IRS/ID.me-debaclet: Ett undervisningsögonblick för tekniker

IRS/ID.me-debaclet: Ett undervisningsögonblick för tekniker


Förra Äret, nÀr Internal Revenue Service (IRS) undertecknade ett kontrakt pÄ 86 miljoner dollar med identitetsverifieringsleverantören ID.me för att tillhandahÄlla biometriska identitetsverifieringstjÀnster, var det ett monumentalt förtroendevotum för denna teknik. Skattebetalare kunde nu verifiera sina identiteter online med hjÀlp av ansiktsbiometri, ett drag som syftar till att bÀttre sÀkra amerikanska skattebetalares hantering av federala skatteÀrenden.

Men efter högljutt motstĂ„nd frĂ„n integritetsgrupper och tvĂ„partiska lagstiftare som uttryckte integritetsproblem, gjorde IRS i februari en vĂ€ndning och avsade sig sin plan. Dessa kritiker tog emot kravet pĂ„ att skattebetalarna skulle lĂ€mna in sin biometri i form av en selfie som en del av det nya identitetsverifieringsprogrammet. Sedan dess har bĂ„de IRS och ID.me tillhandahĂ„llit ytterligare alternativ som ger skattebetalarna valet att vĂ€lja att anvĂ€nda ID.mes tjĂ€nst eller autentisera sin identitet via en live, virtuell videointervju med en agent. Även om detta drag kan blidka de parter som uttryckte oro – inklusive senator Jeff Merkley (D-OR) som hade föreslagit No Facial Recognition at the IRS Act (S. Bill 3668) pĂ„ toppen av debatten – det mycket offentliga missförstĂ„ndet av IRS avtal med ID.me har fördĂ€rvat den allmĂ€nna opinionen om biometrisk autentiseringsteknik och vĂ€ckt större frĂ„gor för cybersĂ€kerhetsbranschen i stort.

Även om IRS sedan dess har gĂ„tt med pĂ„ att fortsĂ€tta erbjuda ID.me:s ansiktsmatchande biometriska teknik som en identitetsverifieringsmetod för skattebetalare med en möjlighet att vĂ€lja bort, rĂ„der fortfarande förvirring. De högprofilerade klagomĂ„len mot IRS-affĂ€ren har, Ă„tminstone för nu, i onödan försvagat allmĂ€nhetens förtroende för biometrisk autentiseringsteknik och gjort det möjligt för bedragare att kĂ€nna sig mycket lĂ€ttade. Det finns dock lĂ€rdomar för bĂ„de statliga myndigheter och teknikleverantörer att ta hĂ€nsyn till nĂ€r ID.me-debaclet bleknar i backspegeln.

Underskatta inte det politiska vÀrdet av en kontrovers

Denna senaste kontrovers belyser behovet av bÀttre utbildning och förstÄelse för nyanserna av biometrisk teknik, av de typer av innehÄll som potentiellt Àr föremÄl för ansiktsigenkÀnning kontra ansiktsmatchning, anvÀndningsfallen och potentiella integritetsproblem som uppstÄr frÄn dessa tekniker och de regleringar som behövs för att bÀttre skydda konsumenternas rÀttigheter och intressen.

Till exempel finns det en enorm skillnad mellan att anvĂ€nda biometri med uttryckligt informerat anvĂ€ndarsamtycke för ett enda engĂ„ngsĂ€ndamĂ„l som gynnar anvĂ€ndaren, som identitetsverifiering och autentisering för att skydda anvĂ€ndarens identitet frĂ„n bedrĂ€geri, i motsats till att skrapa biometrisk data vid varje identitetsverifieringstransaktion utan tillstĂ„nd eller anvĂ€nda den för Ă€ndamĂ„l utan samtycke som övervakning eller till och med marknadsföringsĂ€ndamĂ„l. De flesta konsumenter förstĂ„r inte att deras ansiktsbilder pĂ„ sociala medier eller andra webbplatser kan skördas för biometriska databaser utan deras uttryckliga medgivande. NĂ€r plattformar som Facebook eller Instagram uttryckligen kommunicerar sĂ„dan aktivitet tenderar det att begravas i integritetspolicyn, beskriven i termer som Ă€r obegripliga för den genomsnittliga anvĂ€ndaren. NĂ€r det gĂ€ller ID.me bör företag som implementerar denna “skrapnings”-teknik krĂ€vas för att utbilda anvĂ€ndare och fĂ„nga upp uttryckligt informerat samtycke för anvĂ€ndningsfallet de möjliggör.

I andra fall kanske olika biometriska tekniker som verkar utföra samma funktion inte skapas lika. Benchmarks som NIST FRVT ger en rigorös utvÀrdering av biometriska matchningstekniker och ett standardiserat sÀtt att jÀmföra deras funktionalitet och förmÄga att undvika problematisk demografisk prestandabias över attribut som hudton, Älder eller kön. Biometriska teknikföretag bör hÄllas ansvariga för inte bara den etiska anvÀndningen av biometri, utan den rÀttvisa anvÀndningen av biometri som fungerar bra för hela befolkningen de betjÀnar.

Politiker och integritetsaktivister hĂ„ller leverantörer av biometriteknik pĂ„ en hög standard. Och det borde de – insatserna Ă€r höga och integritet Ă€r viktigt. Som sĂ„dana mĂ„ste dessa företag vara transparenta, tydliga och – kanske viktigast av allt – proaktiva nĂ€r det gĂ€ller att kommunicera nyanserna i sin teknik till dessa publiker. Ett felinformerat, eldigt tal frĂ„n en politiker som försöker vinna hjĂ€rtan under en kampanj kan undergrĂ€va en annars konsekvent och fokuserad konsumentutbildningsinsats. Sen. Ron Wyden, en medlem av senatens finanskommittĂ©, proklamerade: “Ingen ska tvingas underkasta sig ansiktsigenkĂ€nning för att fĂ„ tillgĂ„ng till kritiska statliga tjĂ€nster.” Och nĂ€r han gjorde det felkarakterade han ansiktsmatchning som ansiktsigenkĂ€nning, och skadan var skedd.

Senare Wyden insĂ„g kanske inte att miljontals amerikaner underkastar sig ansiktsigenkĂ€nning varje dag nĂ€r de anvĂ€nder kritiska tjĂ€nster – pĂ„ flygplatsen, pĂ„ statliga anlĂ€ggningar och pĂ„ mĂ„nga arbetsplatser. Men genom att inte engagera sig i detta missförstĂ„nd frĂ„n början tillĂ€t ID.me och IRS allmĂ€nheten att vara öppet felinformerad och att presentera byrĂ„ns anvĂ€ndning av ansiktsmatchningsteknik som ovanlig och skĂ€ndlig.

Ärlighet Ă€r ett affĂ€rsbehov

Mot en störtflod av felaktig information frĂ„n tredje part var ID.mes svar sent och invecklat, om inte missvisande. I januari sa VD Blake Hall i ett uttalande att ID.me inte anvĂ€nder 1:many ansiktsigenkĂ€nningsteknik – jĂ€mförelsen av ett ansikte med andra lagrade i ett centralt arkiv. Mindre Ă€n en vecka senare, den senaste i en rad inkonsekvenser, backade Hall och pĂ„stod att ID.me anvĂ€nder 1:mĂ„nga, men bara en gĂ„ng, under registreringen. En ID.me-ingenjör hĂ€nvisade till den inkonsekvensen i ett förutseende Slack-kanalinlĂ€gg:

“Vi skulle kunna inaktivera 1:mĂ„nga ansiktssökning, men sedan förlora ett vĂ€rdefullt bedrĂ€geribekĂ€mpningsverktyg. Eller sĂ„ kan vi Ă€ndra vĂ„r offentliga stĂ„ndpunkt nĂ€r det gĂ€ller att anvĂ€nda 1:mĂ„nga ansiktssökning. Men det verkar som att vi inte kan fortsĂ€tta göra en sak och sĂ€ga en annan, eftersom det kommer att landa oss i varmt vatten.”

Transparent och konsekvent kommunikation med allmÀnheten och viktiga pÄverkare, genom att anvÀnda tryckta och digitala medier sÄvÀl som andra kreativa kanaler, kommer att bidra till att motverka desinformation och ge försÀkran om att ansiktsbiometrisk teknik nÀr den anvÀnds med uttryckligt informerat samtycke för att skydda konsumenter Àr sÀkrare Àn Àldre. alternativ.

Gör dig redo för reglering

Den utbredda cyberbrottsligheten har lett till mer aggressiv statlig och federal lagstiftning, medan beslutsfattare har placerat sig i centrum för push-pull mellan integritet och sÀkerhet, och dÀrifrÄn mÄste de agera. ByrÄchefer kan hÀvda att deras lagstiftningsstrÀvanden drivs av ett engagemang för vÀljares sÀkerhet, sÀkerhet och integritet, men kongressen och Vita huset mÄste bestÀmma vilka omfattande regleringar som skyddar alla amerikaner frÄn det nuvarande cyberhotslandskapet.

Det rÄder ingen brist pÄ regulatoriska prejudikat att referera till. California Consumer Privacy Act (CCPA) och dess landmÀrke europeiska kusin, General Data Protection Regulation (GDPR), modellerar hur man sÀkerstÀller att anvÀndare förstÄr vilken typ av data som organisationer samlar in frÄn dem, hur den anvÀnds, ÄtgÀrder för att övervaka och hantera dessa uppgifter och hur man vÀljer bort datainsamling. Hittills har tjÀnstemÀn i Washington lÀmnat dataskyddsinfrastruktur till staterna. Biometric Information Privacy Act (BIPA) i Illinois, liksom liknande lagförslag i Texas och Washington, reglerar insamling och anvÀndning av biometriska data. Dessa regler föreskriver att organisationer mÄste inhÀmta samtycke innan de samlar in eller avslöjar en persons likhet eller biometriska data. De mÄste ocksÄ lagra biometriska data sÀkert och förstöra dem i tid. BIPA utfÀrdar böter för brott mot dessa regler.

Om lagstiftare skulle skapa och anta en lag som kombinerar grundsatserna i CCPA- och GDPR-bestÀmmelserna med de biometriska specifika reglerna som beskrivs i BIPA, skulle större tilltro till sÀkerheten och bekvÀmligheten med biometrisk autentiseringsteknik kunna etableras.

Framtiden för biometri

Biometriska autentiseringsleverantörer och statliga myndigheter mĂ„ste vara goda herdar för den teknik de erbjuder – och upphandlar – och Ă€nnu viktigare nĂ€r det gĂ€ller att utbilda allmĂ€nheten. Vissa gömmer sig bakom den skenbara rĂ€dslan för att ge cyberbrottslingar för mycket information om hur tekniken fungerar. Dessa företags förmögenheter, inte deras, vilar pĂ„ framgĂ„ngen för en viss implementering, och varhelst det saknas kommunikation och transparens kommer man att finna opportunistiska kritiker som Ă€r ivriga att offentligt förvrĂ€nga biometrisk ansiktsmatchningsteknik för att frĂ€mja sina egna agendor.

Medan flera lagstiftare har mĂ„lat upp ansiktsigenkĂ€nnings- och biometriföretag som dĂ„liga skĂ„despelare, har de missat möjligheten att sĂ„lla bort de verkliga förövarna – cyberbrottslingar och identitetsskurkar.

DataDecisionMakers

VĂ€lkommen till VentureBeat-communityt!

DataDecisionMakers Àr dÀr experter, inklusive tekniska personer som arbetar med data, kan dela datarelaterade insikter och innovation.

Om du vill lĂ€sa om banbrytande idĂ©er och aktuell information, bĂ€sta praxis och framtiden för data- och datateknik, gĂ„ med oss ​​pĂ„ DataDecisionMakers.

Du kan till och med övervÀga att bidra med en egen artikel!

LÀs mer frÄn DataDecisionMakers