Cyberbezpieczeństwo
Rozwój i możliwości biometrycznych systemów kontroli tożsamości
Coraz powszechniejszy trend związany z zastosowaniem rozwiązań biometrycznych i opartej na tym kontroli tożsamości ma związek m.in. z rosnącą liczbą uchodźców w Europie oraz rosnącym zagrożeniem terrorystycznym. Także masowy ruch międzynarodowy wymusza nowe sposoby identyfikacji.
W Europie o początkach biometrii możemy mówić w roku 1890, kiedy to Alphonse Bertilon zastosował ją w kryminalistyce. Jego metoda miała służyć skuteczniejszej identyfikacji przestępców. Polegała ona na wykonywaniu 11 różnych pomiarów ciała i ich porównywaniu. Czas potrzebny na ich wykonanie wynosił jednak od 20 do 60 minut. Sprawiało to, że metoda ta była bardzo uciążliwa. W Europie XIX wieku także chciano opracować sposób identyfikacji osób w sposób jednoznaczny. Metoda Alphonsa Bertilona dawała dokładność na poziomie 1 do miliona. Niestety w roku 1903 w więzieniu Fort Leavenworth otrzymano takie same rezultaty dla dwóch różnych osób.
Jednoznaczna identyfikacja osób staje się koniecznością
Dziś na rozwój rozwiązań biometrycznych także duży wpływ ma chęć wdrożenia skutecznej kontroli tożsamości, m.in. ze względu na rosnące zagrożenie terrorystyczne. Dodatkowo mamy do czynienia z napływającą falą uchodźców, najczęściej bez dokumentów. Masowość ruchu międzynarodowego wymusza nowy sposób identyfikacji danej osoby. Zagrożenie terrorystyczne wymusza poprawę kontroli dostępu do ważnych instytucji takich, jak jednostki wojskowe, agencje odpowiedzialne za bezpieczeństwo kraju, budynki policji, a także na lotniskach oraz w firmach telekomunikacyjnych i energetycznych. Ataki na te instytucje mogą przełożyć się na realne straty i problemy z funkcjonowaniem państwa.
„W niektórych miejscach trzeba mieć pewność, że osoba, która się pojawiła, to ta sama osoba, na którą wydano dany dokument tożsamości, a nie ktoś, kto się pod nią podszywa” – mówi Jerzy Sorokowski, IT Architect w Fujitsu Technology Poland odpowiadający m.in. za rozwiązania biometryczne PalmSecure. „Jedyny sposób na zagwarantowanie tego, to biometria. Inne metody dają się obejść czy to na drodze technicznej, czy też w oparciu o manipulację socjotechniczną. Różne agendy myślą więc o rozwiązaniach biometrycznych, zarówno w zakresie kontroli dostępu fizycznego, jak i do systemów IT” – dodaje.
Zapewne wkrótce wszyscy będziemy dysponować biometrycznymi dokumentami tożsamości. „Musimy jednak zastosować rozwiązanie dające pewność identyfikacji. Linie papilarne nie do końca to gwarantują. Tym bardziej, że ok. 2% populacji ma problem z zeskanowaniem linii papilarnych. Dodatkowo ‘ścierają’ się one u osób starszych” – opowiada Jerzy Sorokowski.
Potencjalne zastosowania rozwiązań biometrycznych
Biometria rozważana jest nie tylko w sektorze publicznym, dotyczą nie tylko bezpieczeństwa państwa i infrastruktury krytycznej. „Prywatne firmy także chcą mieć dokładne informacje o osobach, które miały dostęp do konkretnych zasobów. Dotyczy to np. leków i substancji narkotycznych znajdujących się w dedykowanych do tego celu pomieszczeniach w aptekach” – tłumaczy Jerzy Sorokowski. „Dzięki rozwiązaniom biometrycznym wiadomo, która osoba pobrała dany lek. Została bowiem jednoznacznie zidentyfikowana. Nie może tłumaczyć się, że zostawiła klucz, a ktoś inny go wziął i pobrał coś z magazynu bez jej wiedzy. Kluczem bowiem są jej dane biometryczne” – dodaje.
W USA, w wielu stanach dzieciom skanuje się układ krwionośny dłoni. Na tej podstawie identyfikuje się je gdy trafiają do szpitali po wypadku. Identyfikacja ułatwia leczenie, dostarcza także komplet informacji medycznych, w tym np. o przeciwskazaniach w stosowaniu jakichś leków. W niektórych regionach skanery PalmSecure mają ratownicy medyczni. Stosują je duże szpitale, sieci przychodni i gabinetów medycznych, zwłaszcza na Wschodzie USA. Dane biometryczne zebrano już od ponad 22 mln pacjentów – mówi Jerzy Sorokowski, IT Architect w Fujitsu Technology Poland.
Na Zachodzie rozwiązania biometryczne stosuje się także – ze względu na ich ergonomię – na stadionach, w klubach fitness czy na basenach. W Polsce nadal wykorzystywane są karty lub kluczyki otwierające szafkę w przebieralni. W Anglii działa już sieć klubów fitness, w których kluczyki zastąpiły dane biometryczne. Dotyczy to zwłaszcza osób, które do danego miasta przyjeżdżają na krótki okres, a w trakcie pobytu chcą kilka razy odwiedzić siłownię. Rejestrując się przez internet można od razu określić ilość pobytów w klubie. SMS-em dostaje się jednorazowy kod, który potwierdza naszą tożsamość podczas pierwszego skanowania naszych danych biometrycznych. Cały proces odbywa się bezobsługowo. „Klub ten zastosował właśnie nasze rozwiązanie PalmSecure” – mówi Jerzy Sorokowski.
Alternatywą dla biometrii układu żył stosowanej w PalmSecure może być biometria głosowa. Ale wcześniej trzeba nagrać kilka próbek głosu, w dodatku wypowiadanych z różnym tłem głosowym (szumy, dzwięki obce). Zwykle jest to jeden i ten sam tekst, np. „Mój głos jest moim hasłem”. „Problemem jest właśnie fakt, że nasze nastroje zmieniają nasz głos. Przeszkodą jest także hałas wokół nas. Tymczasem układ naczyń krwionośnych jest stabilny. Nie zmienia się – jak wynika z naszych badań – w wieku od 18 do 85 lat. Wcześniej nasz wzorzec trzeba skanować co najmniej raz w roku, bo zmieniają się nasze ręce, m.in. rosną” – tłumaczy Jerzy Sorokowski.
W USA, w wielu stanach dzieciom skanuje się układ krwionośny dłoni. Na tej podstawie identyfikuje się je gdy trafiają do szpitali po wypadku. Identyfikacja ułatwia leczenie, dostarcza także komplet informacji medycznych, w tym np. o przeciwskazaniach w stosowaniu jakichś leków. „W niektórych regionach skanery PalmSecure mają ratownicy medyczni. Stosują je duże szpitale, sieci przychodni i gabinetów medycznych, zwłaszcza na Wschodzie USA. Dane biometryczne zebrano już od ponad 22 mln pacjentów tylko w samych USA” – opowiada Jerzy Sorokowski.
Inne zastosowanie biometrii to np. kontrola dostępu w instytucjach finansowych, np. do skarbca. Na świecie – m.in. w Japonii, Chinach, Turcji i Brazylii – od wielu lat stosuje się ją także w bankomatach. W Brazylii dzięki temu praktycznie do zera ograniczono oszustwa. Poza zeskanowaniem karty i podaniem kodu PIN, na końcu trzeba także autoryzować transakcję poprzez zbliżenie do czytnika własnej dłoni. W Turcji dowód biometryczny stał się kartą płatniczą. Za pośrednictwem jego i skanu dłoni dokonywać można np. wypłat gotówki. „Karty płatniczej często zapominamy. Dowodem osobistym Turcy identyfikują się zaś w wielu miejscach, np. w jednostkach służby zdrowia” – mówi Jerzy Sorokowski.
W wielu miejscach na świecie myśli się de facto o wyeliminowaniu kart płatniczych i zastąpienia ich biometrią. Kraje skandynawskie – m.in. Dania i Norwegia – dokonują już pierwszego kroku w tym kierunku, rezygnują z gotówki. Następny krok to rezygnacja z karty płatniczej. Karta bankomatowa z kodem PIN to przecież jedynie potwierdzenie naszej tożsamości, tak jak nasze dane biometryczne. W Polsce PKO BP, Politechnika Gdańska oraz firma Microsystem – w ramach projektu finansowanego przez Narodowe Centrum Badań i Rozwoju – testuje, które metody identyfikacji biometrycznej będą najlepsze dla klientów.
Biometria chroni nasze dane przed wykradzeniem
W biometrii najważniejszy jest tzw. współczynnik fałszywej akceptacji. Oblicza się go porównując na krzyż próbki od 1000 osób. Daje to milion kombinacji. W przypadku najnowszej wersji PalmSecure, wprowadzonej pod koniec 2015 roku współczynnik ten wynosi 1 do 10 mln. Wcześniej było to 8 do 10 mln.
Na Zachodzie rozwiązania biometryczne stosuje się także – ze względu na ich ergonomię – na stadionach, w klubach fitness czy na basenach. W Polsce nadal wykorzystywane są karty lub kluczyki otwierające szafkę w przebieralni. W Anglii działa już sieć klubów fitness, w których kluczyki zastąpiły dane biometryczne. Dotyczy to zwłaszcza osób, które do danego miasta przyjeżdżają na krótki okres, a w trakcie pobytu chcą kilka razy odwiedzić siłownię. Rejestrując się przez internet można od razu określić ilość pobytów w klubie. SMS-em dostaje się jednorazowy kod, który potwierdza naszą tożsamość podczas pierwszego skanowania naszych danych biometrycznych.
Druga sprawa to ciągła poprawa ergonomii i zapisywanie informacji w taki sposób, aby nie były uznawane za informacje biometryczne. Jak podkreśla Jerzy Sorokowski, w przypadku biometrii nie mamy do czynienia z zagrożeniem wyciekiem danych. Po pierwsze przetwarzane są one i szyfrowane w samym czytniku. W ten sam sposób przetwarzane są dane źródłowe. Dodatkowo dane źródłowe przetwarzane są algorytmami jednokierunkowymi. Nie można więc ich odtworzyć i przypisać konkretnej osobie, próbując ją na tej podstawie zidentyfikować. Obok musi być osoba, której dane biometryczne zeskanowano, aby je potwierdzić.
„W przypadku naszej technologii PalmSecure nie skanujemy układu linii żył dłoni konkretnego człowieka. Nasze algorytmy rejestrują jedynie częstość i kierunki ułożenia pewnych elementów charakterystycznych sieci żył. Poprawia to skuteczność identyfikacji, a dodatkowo zmniejsza wrażliwość czytnika na sposób ułożenia dłoni” – opowiada. Z punktu widzenia prawnego – zbierane przez nasze algorytmy dane – nadal są to uznawane za biometryczne. De facto jednak nie ma szans na to aby – po nieodwracalnym przetworzeniu – odtworzyć linie żył w ręce danego człowieka.