新的政府問責辦公室(GAO)審計報告已提高了有關國土安全部(DHS)HART系統隱私漏洞的危險信號。然而,國防部(DOD)成功地遷移到了其自動生物識別系統(ABI)的雲中,為生物識別IT收購提供了寶貴的經驗教訓。
這兩個計劃之間的對比強調了主動風險管理,穩健的安全框架和明確的治理政策的重要性。隨著聯邦機構繼續採用先進的生物識別技術,平衡創新與隱私保護對於確保安全和公民自由的維護至關重要。
國防部採用了另一種方法來通過ABIS增強生物識別能力,ABI可以每天處理多達45,000個生物識別提交,並且在大型操作期間可能會增加到100,000。 ABI通過雲遷移經歷了重大的轉變。與DHS在HART面臨的挑戰不同,DOD已成功將其ABIS轉變為高度安全的Impact 5級AWS雲體系結構,從而提高了速度,安全性和可擴展性。
國防部阿比斯(Abis)在全球範圍內識別跨戰場,邊界和軍事基地的感興趣的人中起著至關重要的作用。它處理多種生物識別方式,包括指紋,棕櫚印刷,虹膜掃描,面部識別和語音識別。在國防部,聯邦機構和國際合作夥伴之間共享了超過3000萬個生物識別記錄的存儲庫,該系統需要進行現代化的努力,以提高安全性和效率。
從本地服務器過渡到雲基礎架構已將ABIS與DOD的零信任體系結構保持一致,從而減少了安全漏洞,同時啟用了無縫可擴展性。
遷移的一個關鍵方面是與聯邦調查局(FBI)等關鍵系統保持互操作性。系統和DHS的標識數據庫。 ABIS還管理著關鍵的手錶列表,確保可以在多個平台上訪問最新的生物識別數據,包括軍事和情報團隊使用的現場設備。遷移的目的是保持現有功能,同時提高處理速度並簡化新功能的發展。
與Hart中GAO確定的風險不同,DOD的增量雲遷移方法最大程度地減少了乾擾並確保了操作連續性。 ABIS不是邏輯階段遷移的,而不是冒險的全面轉移,減少了系統故障和技術問題的可能性。負責監督遷移的主要承包商Leidos與DOD緊密合作,有效地實施了雲,證明了一種有條理的IT現代化方法。
通過轉移到AWS GovCloud,Abis顯著提高了其處理速度,從而將生物識別分析的周轉時間降低了10%至15%。該系統的增強能力使戰士和情報團隊能夠在現場做出更快,數據驅動的決策。隨著安全性和運營靈活性的提高,現代化的ABIS基礎設施證明了在聯邦機構成功實施基於雲的生物特徵識別系統。
“我們通過遷移通過增量部署進行邏輯分組的系統片段,從前端工作站一直降低了運營影響的風險,一直到後端計算環境。”國防部計劃經理大衛·瓊斯(David Jones)。
“當我們在某個遙遠的地方遇到潛在的對手時,重要的是,戰士和其他機構必須了解該人是否具有先前的威脅活動歷史,”退休的陸軍準將JB Burton解釋說,這是一位退休的陸軍準將,支持Leidos倡議。 “他們在手錶清單上嗎?我們以前曾經遇到過嗎?對DOD ABIS最終用戶提供及時,準確和完整的響應,可促進更快的決策。”
不過,在DHS上,Gao發現了隱私問題,旨在替代現有的自動化生物識別系統(IDES)的生物特徵識別系統,該系統有望增強政府收集,存儲和處理敏感生物識別數據的能力。高的審核強調了與該技術相關的重大隱私風險,引起了對數據安全性,未經授權的監視以及潛在濫用個人身份信息的擔憂。
Hart是一項關鍵任務的IT收購,將為包括國土安全部,國務院和司法部在內的多個機構提供服務。它旨在改善移民執法,執法調查和國家安全行動的身份驗證過程。但是,該報告將Hart確定為具有最高隱私風險的收購之一。 HART涉及的數據收集和存儲規模增加了安全漏洞,未經授權的訪問和數據濫用的可能性。鑑於生物識別數據是不可變的,因此保護此信息的賭注異常高。
HART的中央隱私問題之一是進行大規模監視和跟踪的潛力。 GAO警告說,該系統的龐大數據庫可以使政府能夠以前所未有的規模監視個人,從而提出有關公民自由和數據保護的問題。隱私擁護者警告說,如果沒有強大的保障措施,就可以使用Hart超出其預期範圍,從而導致對守法的個人和社區進行監視。 Gao說,該系統與其他政府數據庫和執法網絡的集成會擴大這些風險,這使得國衛生署必須實施嚴格的訪問控制和監督機制。
GAO還強調了針對網絡威脅保護生物識別數據的挑戰。與字母數字數據不同,一旦折衷,生物識別信息就無法重置或更換。違反哈特數據庫的可能性可能使數百萬個人盜竊和欺詐。審計報告強調,DHS必須採用尖端的加密和數據匿名技術來減輕這些風險。但是,GAO發現DHS的隱私風險管理方法不一致,並指出該部門尚未完全解決與生物識別數據安全有關的先前建議。
報告中確定的另一個重要問題是,缺乏關於如何與其他聯邦,州和國際實體共享生物識別數據的透明度。 Hart旨在促進機構之間的數據交換,但GAO引起了DHS的擔憂,即DHS尚未明確概述有關數據保留,共享協議和監督機制的政策。沒有明確的法規和問責制,就有可能在其原始目的之外訪問或使用生物識別數據。該報告呼籲國土安全部製定嚴格的數據治理政策,以防止潛在的濫用並確保遵守隱私法。
GAO還發現,由於將安全措施整合到如此大規模的IT系統中,DHS在HART內實施隱私保護方面面臨著挑戰。該系統的開發經歷了延誤,部分原因是在將隱私保障與運營需求保持一致。審計報告警告說,除非DHS從一開始就優先考慮隱私方面的考慮,否則該系統可能會以保護不足而啟動,從而增加未來違規和濫用的風險。
無法解決這些隱私風險的潛在後果是嚴重的。 GAO指出了過去的事件,較弱的生物識別措施導致了嚴重的數據洩露。例如,從旅行者收集的2019年海關和邊境保護漏洞暴露的面部識別數據。哈特(Hart)的類似違規行為可能會產生深遠的影響,不僅影響美國公民,而且影響其生物特徵識別信息存儲在系統中的外國國民。該報告強調了保護此數據不僅是隱私問題,而且是國家安全問題。
GAO建議DHS採取幾個緊急步驟來減輕與Hart相關的隱私風險。首先,國土安全部必須實施全面的隱私影響評估,以在完全部署之前評估和解決潛在的風險。其次,DHS必須加強其加密和匿名協議,以保護生物識別數據免受網絡威脅。第三,DHS需要通過清楚地定義如何在不同機構之間共享,保留和使用的生物特徵信息來提高透明度。最後,國土安全部必須確保進行持續的監督和獨立審核,以監視對隱私保護的遵守情況,並防止未經授權使用HART數據。
Hart代表了生物識別技術的重大進步,但它也帶來了前所未有的隱私挑戰。 GAO審計報告清楚地表明,如果沒有強大的保障措施,該系統可能會導致廣泛的監視,未經授權的數據共享以及增加對網絡威脅的脆弱性。 GAO的發現是一個關鍵警告,儘管必須進行身份驗證的技術進步,但它們不得以隱私和安全為代價。
文章主題
|||||||||
