รายงานการตรวจสอบความรับผิดชอบของรัฐบาล (GAO) ใหม่ได้ยกธงสีแดงเกี่ยวกับช่องโหว่ความเป็นส่วนตัวในระบบฮาร์ตของกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) อย่างไรก็ตามในขณะเดียวกันกระทรวงกลาโหม (DOD) ประสบความสำเร็จในการย้ายไปยังคลาวด์ระบบการระบุไบโอเมตริกซ์อัตโนมัติ (ABIS) เสนอบทเรียนที่มีค่าในการได้มาซึ่งไบโอเมตริกซ์ไอที
ความแตกต่างระหว่างสองโปรแกรมนี้เน้นย้ำถึงความสำคัญของการบริหารความเสี่ยงเชิงรุกกรอบความปลอดภัยที่แข็งแกร่งและนโยบายการกำกับดูแลที่ชัดเจน ในขณะที่หน่วยงานของรัฐบาลกลางยังคงใช้เทคโนโลยีไบโอเมตริกซ์ขั้นสูงการสร้างสมดุลระหว่างนวัตกรรมด้วยการปกป้องความเป็นส่วนตัวจะมีความสำคัญอย่างยิ่งในการสร้างความมั่นใจทั้งความปลอดภัยและเสรีภาพของพลเมือง
DOD ได้ใช้วิธีการที่แตกต่างกันในการเพิ่มขีดความสามารถทางชีวภาพผ่าน ABIS ซึ่งประมวลผลการส่งไบโอเมตริกซ์สูงถึง 45,000 รายต่อวันและสามารถเพิ่มขึ้นถึง 100,000 ในระหว่างการดำเนินงานที่สำคัญ ABIS ได้รับการเปลี่ยนแปลงอย่างมีนัยสำคัญผ่านการย้ายถิ่นของคลาวด์ ซึ่งแตกต่างจากความท้าทายของ DHS กับ Hart, DOD ประสบความสำเร็จในการเปลี่ยน ABIs ให้เป็นสถาปัตยกรรมคลาวด์ระดับ 5 AWS ที่มีความปลอดภัยสูงปรับปรุงความเร็วความปลอดภัยและความสามารถในการปรับขนาด
DOD ABIS มีบทบาทสำคัญในการระบุบุคคลที่น่าสนใจในสนามรบพรมแดนและฐานทัพทั่วโลก มันประมวลผลรังสีไบโอเมตริกซ์หลายวิธีรวมถึงลายนิ้วมือพิมพ์ปาล์มสแกนไอริสการจดจำใบหน้าและการจดจำเสียง ด้วยพื้นที่เก็บข้อมูลของบันทึกไบโอเมตริกซ์มากกว่า 30 ล้านรายการที่ใช้ร่วมกันระหว่าง DOD หน่วยงานรัฐบาลกลางและพันธมิตรระหว่างประเทศระบบจำเป็นต้องมีความพยายามปรับปรุงเพื่อเพิ่มความปลอดภัยและประสิทธิภาพ
การเปลี่ยนจากเซิร์ฟเวอร์ในสถานที่เป็นโครงสร้างพื้นฐานคลาวด์ได้ปรับ ABIs ให้สอดคล้องกับสถาปัตยกรรมที่น่าเชื่อถือของ DOD ซึ่งลดช่องโหว่ด้านความปลอดภัย
ประเด็นสำคัญของการย้ายถิ่นคือการรักษาความสามารถในการทำงานร่วมกันกับระบบที่สำคัญเช่นสำนักงานสืบสวนกลางแห่งสหพันธรัฐ (FBI)ฐานข้อมูลการระบุระบบและ DHS ABIS ยังจัดการรายการนาฬิกาที่สำคัญเพื่อให้มั่นใจว่าข้อมูลไบโอเมตริกซ์ที่ทันสมัยสามารถเข้าถึงได้ในหลายแพลตฟอร์มรวมถึงอุปกรณ์ภาคสนามที่ใช้โดยทีมทหารและหน่วยข่าวกรอง เป้าหมายของการย้ายถิ่นคือการรักษาความสามารถที่มีอยู่ในขณะที่เพิ่มความเร็วในการประมวลผลและปรับปรุงการพัฒนาฟังก์ชันใหม่
ซึ่งแตกต่างจากความเสี่ยงที่ GAO ที่ระบุไว้ในฮาร์ตวิธีการโยกย้ายคลาวด์ที่เพิ่มขึ้นของ DOD ช่วยลดการหยุดชะงักและทำให้มั่นใจได้ถึงความต่อเนื่องในการดำเนินงาน มากกว่าการถ่ายโอนทั้งหมดที่มีความเสี่ยง ABIS ถูกอพยพในขั้นตอนเชิงตรรกะลดโอกาสของความล้มเหลวของระบบและปัญหาทางเทคนิค Leidos ผู้รับเหมาชั้นนำที่ดูแลการย้ายถิ่นทำงานอย่างใกล้ชิดกับ DOD เพื่อใช้คลาวด์อย่างมีประสิทธิภาพแสดงให้เห็นถึงวิธีการที่เป็นระบบในการปรับปรุงให้ทันสมัย
ด้วยการเปลี่ยนเป็น AWS Govcloud ABIS ได้ปรับปรุงความเร็วในการประมวลผลอย่างมีนัยสำคัญลดเวลาตอบสนองสำหรับการวิเคราะห์ไบโอเมตริกซ์ 10 เปอร์เซ็นต์เป็น 15 เปอร์เซ็นต์ ความสามารถที่เพิ่มขึ้นของระบบช่วยให้นักรบและทีมข่าวกรองสามารถตัดสินใจได้เร็วขึ้นและขับเคลื่อนด้วยข้อมูลในสนาม ด้วยความปลอดภัยที่เพิ่มขึ้นและความยืดหยุ่นในการดำเนินงานโครงสร้างพื้นฐาน ABIS ที่ทันสมัยถือเป็นข้อพิสูจน์ถึงการดำเนินการที่ประสบความสำเร็จของระบบการระบุไบโอเมตริกซ์บนคลาวด์ในหน่วยงานรัฐบาลกลาง
“ เราลดความเสี่ยงของผลกระทบจากการปฏิบัติงานจากเวิร์กสเตชันส่วนหน้าไปจนถึงสภาพแวดล้อมการคำนวณส่วนหลังโดยการโยกย้ายชิ้นส่วนของระบบที่ถูกจัดกลุ่มอย่างมีเหตุผลผ่านการปรับใช้ที่เพิ่มขึ้น”DOD หลังจากผู้จัดการโปรแกรม David Jones
“ เมื่อเราพบกับศัตรูที่มีศักยภาพในสถานที่ห่างไกลบางแห่งเป็นสิ่งสำคัญที่นักรบและหน่วยงานอื่น ๆ เข้าใจว่าบุคคลนั้นมีประวัติก่อนหน้านี้เกี่ยวกับกิจกรรมการคุกคามหรือไม่” JB Burton นายพลจัตวาที่เกษียณอายุราชการ “ พวกเขาอยู่ในรายการนาฬิกาหรือไม่? เราเคยพบพวกเขามาก่อนหรือไม่? ให้การตอบสนองที่ทันเวลาแม่นยำและสมบูรณ์สำหรับผู้ใช้ DOD ABIS ช่วยอำนวยความสะดวกในการตัดสินใจได้เร็วขึ้นที่ขอบด้านหน้า”
แต่ที่ DHS, Gao พบปัญหาความเป็นส่วนตัวด้วยระบบเอกลักษณ์ไบโอเมตริกซ์ที่ออกแบบมาเพื่อแทนที่ระบบการระบุไบโอเมตริกซ์อัตโนมัติที่มีอยู่ (IDENT) ซึ่งคาดว่าจะเพิ่มความสามารถของรัฐบาลในการรวบรวมจัดเก็บและประมวลผลข้อมูลไบโอเมตริกซ์ที่ละเอียดอ่อนการตรวจสอบของ GAOตอกย้ำความเสี่ยงด้านความเป็นส่วนตัวที่สำคัญที่เชื่อมโยงกับเทคโนโลยีทำให้เกิดความกังวลเกี่ยวกับความปลอดภัยของข้อมูลการเฝ้าระวังที่ไม่ได้รับอนุญาตและการใช้ข้อมูลที่สามารถระบุตัวบุคคลได้ในทางที่ผิด
ฮาร์ตเป็นงานที่มีความสำคัญอย่างยิ่งต่อภารกิจที่จะให้บริการหลายหน่วยงานรวมถึง DHS กระทรวงการต่างประเทศและกระทรวงยุติธรรม มีวัตถุประสงค์เพื่อปรับปรุงกระบวนการตรวจสอบตัวตนสำหรับการบังคับใช้การเข้าเมืองการตรวจสอบการบังคับใช้กฎหมายและการดำเนินงานด้านความมั่นคงแห่งชาติ อย่างไรก็ตามรายงานระบุว่าฮาร์ตเป็นหนึ่งในการเข้าซื้อกิจการที่มีความเสี่ยงด้านความเป็นส่วนตัวสูงสุด ขนาดของการรวบรวมข้อมูลและการจัดเก็บข้อมูลที่เกี่ยวข้องกับฮาร์ตเพิ่มโอกาสในการละเมิดความปลอดภัยการเข้าถึงที่ไม่ได้รับอนุญาตและการใช้ข้อมูลในทางที่ผิด เนื่องจากข้อมูลไบโอเมตริกซ์นั้นไม่เปลี่ยนรูปเดิมพันสำหรับการปกป้องข้อมูลนี้สูงเป็นพิเศษ
หนึ่งในความกังวลด้านความเป็นส่วนตัวกลางของฮาร์ตคือศักยภาพในการเฝ้าระวังและติดตามจำนวนมาก GAO เตือนว่าฐานข้อมูลที่กว้างใหญ่ของระบบสามารถช่วยให้รัฐบาลสามารถตรวจสอบบุคคลในระดับที่ไม่เคยมีมาก่อนทำให้เกิดคำถามเกี่ยวกับเสรีภาพและการปกป้องข้อมูล ผู้ให้การสนับสนุนความเป็นส่วนตัวได้เตือนว่าหากไม่มีการป้องกันที่แข็งแกร่งฮาร์ตสามารถใช้เกินขอบเขตที่ตั้งใจไว้ซึ่งนำไปสู่การเฝ้าระวังบุคคลและชุมชนที่ปฏิบัติตามกฎหมาย การรวมระบบของระบบกับฐานข้อมูลรัฐบาลอื่น ๆ และเครือข่ายการบังคับใช้กฎหมายจะขยายความเสี่ยงเหล่านี้ทำให้ DHS จำเป็นต้องใช้การควบคุมการเข้าถึงที่เข้มงวดและกลไกการกำกับดูแล Gao กล่าว
GAO ยังเน้นถึงความท้าทายในการรักษาความปลอดภัยข้อมูลไบโอเมตริกซ์ต่อภัยคุกคามทางไซเบอร์ ไม่เหมือนกับข้อมูลตัวอักษรและตัวเลขข้อมูลไบโอเมตริกซ์เมื่อถูกบุกรุกไม่สามารถรีเซ็ตหรือแทนที่ได้ การฝ่าฝืนฐานข้อมูลของฮาร์ตอาจทำให้บุคคลหลายล้านคนมีการขโมยข้อมูลและการฉ้อโกง รายงานการตรวจสอบเน้นว่า DHS จะต้องใช้เทคนิคการเข้ารหัสที่ทันสมัยและเทคนิคการไม่เปิดเผยตัวตนเพื่อลดความเสี่ยงเหล่านี้ อย่างไรก็ตาม GAO พบความไม่สอดคล้องกันในแนวทางของ DHS ในการจัดการความเสี่ยงความเป็นส่วนตัวโดยสังเกตว่าแผนกยังไม่ได้รับการตอบรับอย่างเต็มที่ก่อนหน้านี้เกี่ยวกับความปลอดภัยของข้อมูลไบโอเมตริกซ์
ปัญหาสำคัญอีกประการหนึ่งที่ระบุไว้ในรายงานคือการขาดความโปร่งใสเกี่ยวกับวิธีการแบ่งปันข้อมูลไบโอเมตริกซ์กับหน่วยงานรัฐบาลกลางรัฐและระหว่างประเทศอื่น ๆ ฮาร์ตได้รับการออกแบบมาเพื่ออำนวยความสะดวกในการแลกเปลี่ยนข้อมูลระหว่างหน่วยงาน แต่ GAO ทำให้เกิดความกังวลว่า DHS ไม่ได้ระบุนโยบายเกี่ยวกับการเก็บข้อมูลการแบ่งปันข้อตกลงและกลไกการกำกับดูแลอย่างชัดเจน หากไม่มีกฎระเบียบที่ชัดเจนและมาตรการความรับผิดชอบมีความเสี่ยงที่ข้อมูลไบโอเมตริกซ์สามารถเข้าถึงหรือใช้เกินวัตถุประสงค์ดั้งเดิม รายงานเรียกร้องให้ DHS กำหนดนโยบายการกำกับดูแลข้อมูลที่เข้มงวดเพื่อป้องกันการใช้ในทางที่ผิดที่อาจเกิดขึ้นและตรวจสอบให้แน่ใจว่าสอดคล้องกับกฎหมายความเป็นส่วนตัว
GAO ยังพบว่า DHS เผชิญกับความท้าทายในการใช้การปกป้องความเป็นส่วนตัวภายในฮาร์ตเนื่องจากความซับซ้อนของการรวมมาตรการรักษาความปลอดภัยเข้ากับระบบไอทีขนาดใหญ่ การพัฒนาของระบบมีความล่าช้าส่วนหนึ่งเป็นผลมาจากความยากลำบากในการจัดแนวป้องกันความเป็นส่วนตัวกับความต้องการในการดำเนินงาน รายงานการตรวจสอบเตือนว่าหาก DHS จัดลำดับความสำคัญของการพิจารณาความเป็นส่วนตัวตั้งแต่เริ่มต้นระบบอาจเปิดตัวด้วยการป้องกันที่ไม่เพียงพอเพิ่มความเสี่ยงของการละเมิดในอนาคตและการใช้ในทางที่ผิด
ผลที่อาจเกิดขึ้นจากความล้มเหลวในการจัดการกับความเสี่ยงด้านความเป็นส่วนตัวเหล่านี้มีความรุนแรง GAO ชี้ไปที่เหตุการณ์ที่ผ่านมาซึ่งมาตรการรักษาความปลอดภัยไบโอเมตริกซ์ที่อ่อนแอนำไปสู่การละเมิดข้อมูลที่สำคัญ ตัวอย่างเช่นการฝ่าฝืนศุลกากรและการป้องกันชายแดนในปี 2562 ข้อมูลการรับรู้การรับรู้ใบหน้าที่รวบรวมจากนักเดินทาง การฝ่าฝืนที่คล้ายกันในฮาร์ตอาจมีผลกระทบอย่างกว้างขวางซึ่งส่งผลกระทบต่อพลเมืองสหรัฐฯไม่เพียง แต่ยังรวมถึงชาวต่างชาติที่เก็บข้อมูลไบโอเมตริกซ์ไว้ในระบบ รายงานตอกย้ำว่าการปกป้องข้อมูลนี้ไม่เพียง แต่เป็นปัญหาความเป็นส่วนตัว แต่ยังเป็นปัญหาด้านความมั่นคงแห่งชาติ
GAO แนะนำว่า DHS ดำเนินการอย่างเร่งด่วนหลายขั้นตอนเพื่อลดความเสี่ยงด้านความเป็นส่วนตัวที่เกี่ยวข้องกับฮาร์ต ขั้นแรก DHS จะต้องดำเนินการประเมินผลกระทบความเป็นส่วนตัวที่ครอบคลุมเพื่อประเมินและจัดการกับความเสี่ยงที่อาจเกิดขึ้นก่อนการปรับใช้อย่างเต็มรูปแบบ ประการที่สอง DHS จะต้องเสริมสร้างโปรโตคอลการเข้ารหัสและการไม่เปิดเผยตัวตนเพื่อปกป้องข้อมูลไบโอเมตริกซ์จากภัยคุกคามไซเบอร์ ประการที่สาม DHS จำเป็นต้องปรับปรุงความโปร่งใสโดยการกำหนดอย่างชัดเจนว่าข้อมูลไบโอเมตริกซ์จะถูกแบ่งปันเก็บรักษาและใช้ในหน่วยงานที่แตกต่างกันอย่างไร และสุดท้าย DHS จะต้องตรวจสอบให้แน่ใจว่ามีการตรวจสอบอย่างต่อเนื่องและการตรวจสอบอย่างอิสระเพื่อตรวจสอบการปฏิบัติตามกฎระเบียบความเป็นส่วนตัวและป้องกันการใช้ข้อมูลของฮาร์ตโดยไม่ได้รับอนุญาต
ฮาร์ตแสดงถึงความก้าวหน้าที่สำคัญในเทคโนโลยีไบโอเมตริกซ์ แต่ก็ยังก่อให้เกิดความท้าทายด้านความเป็นส่วนตัวอย่างไม่เคยปรากฏมาก่อน รายงานการตรวจสอบ GAO ทำให้ชัดเจนว่าหากไม่มีการป้องกันที่แข็งแกร่งระบบอาจนำไปสู่การเฝ้าระวังอย่างกว้างขวางการแบ่งปันข้อมูลที่ไม่ได้รับอนุญาตและเพิ่มความเสี่ยงต่อภัยคุกคามทางไซเบอร์ การค้นพบของ GAO เป็นคำเตือนที่สำคัญว่าในขณะที่ความก้าวหน้าทางเทคโนโลยีในการตรวจสอบตัวตนเป็นสิ่งจำเป็น แต่พวกเขาจะต้องไม่มาในค่าใช้จ่ายความเป็นส่วนตัวและความปลอดภัย
หัวข้อบทความ
---------
