Nhận Dạng Khuôn Mặt Đã Không Còn Sử Dụng. Vậy IRS Sẽ Xác Minh Danh Tính Như Thế Nào?

Đầu năm 2020, một cơ quan giám sát của Bộ Tài chính Hoa Kỳ đã cảnh báo IRS rằng cơ quan cần phải làm nhiều hơn để bảo vệ khỏi gian lận danh tính. Theo báo cáo, trong các vụ vi phạm dữ liệu gần đây, 'nhiều thông tin mà IRS sử dụng để đảm bảo danh tính của người đóng thuế có thể đã bị đánh cắp.'

Đại dịch sớm làm nổi bật nguy hiểm. Khi IRS ra mắt trang web cho người đóng thuế nhập thông tin ngân hàng để nhận tiền kích thích, nó xác minh người dùng bằng cách yêu cầu dữ liệu như ngày sinh và số An Sinh Xã Hội. Một số người đăng nhập chỉ để phát hiện gian lận đã xuất hiện trước họ.

Để giải quyết những vấn đề như vậy, IRS đã áp dụng một công nghệ mới để xác minh danh tính trực tuyến: nhận dạng khuôn mặt. Tháng Sáu năm ngoái, Bộ Tài chính đã ký hợp đồng trị giá 86 triệu đô la với ID.me, kiểm tra danh tính bằng cách sử dụng thuật toán để so khớp hình ảnh của chứng minh nhân dân với một video hoặc ảnh tự sướng. Tháng Mười Một, IRS triển khai ID.me cho một số dịch vụ trực tuyến mà ít ai chú ý đến.

Sau đó, tháng trước, hệ thống bảo mật mới của IRS thu hút sự chú ý của công chúng và trở thành một rủi ro chính trị. Người đóng thuế, nhà hoạt động và các nhà lập pháp phàn nàn rằng nhận dạng khuôn mặt là quấy rối và có thể có độ chệch. Thứ Hai, IRS cho biết sẽ 'chuyển từ việc sử dụng dịch vụ của bên thứ ba cho nhận dạng khuôn mặt,' mà không xác định cách khác để bảo vệ dữ liệu của người đóng thuế.

Những áp lực trái ngược lên IRS - chống gian lận, nhưng không phải bằng cách kiểm tra khuôn mặt - minh họa một vấn đề lâu dài của thời đại trực tuyến. Trên internet, không ai biết bạn là con chó - và chứng minh rằng bạn là con chó mà bạn nói bạn là con chó là khó khăn. 'IRS đang đối mặt với một tình huống không có chiến thắng,' nói Jeremy Grant, giám đốc quản lý tại công ty luật Venable, người trước đây quản lý các dự án về danh tính trực tuyến tại Viện Tiêu chuẩn và Công nghệ Quốc gia. 'Không giống như là có một giải pháp rõ ràng cho vấn đề này đang đợi ngoài kia.'

Vấn đề đó được biết đến là chứng minh danh tính - xác minh rằng người truy cập dịch vụ lần đầu tiên là người họ tuyên bố.

Trực tiếp, hầu hết mọi người có thể rút ra một chứng minh nhân dân. Qua điện thoại hoặc internet, các công ty và cơ quan chính phủ như IRS lịch sử sử dụng một quy trình gọi là xác minh dựa trên kiến thức. Điều này liên quan đến việc đặt câu hỏi chi tiết về lịch sử tài chính và cá nhân của chủ tài khoản, thường được lấy từ một cơ quan tín dụng, dựa trên giả định rằng chỉ có người đó mới biết câu trả lời.

Giả định đó trở nên ít an toàn hơn trong thời đại mạng xã hội, các vụ vi phạm dữ liệu và thị trường web tối. Nó trở nên đáng tin cậy ít hơn đáng kể vào năm 2015, khi tệp tin về 22 triệu người rơi ra khỏi Văn phòng Quản lý Nhân sự Hoa Kỳ, và vào năm 2017, khi dữ liệu về 143 triệu người Mỹ bị tiết lộ thông qua một cuộc tấn công vào Equifax, một cơ quan tín dụng được các công ty và cơ quan, bao gồm IRS, sử dụng để hỗ trợ chứng minh danh tính dựa trên kiến thức.

'Hầu hết mọi thông tin cá nhân của mọi người đã bị đánh cắp và có sẵn đây cho những tên tội phạm biết nơi nào để tìm,' nói Mason Wilder, quản lý nghiên cứu tại Hiệp hội Kiểm toán Vi phạm Chứng chỉ. Điều này đã tạo ra những đau đầu cho nhiều người đóng thuế, và cả IRS. Năm 2016, Ủy ban IRS John Koskinen cho biết trước Quốc hội rằng dữ liệu bị đánh cắp đã giúp những kẻ gian lợi dụng dịch vụ trực tuyến 'Nhận Bản Trao Đổi' để truy cập thông tin của 724,000 người trong hai năm trước đó, dẫn đến khoảng 250,000 đơn đăng ký giả mạo.

Những vấn đề như vậy đã đẩy IRS và nhiều tổ chức khác chuyển sang các phương thức thay thế, như gửi một mã vào số điện thoại kiểm tra so với hồ sơ của cơ quan tín dụng. Họ cũng thông báo về việc cập nhật lại hướng dẫn liên bang cho danh tính số vào năm 2017, đề xuất rằng việc truy cập vào hệ thống có thể rò rỉ dữ liệu nhạy cảm hoặc gây tổn thất tài chính nên yêu cầu xác minh bằng chứng minh nhân dân hoặc một biện pháp sinh học như vân tay. Kiểm tra ảnh có thể được thực hiện trực tiếp, qua video chat hoặc sử dụng thuật toán so sánh hình ảnh hoặc video khuôn mặt của người với CMND của họ.

Đồng thời, việc kiểm tra ảnh tự sướng lan rộng giữa các công ty tư nhân như Airbnb, Uber, Lyft, Stripe và sàn giao dịch tiền điện tử Coinbase.

ID.me, một startup có trụ sở tại Virginia, đã tiên phong trong việc sử dụng nhận dạng khuôn mặt cho việc chứng minh danh tính tại các cơ quan chính phủ, và vào năm 2018, nó trở thành nhà cung cấp đầu tiên được chứng nhận theo hướng dẫn năm 2017 của NIST. Đại dịch đã thúc đẩy kinh doanh của họ. Hơn hai chục cơ quan việc làm của các tiểu bang đã triển khai ID.me kể từ khi đại dịch bắt đầu, thường quảng cáo dịch vụ như một cách để tăng tốc xử lý các yêu cầu đồng thời ngăn chặn gian lận làm mất ổn định các chương trình viện trợ đại dịch.

Ngay trước làn sóng phản đối gần đây về việc IRS sử dụng ID.me, công ty này đã có những người chỉ trích. Một số người phàn nàn về việc phải đợi hàng giờ hoặc thậm chí là nhiều tháng để khắc phục việc kiểm tra ảnh tự sướng thất bại; các chuyên gia về quyền riêng tư chỉ ra rằng việc thu thập ảnh tự sướng tạo ra các lỗ hổng mới. Kiểm toán viên nhà nước California nói trong năm ngoái rằng trong khi hệ thống của công ty cải thiện việc xử lý các đơn yêu cầu việc làm, nó từ chối khoảng 20% người đăng ký hợp lệ trong những tháng đầu tiên sử dụng.

Daniela Urban, giám đốc điều hành của Trung tâm Quyền lợi của Người lao động, một tổ chức phi lợi nhuận tại Sacramento, California, giúp đỡ người lao động có thu nhập thấp và gia đình của họ, nói rằng khi Sở Phát triển việc làm của California áp dụng ID.me vào cuối năm 2020, nó ngay lập tức tạo ra 'rào cản lớn' đối với nhiều khách hàng của bà.

Luồng công việc mặc định của dịch vụ đòi hỏi cả điện thoại thông minh và laptop hoặc thiết bị khác, điều mà nhiều người có thu nhập thấp không có. Và việc giúp đỡ người từ xa trở nên khó khăn hơn nhiều. Khi khách hàng hiện tại gọi điện với vấn đề của ID.me, Urban và nhân viên của bà bảo họ nộp đơn bằng các biểu mẫu giấy thay vì. 'Chúng tôi thấy đây là phương pháp làm việc dễ nhất, vì những người đề nghị mất hàng tuần hoặc thậm chí là nhiều tháng để tìm ai đó họ biết có máy tính hoặc điện thoại có thể giúp họ,' Urban nói.

IRS không phản hồi trả lời về cách nó sẽ xác minh danh tính mà không sử dụng nhận dạng khuôn mặt. Kathleen Moriarty, giám đốc công nghệ tại Trung tâm An ninh Internet, nói rằng sự phản đối mạnh mẽ đối với IRS có thể khiến các chuyên gia an ninh và các bộ định chuẩn phải xem xét xem việc sử dụng nhận dạng khuôn mặt là một cách chấp nhận được để xác minh danh tính trực tuyến. 'Đôi khi chúng ta đến một nơi nơi chúng ta phải nghĩ lại quyết định về cách sử dụng công nghệ,' bà nói.

Blake Hall, Giám đốc điều hành của ID.me, cho biết anh ấy đã suy nghĩ lại một số quyết định của mình. 'Có một nhóm người dùng chúng tôi đã không tính đến,' Hall nói. 'Chúng tôi hiện đang rất nhận thức về việc cần phải cung cấp một lối đi cho họ.' ID.me sẽ cho phép các cơ quan cung cấp cho người dùng sự lựa chọn giữa xử lý tự động với nhận diện khuôn mặt hoặc một cuộc trò chuyện video với một đại lý, một quy trình trước đây chỉ là một phương án dự phòng nếu nhận diện khuôn mặt thất bại. Hall nói rằng anh ấy đang tuyển thêm hàng trăm đại lý để làm việc trong những cuộc trò chuyện đó, nhưng các thử nghiệm sớm cho thấy hơn 95 phần trăm người chọn nhận diện khuôn mặt. Công ty cũng có 700 địa điểm cho xác minh ID trực tiếp trên toàn Hoa Kỳ.

Ngay trước khi có vụ rối cơ quan thuế, ít nhất một cơ quan liên bang đã lo sợ việc sử dụng nhận diện khuôn mặt cho việc kiểm tra ID trực tuyến. Cơ quan An sinh xã hội đã cảnh báo NIST vào năm 2020 về 'những vấn đề về quyền riêng tư, khả năng sử dụng và chính sách' liên quan đến công nghệ. 'Trong các thử nghiệm sơ bộ, chúng tôi đã phát hiện một số lượng lớn khách hàng không thoải mái khi gửi một bức ảnh hoặc thiếu kiến thức kỹ thuật hoặc phần cứng để làm điều này thành công,' cơ quan viết. Nói về lo ngại về tiềm ẩn của ảnh hưởng đến các nhóm thiểu số và yêu cầu các phương án thay thế được phép. NIST dự kiến sẽ công bố một bản nháp cập nhật của hướng dẫn về danh tính số trong năm nay, và sau ý kiến ​​phản hồi từ cộng đồng sẽ hoàn thiện nó vào năm 2023.

Hiện tại, IRS và các cơ quan khác có khả năng sẽ phụ thuộc vào các cơ chế đã thiết lập nhưng không hoàn hảo như mã xác minh được gửi qua tin nhắn văn bản—mặc dù có sự gia tăng của các cuộc tấn công 'SIM-swapping' có thể chiếm đoạt quá trình này.

Trong tương lai dài hạn, sự thay đổi về nhận diện khuôn mặt tại IRS có thể tạo đà cho sự quan tâm ngày càng tăng của doanh nghiệp và chính phủ đối với bằng lái xe di động—bản sao kỹ thuật số của thẻ nhựa truyền thống được bảo vệ bằng mật mã và tải lên điện thoại thông minh. Dịch vụ trực tuyến sau đó có thể chấp nhận một chứng nhận số làm bằng chứng danh tính dựa trên việc chỉ có thể được có được bằng cách ghé thăm DMV trực tiếp.

Iowa và Utah đều đang thử nghiệm bằng lái xe số. Apple đã nói rằng họ đang hợp tác với những tiểu bang đó và sáu tiểu bang khác để cung cấp bằng lái xe di động trong năm nay bên trong ứng dụng Wallet của iPhone, nơi cũng có thể lưu trữ thẻ tín dụng và thẻ lên máy bay. Công ty cho biết mọi người sẽ có thể trình diễn giấy phép của họ tại an ninh sân bay chỉ với một lần chạm vào đồng hồ hoặc điện thoại. Quốc hội Mỹ đã thông qua luật vào năm 2020 mở đường cho sự chấp nhận liên bang của bằng lái xe di động. Liên minh châu Âu cũng đang làm việc trên một chứng chỉ số có tương tự sẽ hoạt động trên toàn bộ các thành viên của nó.

Grant của Venable nói rằng yêu cầu chính phủ tham gia tích cực hơn trong việc bảo vệ các chứng chỉ trực tuyến là hợp lý. “Chính phủ là nguồn cung duy nhất đáng tin cậy về danh tính, nhưng những chứng chỉ đó đang bị mắc kẹt trong thế giới của giấy và nhựa,” ông nói. Grant cũng làm việc với Better Identity Coalition, một nhóm ngành công nghiệp khẳng định rằng chính phủ nên tạo ra các công cụ danh tính số liên kết với các chứng chỉ truyền thống; các thành viên của nó bao gồm JPMorgan, Microsoft và CVS. Nó hỗ trợ một dự luật Hạ viện được giới thiệu năm ngoái bởi các nhà tài trợ đa đảng có thể đã hướng dẫn Nhà Trắng thành lập một nhóm nhiệm vụ về danh tính số và đã tài trợ cho các DMV tiểu bang để số hóa thẻ ID của họ.

Jay Stanley, một chuyên viên chính sách cấp cao tại ACLU, năm ngoái cảnh báo trong một báo cáo rằng bằng lái xe số có thể gây hại đến an ninh và quyền riêng tư của công dân cùng một lúc khi cải thiện chúng. Việc số hóa kiểm tra danh tính có thể khuyến khích các cơ quan và công ty yêu cầu chúng thường xuyên hơn, ông nói, và tạo ra các nhật ký của các tương tác như kiểm tra cảnh sát hoặcbác sĩ mà có thể thúc đẩy các chương trình giám sát mới. “Việc chúng ta không có hệ thống danh tính số tốt không thể trở thành lý do để vội vàng tạo ra các hệ thống với những vấn đề về công bằng và công bằng như trong tiểu thuyết Kafka,” Stanley nói.

Bằng lái xe số có thể, giống như xác minh bằng ảnh tự sướng, cũng sẽ khó sử dụng đối với những người không có điện thoại thông minh hoặc truy cập internet đáng tin cậy. Khi được hỏi về việc bằng lái xe số có thể phục vụ những người có thu nhập thấp mà cô làm việc tại Sacramento, Urban nói 'Tôi muốn những giải pháp không công nghệ, vì đó là những gì khách hàng của tôi cần.'

• 📩 Thông tin mới nhất về công nghệ, khoa học, và nhiều hơn nữa: Nhận bản tin của chúng tôi!
• Cách triều đại neon của Bloghouse đã đoàn kết internet
• Liệu có ai muốn thế giới ảo của Big Tech không?
• Ứng dụng và gadgets để giúp bạn giải quyết tiếng ù tai
• Các cơ quan tình báo Mỹ đang gặp khó khăn
• Vật lý của mặt nạ N95
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ có với cơ sở dữ liệu mới của chúng tôi
• 💻 Nâng cấp trò chơi làm việc của bạn với các laptop, bàn phím, lựa chọn gõ tay và tai nghe chống ồn mà đội ngũ Gear yêu thích