдалану үшін », - деді ол.
Paz осындай қосымша сәйкестікті растау әдістерін, әсіресе Google Authenticator сияқты уақытқа негізделген бір реттік құпия сөз қолданбаларын пайдалануды қолдайды. Сонымен қатар, ол IRS-ке пайдаланушыларға SMS кодын жіберу үшін тексерілген телефон нөмірлерін пайдаланып көру мүмкіндігін ұсынды, бұл барлық жастағы іс жүзінде барлық пайдаланушылар үшін қол жетімді ең кең қол жетімді шешім.
"Неғұрлым сезімтал жүйелер мен деректер үшін… пайдаланушылардың деректерін қорғайтын технологиялар мен процестердің ашықтығы өте маңызды."
Бұл шешімді нөлге жеткізбес бұрын, Egress компаниясының техникалық директоры Даррен Купер Lifewire-ке электрондық пошта арқылы IRS өзі таңдаған механизм салық төлеушінің деректерін қолжетімділік мәселелерінсіз қорғай алатынына көз жеткізуі керек екенін түсіндірді.
Ол егер департамент қауіпсіздіктің жоғары деңгейіне басымдық беруді қаласа, олар RSA қауіпсіздік кілтінің фобы сияқты жеке аутентификацияның физикалық құралдарын пайдалана алады деп ұсынды. Алайда бұл әдіс логистикалық тұрғыдан күрделі. SMS аутентификациясы күрделірек болуы мүмкін опция, бірақ Купер бұл бөлімде барлығына белгілі ұялы телефон нөмірі болса ғана жұмыс істейтінін айтты.
Сонымен қатар IRS қызметке қол жеткізе алмас бұрын оның жеке басын растау үшін пайдаланушымен алдын ала өзара әрекеттесу талабын қарастыруы керек. Мысалы, олар салық төлеушілерден әлеуметтік сақтандыру немесе төлқұжат нөмірлері сияқты бірегей жеке куәлік мәліметтерін енгізуді талап етуі мүмкін., оны IRS арқылы онлайн логин шығарылғанға дейін тексеруге болады. Мұндағы логистикалық шығындар көбірек, бірақ қауіпсіздіктің жоғары деңгейіне қол жеткізуге болады », - деп ұсынды Купер.
IRS зерттеп жатқан баламалардың тізімін көрсетпегенімен, опциялардың жетіспеушілігі жоқ.
Олар IRS-ті шешімін өзгерткені үшін ұжымдық түрде құттықтағанымен, қауіпсіздік сарапшылары үкіметтегі басқалардың, әсіресе Ардагерлер істері жөніндегі департаменттің жеке басын растау мақсатында бұрынғыдай бет-әлпетті тану қызметін пайдаланатынын атап өтті.
Бұл кіші ДеПаула жақсы біледі және IRS «дұрыс бағытта жүре бастайды» деп үміттенеді, өйткені бір мемлекеттік орган стандартты қабылдағаннан кейін, басқалары да орындай бастайды»
