Үндсэн санаанууд
- Татвар төлөгчдийг баталгаажуулахдаа царай таних системийг IRS ашиглах төлөвлөгөөгөө цуцаллаа.
- Тус хэлтэс нь одоо цуцалсан төлөвлөгөөнийхөө аюулгүй байдал/нууцлалын нөлөөг ойлгож байна.
-
Аюулгүй байдал, нууцлалын мэргэжилтнүүд нууцлалыг хүндэтгэх боломжтой хэд хэдэн хувилбарыг санал болгосон.
IRS-ийн одоо эргүүлэн татсан төлөвлөгөөний дагуу хувь хүний биеийн байцаалтыг баталгаажуулахын тулд нүүр царай таних аргыг ашиглах нь хэзээ ч зөв арга байгаагүй бөгөөд аюулгүй байдал, нууцлалын мэргэжилтнүүдийн үзэж байгаагаар.
IRS-ийн энэ алхам нь зарласан цагаасаа эхлэн хувийн нууцыг хамгаалагчдын дургүйцлийг хүргэсэн. 2022 оны 2-р сарын 7-нд хэд хэдэн хууль тогтоогчид IRS-г шийдвэрээ буцаахыг уриалсан найрал дуунд нэгдэж, удалгүй тус хэлтэс өөр хувилбаруудыг судлахаа амлав.
"Татвар төлөгчдийн нууцлал, аюулгүй байдлын асуудалд IRS нухацтай ханддаг бөгөөд бид үүсээд буй асуудлуудыг ойлгож байна" гэж IRS-ийн комиссар Чак Реттиг шийдвэрээсээ татгалзахдаа тэмдэглэв. "Хүн бүр хувийн мэдээллээ хэрхэн хамгаалах талаар сэтгэл хангалуун байх ёстой. Бид нүүр царай танихгүй богино хугацааны сонголтуудыг хурдан хайж байна."
Нүүрээ хадгалах
Агентлаг ID.me-ийн нэвтрэлт таних технологийг ашиглахаар төлөвлөж байсан бөгөөд хэрэглэгчдээс онлайн бүртгэлдээ хандахын тулд компанид видео сельфи илгээхийг хүссэн.
Cob alt-ын Хүргэлтийн ахлах захирал Жей Паз Lifewire-д цахим шуудангаар дамжуулан ухаалаг утас, ухаалаг төхөөрөмжүүдийн ачаар биометрийн мэдээлэл нь бидний өдөр тутмын амьдралын нэг хэсэг болсон хэдий ч түүнийг таниулах зорилгоор ашиглах нь сайн дурынх гэж хэлсэн.
“IRS-д хандах боломжтой гэх мэт илүү эмзэг систем, өгөгдлийн хувьд хэрэглэгчийн мэдээллийг хамгаалах технологи, үйл явц ил тод байх нь чухал” гэж Паз онцолжээ.
Tripwire-ийн Стратеги хариуцсан дэд захирал Тим Эрлин санал нэгдэж, Lifewire-д цахим шуудангаар дамжуулан царай таних технологи ерөнхийдөө туйлширч байгаа хэдий ч олон хүний хувьд ийм хувийн мэдээллийг удирдах гуравдагч этгээдэд итгэх нь хүлээн зөвшөөрөгдөхгүй гэж хэлсэн.
"Хэрэв АНУ хувь хүний биометрийн мэдээллийг хамгаалсан нууцлалын тухай хуультай байсан бол энэ нь арай өөр байх байсан. Гэсэн хэдий ч Америкийн иргэдийн мэдээллийг ямар ч хамгаалалтгүй бол энэ технологийг ийм хэмжээнд нэвтрүүлэх нь буруу байх болно. "Хувийн нууцлалыг зөрчиж байна" гэж KnowBe4-ийн Мэдээлэл Хамгаалалтын дэд захирал Лесио ДеПаула Жр Lifewire-д имэйлээр мэдэгдэв.
Тиймээс бүх хүмүүс биометрийн баталгаажуулалтын чадамжид хандах боломжгүй гэсэн баримтыг Тессиан дахь аюулын тагнуулын албаны дарга Пол Лаудански Lifewire-д цахим шуудангаар онцолсон байна. Энэ нь найдвартай интернет үйлчилгээ эсвэл тохирох камер, мэдрэгч бүхий төхөөрөмжүүдэд хандах боломжгүй зэрэг хэд хэдэн хүчин зүйлээс шалтгаалж болно гэж тэр тайлбарлав.
Боломжтой хувилбарууд
Бага ДеПаула IRS-ийн төлөвлөгөө нь эцсийн зорилго нь арга хэрэгслийг зөвтгөдөггүй нөхцөл байдлын нэг байсан гэж үзэж байна.
"Портал нь нууц үгийн хүчтэй шаардлагуудыг ашиглахаас гадна эцсийн хэрэглэгчдэд зориулсан хоёр хүчин зүйлийн нэвтрэлт танилтыг ашиглан аюулгүй байдлыг хангаж чадна. гуравдагч этгээдийг хөшүүрэг болгох" гэж тэр хэлэв.
Paz нь ийм хоёрдогч таних баталгаажуулах аргуудыг, ялангуяа Google Authenticator зэрэг цаг хугацааны нэг удаагийн нууц үгийн програмуудыг ашиглахыг дэмжиж байна. Үүний зэрэгцээ тэрээр IRS нь баталгаажуулсан утасны дугаарыг ашиглан хэрэглэгчдэд SMS код бичихийг оролдохыг санал болгов. Энэ нь бараг бүх насны хэрэглэгчид ашиглах боломжтой хамгийн өргөн хүрээний шийдэл байж магадгүй юм.
"Илүү мэдрэмтгий систем, өгөгдлийн хувьд… хэрэглэгчийн мэдээллийг хамгаалах технологи, процессыг ил тод байлгах нь чухал."
Гэхдээ үүнийг шийдэхээс өмнө Egress-ийн Техникийн захирал Даррен Күпер Lifewire-д и-мэйлээр тайлбарлаж, IRS өөрийн сонгосон механизм нь хүртээмжтэй холбоотой асуудал үүсгэхгүйгээр татвар төлөгчийн мэдээллийг хамгаалж чадах эсэхийг баталгаажуулах ёстой.
Тэр хэлтэс нь аюулгүй байдлын өндөр түвшнийг эрэмбэлэхийг хүсвэл RSA аюулгүй байдлын түлхүүрийн төхөөрөмж гэх мэт хувийн баталгаажуулалтын физик хэрэгслийг ашиглаж болно гэж тэр санал болгов. Гэхдээ энэ арга нь логистикийн хувьд төвөгтэй байдаг. SMS нэвтрэлт танилт нь арай төвөгтэй сонголт боловч тус хэлтэс нь хүн бүрт мэддэг гар утасны дугаартай тохиолдолд л ажиллана гэж Купер нэмж хэлэв.
"Татварын үйлчилгээний төв нь хэрэглэгчийг үйлчилгээнд нэвтрэхийн өмнө хэн болохыг нь баталгаажуулахын тулд тэдэнтэй урьдчилан харьцах шаардлагыг харгалзан үзэх ёстой. Жишээлбэл, татвар төлөгчдөөс нийгмийн даатгал эсвэл паспортын дугаар гэх мэт иргэний үнэмлэхний өвөрмөц мэдээллийг оруулахыг шаардаж болно., үүнийг онлайнаар нэвтрэхээс өмнө IRS дотооддоо шалгаж болно. Энд байгаа логистикийн зардал илүү их боловч аюулгүй байдлын өндөр түвшинд хүрч чадна "гэж Купер санал болгов.
IRS судалж байгаа хувилбаруудаа жагсаагүй байгаа ч сонголтын хомсдол байхгүй нь ойлгомжтой.
Тэд IRS-г шийдвэрээ цуцалсныг хамтдаа сайшааж байсан ч аюулгүй байдлын мэргэжилтнүүд засгийн газрын бусад байгууллага, ялангуяа ахмад дайчдын хэрэг эрхлэх газар хэн болохыг баталгаажуулах зорилгоор нүүр царай таних үйлчилгээг ашигладаг хэвээр байгааг онцоллоо.
Энэ бол бага ДеПаулагийн сайн мэдэж байгаа зүйл бөгөөд IRS "зөв чиглэлд явж эхэлнэ, учир нь нэг төрийн байгууллага стандартыг баталснаар бусад нь дагаж мөрдөж эхэлнэ" гэж найдаж байна.
