Key Takeaways
- IRS telah membatalkan rencana untuk menggunakan pengenalan wajah untuk mengautentikasi wajib pajak.
- Departemen sekarang menyadari implikasi keamanan/privasi dari rencananya yang sekarang ditarik.
-
Pakar keamanan dan privasi telah menyarankan beberapa alternatif menghormati privasi yang layak.
Menggunakan pengenalan wajah untuk memverifikasi identitas seseorang, sesuai dengan rencana IRS yang sekarang diingat, bukanlah pendekatan yang tepat, tegas pakar keamanan dan privasi.
Langkah IRS menarik perhatian para pendukung privasi sejak diumumkan. Pada tanggal 7 Februari 2022, beberapa anggota parlemen bergabung dengan paduan suara yang mendesak IRS untuk membatalkan keputusannya, yang segera dilakukan departemen tersebut, dan berjanji untuk mengeksplorasi opsi lain.
"IRS memperhatikan privasi dan keamanan pembayar pajak dengan serius, dan kami memahami kekhawatiran yang telah dikemukakan," kata komisaris IRS Chuck Rettig saat dia menarik kembali keputusan tersebut. "Setiap orang harus merasa nyaman dengan bagaimana informasi pribadi mereka diamankan, dan kami segera mengejar opsi jangka pendek yang tidak melibatkan pengenalan wajah."
Menyimpan Wajah
Agensi berencana untuk menggunakan teknologi otentikasi dari ID.me dan telah meminta pengguna untuk mengirimkan video selfie ke perusahaan untuk mengakses akun online mereka.
Jay Paz, Senior Director of Delivery di Cob alt, mengatakan kepada Lifewire melalui email bahwa meskipun biometrik telah menjadi bagian dari kehidupan kita sehari-hari, berkat smartphone dan perangkat pintar, penggunaannya untuk otentikasi bersifat sukarela.
“Untuk sistem dan data yang lebih sensitif, seperti yang dapat diakses oleh IRS, sangat penting untuk memiliki transparansi dalam teknologi dan proses yang akan melindungi data pengguna,” kata Paz.
Tim Erlin, VP of Strategy di Tripwire, setuju dan memberi tahu Lifewire melalui email bahwa meskipun teknologi pengenalan wajah secara umum terpolarisasi, bagi banyak orang, gagasan untuk memercayai pihak ketiga untuk mengelola data pribadi semacam itu tidak dapat diterima.
"Jika Amerika Serikat memiliki undang-undang privasi yang kuat yang melindungi informasi biometrik individu, itu akan menjadi situasi yang berbeda. Namun, tanpa perlindungan apa pun untuk data warga negara Amerika, mengadopsi teknologi ini pada skala ini akan menjadi malpraktik privasi, " Lecio DePaula Jr., VP Perlindungan Data di KnowBe4, mengatakan kepada Lifewire melalui email.
Lalu ada fakta bahwa tidak semua orang memiliki akses ke kemampuan otentikasi biometrik, sesuatu yang Paul Laudanski, Kepala Intelijen Ancaman di Tessian, tunjukkan kepada Lifewire melalui email. Ia beralasan hal ini bisa terjadi karena beberapa faktor, seperti kurangnya akses ke layanan internet yang andal atau perangkat dengan kamera dan sensor yang kompatibel.
Alternatif yang Layak
DePaula Jr. percaya bahwa rencana IRS adalah salah satu situasi di mana tujuan tidak membenarkan cara.
"Portal bisa sama amannya dengan memanfaatkan persyaratan kata sandi yang kuat serta otentikasi dua faktor untuk pengguna akhir, yang merupakan cara yang jauh lebih murah, tidak mengganggu, dan tidak memihak untuk mengamankan portal tanpa perlu untuk memanfaatkan pihak ketiga, "pendapatnya.
Paz juga mendukung metode verifikasi identitas sekunder seperti itu, terutama penggunaan aplikasi kata sandi satu kali berbasis waktu seperti Google Authenticator. Sebagai alternatif, dia menyarankan IRS juga dapat mencoba menggunakan nomor telepon terverifikasi untuk mengirim kode SMS ke pengguna, yang mungkin merupakan solusi yang paling banyak diakses yang tersedia untuk hampir semua pengguna dari segala usia.
"Untuk sistem dan data yang lebih sensitif… sangat penting untuk memiliki transparansi dalam teknologi dan proses yang akan melindungi data pengguna."
Namun, sebelum memusatkan perhatian pada solusi, Darren Cooper, CTO di Egress, menjelaskan kepada Lifewire melalui email bahwa IRS harus memastikan mekanisme yang dipilihnya dapat melindungi data wajib pajak tanpa menimbulkan masalah aksesibilitas.
Dia menyarankan bahwa jika departemen ingin memprioritaskan tingkat keamanan yang lebih tinggi, mereka dapat menggunakan sarana fisik autentikasi pribadi seperti fob kunci keamanan RSA. Metode ini, bagaimanapun, adalah logistik yang kompleks. Otentikasi SMS adalah opsi yang berpotensi tidak terlalu rumit, tetapi Cooper menambahkan bahwa itu hanya akan berfungsi jika departemen memiliki nomor ponsel yang diketahui untuk semua orang.
"IRS juga harus mempertimbangkan persyaratan untuk interaksi sebelumnya dengan pengguna untuk mengonfirmasi identitas mereka sebelum mereka dapat mengakses layanan. Misalnya, mereka dapat meminta pembayar pajak untuk memasukkan detail ID unik, seperti jaminan sosial atau nomor paspor, yang dapat diperiksa oleh IRS secara internal sebelum login online dikeluarkan. Overhead logistik di sini lebih besar tetapi memastikan tingkat keamanan yang lebih tinggi dapat dicapai, " saran Cooper.
Sementara IRS belum mencantumkan alternatif yang dieksplorasi, jelas, tidak ada kekurangan pilihan.
Bahkan saat mereka secara kolektif memuji IRS karena membatalkan keputusannya, pakar keamanan menunjukkan bahwa orang lain di pemerintahan, terutama Departemen Urusan Veteran, masih menggunakan layanan pengenalan wajah dasar yang sama untuk tujuan verifikasi identitas.
Ini adalah sesuatu yang sangat disadari oleh DePaula Jr. dan berharap IRS “mulai menuju ke arah yang benar, karena begitu satu lembaga pemerintah mengadopsi standar, yang lain mulai mengikuti.”
