新的政府问责办公室(GAO)审计报告已提高了有关国土安全部(DHS)HART系统隐私漏洞的危险信号。然而,国防部(DOD)成功地迁移到了其自动生物识别系统(ABI)的云中,为生物识别IT收购提供了宝贵的经验教训。
这两个计划之间的对比强调了主动风险管理,稳健的安全框架和明确的治理政策的重要性。随着联邦机构继续采用先进的生物识别技术,平衡创新与隐私保护对于确保安全和公民自由的维护至关重要。
国防部采用了另一种方法来通过ABIS增强生物识别能力,ABI可以每天处理多达45,000个生物识别提交,并且在大型操作期间可能会增加到100,000。 ABI通过云迁移经历了重大的转变。与DHS在HART面临的挑战不同,DOD已成功将其ABIS转变为高度安全的Impact 5级AWS云体系结构,从而提高了速度,安全性和可扩展性。
国防部阿比斯(Abis)在全球范围内识别跨战场,边界和军事基地的感兴趣的人中起着至关重要的作用。它处理多种生物识别方式,包括指纹,棕榈印刷,虹膜扫描,面部识别和语音识别。在国防部,联邦机构和国际合作伙伴之间共享了超过3000万个生物识别记录的存储库,该系统需要进行现代化的努力,以提高安全性和效率。
从本地服务器过渡到云基础架构已将ABIS与DOD的零信任体系结构保持一致,从而减少了安全漏洞,同时启用了无缝可扩展性。
迁移的一个关键方面是与联邦调查局(FBI)等关键系统保持互操作性。系统和DHS的标识数据库。 ABIS还管理着关键的手表列表,确保可以在多个平台上访问最新的生物识别数据,包括军事和情报团队使用的现场设备。迁移的目的是保持现有功能,同时提高处理速度并简化新功能的发展。
与Hart中GAO确定的风险不同,DOD的增量云迁移方法最大程度地减少了干扰并确保了操作连续性。 ABIS不是逻辑阶段迁移的,而不是冒险的全面转移,减少了系统故障和技术问题的可能性。负责监督迁移的主要承包商Leidos与DOD紧密合作,有效地实施了云,证明了一种有条理的IT现代化方法。
通过转移到AWS GovCloud,Abis显着提高了其处理速度,从而将生物识别分析的周转时间降低了10%至15%。该系统的增强能力使战士和情报团队能够在现场做出更快,数据驱动的决策。随着安全性和运营灵活性的提高,现代化的ABIS基础设施证明了在联邦机构成功实施基于云的生物特征识别系统。
“我们通过迁移通过增量部署进行逻辑分组的系统片段,从前端工作站一直降低了运营影响的风险,一直到后端计算环境。”国防部计划经理大卫·琼斯(David Jones)。
“当我们在某个遥远的地方遇到潜在的对手时,重要的是,战士和其他机构必须了解该人是否具有先前的威胁活动历史,”退休的陆军准将JB Burton解释说,这是一位退休的陆军准将,支持Leidos倡议。 “他们在手表清单上吗?我们以前曾经遇到过吗?对DOD ABIS最终用户提供及时,准确和完整的响应,可促进更快的决策。”
不过,在DHS上,Gao发现了隐私问题,旨在替代现有的自动化生物识别系统(IDES)的生物特征识别系统,该系统有望增强政府收集,存储和处理敏感生物识别数据的能力。高的审核强调了与该技术相关的重大隐私风险,引起了对数据安全性,未经授权的监视以及潜在滥用个人身份信息的担忧。
Hart是一项关键任务的IT收购,将为包括国土安全部,国务院和司法部在内的多个机构提供服务。它旨在改善移民执法,执法调查和国家安全行动的身份验证过程。但是,该报告将Hart确定为具有最高隐私风险的收购之一。 HART涉及的数据收集和存储规模增加了安全漏洞,未经授权的访问和数据滥用的可能性。鉴于生物识别数据是不可变的,因此保护此信息的赌注异常高。
HART的中央隐私问题之一是进行大规模监视和跟踪的潜力。 GAO警告说,该系统的庞大数据库可以使政府能够以前所未有的规模监视个人,从而提出有关公民自由和数据保护的问题。隐私拥护者警告说,如果没有强大的保障措施,就可以使用Hart超出其预期范围,从而导致对守法的个人和社区进行监视。 Gao说,该系统与其他政府数据库和执法网络的集成会扩大这些风险,这使得国卫生署必须实施严格的访问控制和监督机制。
GAO还强调了针对网络威胁保护生物识别数据的挑战。与字母数字数据不同,一旦折衷,生物识别信息就无法重置或更换。违反哈特数据库的可能性可能使数百万个人盗窃和欺诈。审计报告强调,DHS必须采用尖端的加密和数据匿名技术来减轻这些风险。但是,GAO发现DHS的隐私风险管理方法不一致,并指出该部门尚未完全解决与生物识别数据安全有关的先前建议。
报告中确定的另一个重要问题是,缺乏关于如何与其他联邦,州和国际实体共享生物识别数据的透明度。 Hart旨在促进机构之间的数据交换,但GAO引起了DHS的担忧,即DHS尚未明确概述有关数据保留,共享协议和监督机制的政策。没有明确的法规和问责制,就有可能在其原始目的之外访问或使用生物识别数据。该报告呼吁国土安全部制定严格的数据治理政策,以防止潜在的滥用并确保遵守隐私法。
GAO还发现,由于将安全措施整合到如此大规模的IT系统中,DHS在HART内实施隐私保护方面面临着挑战。该系统的开发经历了延误,部分原因是在将隐私保障与运营需求保持一致。审计报告警告说,除非DHS从一开始就优先考虑隐私方面的考虑,否则该系统可能会以保护不足而启动,从而增加未来违规和滥用的风险。
无法解决这些隐私风险的潜在后果是严重的。 GAO指出了过去的事件,较弱的生物识别措施导致了严重的数据泄露。例如,从旅行者收集的2019年海关和边境保护漏洞暴露的面部识别数据。哈特(Hart)的类似违规行为可能会产生深远的影响,不仅影响美国公民,而且影响其生物特征识别信息存储在系统中的外国国民。该报告强调了保护此数据不仅是隐私问题,而且是国家安全问题。
GAO建议DHS采取几个紧急步骤来减轻与Hart相关的隐私风险。首先,国土安全部必须实施全面的隐私影响评估,以在完全部署之前评估和解决潜在的风险。其次,DHS必须加强其加密和匿名协议,以保护生物识别数据免受网络威胁。第三,DHS需要通过清楚地定义如何在不同机构之间共享,保留和使用的生物特征信息来提高透明度。最后,国土安全部必须确保进行持续的监督和独立审核,以监视对隐私保护的遵守情况,并防止未经授权使用HART数据。
Hart代表了生物识别技术的重大进步,但它也带来了前所未有的隐私挑战。 GAO审计报告清楚地表明,如果没有强大的保障措施,该系统可能会导致广泛的监视,未经授权的数据共享以及增加对网络威胁的脆弱性。 GAO的发现是一个关键警告,尽管必须进行身份验证的技术进步,但它们不得以隐私和安全为代价。
文章主题
|||||||||
