62
PRAKTYKA
HAKIN9 12/2009
Z ARTYKUŁU
DOWIESZ SIĘ
w jaki sposób oszacować
i zakwalifikować poziom
ryzyka dla bio-prywatności
w projektach związanych z
zastosowaniem technologii
biometrycznych,
jakich reguł powinniśmy
przestrzegać planując
zastosowania technologii
biometrycznych aby
minimalizować zagrożenia dla
bio-prywatności.
CO POWINIENEŚ
WIEDZIEĆ
nie jest wymagana żadna
specjalna wiedza, ale
znajomość podstawowych
zasad ochrony danych
osobowych będzie bardzo
pomocna.
T
echnologie biometryczne wkroczyły już na
dobre do naszej codzienności. Stało się
to stopniowo. Proces recepcji technologii
biometrycznych zapoczątkowały skanery
odcisków palców montowane dość masowo
w komputerach przenośnych. Równocześnie
firmy i instytucje, zobowiązane do szczególnej
ochrony swoich strategicznych zasobów,
podjęły trud wdrażania biometrii u siebie
jako narzędzia do weryfikacji pracowników w
systemach kontroli dostępu do pomieszczeń
i systemów informatycznych. Jednak znaczne
koszty elementów składowych tych systemów,
głównie skanerów, stanęły na przeszkodzie
bardziej powszechnym zastosowaniom.
Kolejnym milowym krokiem w rozwoju
biometrii w Polsce była i jest implementacja
Rozporządzenia Rady Wspólnoty Europejskiej
nr 2252/2004 z dnia 13 grudnia 2004 r. w
sprawie norm dotyczących zabezpieczeń
i danych biometrycznych w paszportach i
dokumentach podróży wydawanych przez
Państwa Członkowskie Unii Europejskiej.
Wprawdzie Polska rozpoczęła wydawanie
paszportów biometrycznych już 28 sierpnia
2006 r., ale tylko z jedną cechą biometryczną
– obrazem twarzy. Natomiast od 29 czerwca
2009 r. wydawane w Polsce paszporty
zawierają już drugą cechę biometryczną tj.
obok obrazu twarzy także zapis odcisków
palców. Ważne podkreślenia jest to, że tego
typu projekty, tj. realizowane na masową skalę
JERZY CICHOWICZ
przez administrację państwową, są zawsze
swoistą lokomotywą rozwoju biometrii w danym
państwie. Można to prześledzić na wielu
zagranicznych przykładach, szczególnie Stanów
Zjednoczonych i Kanady. Pojawiły się także
pierwsze pionierskie próby wprowadzenia dość
prostych systemów w obszarze kontroli dostępu
połączonych z systemami kontroli czasu pracy.
Co jest zrozumiałe, pojawiać zaczęły
się także pierwsze wątpliwości dotyczące
zagrożeń. Związane są one, nie tyle z
samymi technologiami biometrycznymi, co
z danymi zawierającymi zapis naszych cech
biometrycznych, a szczególnie ich obrazu
– wzorca biometrycznego. Jak zaznaczają
autorzy monografii Biometria: Wielu ludzi
obawia się, że biometria niosąca obietnicę
doskonałej identyfikacji jest nieodłącznie
związana z całkowitym upadkiem prywatności
na wzór Wielkiego Brata. Choć systemy
biometryczne mogłyby być nadużywane
w systemach totalitarnych, to sposób ich
wdrożenia, strategie używania i otoczka prawna
określają ich wpływ na naszą prywatność.
Możliwe nadużycia, sprzeniewierzenia,
fałszerstwa danych biometrycznych, kradzieże
tożsamości związane z nieuprawnionym
dostępem do naszych danych biometrycznych
stały się dość częstym tematem artykułów
prasowych. Publicystyka ta nie zawsze sprzyja
uświadamianiu i edukacji społeczeństwa,
ponieważ przedstawia samą problematykę
Stopień trudności
Jak chronić
naszą bio-
prywatność?
Stykamy się z biometrią, a dysponujemy jedynie stereotypami
zaczerpniętymi z sensacyjnych książek i filmów. Jak odróżnić fikcję
od prawdy i czy strach przed biometrią jest jedynie przejawem
ignorancji? Czy nasza bio-prywatność może zostać zagrożona
i jak te zagrożenia w porę rozpoznać?
63
BIO-PRYWATNOŚĆ
HAKIN9
12/2009
zagrożeń bardzo jednostronnie i w aureoli
kasandrycznych przepowiedni.
Nie jestem bezkrytycznym entuzjastą
biometrii i podzielam poglądy specjalistów
przestrzegających przed realnymi
zagrożeniami, jakie wraz z wdrożeniami
tych technologii stają się częścią także
naszej rzeczywistości, a nie filmowego
Matriksa. Autorzy powyżej już cytowanej
monografii dobitnie podkreślają rolę
sporów natury prawnej wokół wdrożeń
biometrii: Ponieważ biometria wkracza w
głąb życia społecznego, powstaje wiele
problemów dotyczących prywatności.
Mają one znaczny wpływ na cywilne i
komercyjne użycie biometrii.
Odpowiedzialna dyskusja nad
zagrożeniami powinna jednak zmierzać
do ich eliminowania lub przynajmniej
ograniczania. Tak formułowane
ostrzeżenia publikowane pod zupełnie
nieuzasadnionymi złowieszczymi
tytułami przyczynić się mogą bardziej do
spowolnienia rozwoju samej biometrii,
jak i jej wdrożeń niż do rzeczywistego
uświadamiania obywatelom państwa
realnych zagrożeń.
Diagnoza problemu
Powszechna zdaje się opinia
specjalistów, że:
• zagadnienie społecznego
postrzegania biometrii i związanych z
nią zagrożeń naszej prywatności,
• poziom społecznej akceptacji
poszczególnych technologii
biometrycznych oraz
• permanentna i odpowiedzialna
edukacja obywateli w tym zakresie,
są kluczowymi czynnikami
przesądzającymi o powodzeniu wdrożeń
biometrii.
Powstaje zatem kluczowe pytanie: Jak
chronić skutecznie naszą prywatność,
korzystając jednocześnie w pełni z
funkcjonalności najnowszych technologii
biometrycznych?
Poszukiwaniom odpowiedzi na tak
postawione pytanie służyć miały dwa
istotne na naszym rynku wydarzenia:
• W dniach 21 – 22 maja br. odbyła się
pierwsza w Polsce ogólnodostępna
Najlepsze Praktyki zawierają wskazówki dotyczące wprowadzania rozwiązań biometrycznych
sprzyjających prywatności użytkowników i chroniących ją. W zamyśle autorów, mają one
umożliwić instytucjom wdrażającym biometrie zrozumienie różnych typów powszechnie
wdrażanych zabezpieczeń oraz ich ograniczeń. Przedmiotem Najlepszych Praktyk jest
pełen zakres aplikacji i technologii biometrycznych, od małych systemów kontroli fizycznego
dostępu do ogólnokrajowych programów identyfikacji. Dlatego też nie oczekuje się, by jakiś
proces wdrożenia był w pełni zgodny ze wszystkimi Najlepszymi Praktykami. Brak zgodności
z jedną lub nawet kilkoma Najlepszymi Praktykami niekoniecznie oznaczać już będzie groźbę
naruszenia prywatności. Jeżeli dany proces wdrożenia jest niezgodny z Najlepszymi Praktykami,
np. w przypadku Zakresu i możliwości, to aby zrównoważyć ów brak zgodności będzie on
musiał być zgodny z Najlepszymi Praktykami dotyczącymi Ujawniania Informacji, Kontroli i
Odpowiedzialności.
Najlepsze Praktyki można z powodzeniem uznać za szeroki zakres użytecznych procedur
chroniących przed potencjalnym naruszeniem prywatności.
Tabela 1.
Zestaw 10 kluczowych pytań służących do oszacowania potencjalnych ryzyk
dla naszej bio-prywatności w systemach wykorzystujących technologie biometryczne.
Kluczowe pytania
Niższe ryzyko dla
prywatności
Wyższe ryzyko dla
prywatności
Czy użytkownicy są
świadomi działania
systemu?
System jawny
Systemy niejawne, ukryte
Czy użytkowanie systemu
jest obowiązkowe
(obligatoryjne) czy też
nieobowiązkowe?
Nieobowiązkowe
(nieobligatoryjne)
Obowiązkowe
(obligatoryjne)
Czy system jest używany
do identyfikacji czy też
weryfikacji?
Weryfikacja
Identyfikacja
Czy system jest
wykorzystywany w ściśle
określonym przedziale
czasu, czy też w
nieokreślonym przedziale
czasu?
Ustalony przedział czasu
Nieokreślony przedział
czasu
Czy system jest
wykorzystywany w
sektorze publicznym czy
prywatnym?
Sektor prywatny
Sektor publiczny
W jakim charakterze
użytkownik wchodzi w
interakcję z systemem?
Indywidualna osoba,
Klient, Student,
Podróżny/Pasażer
Pracownik
Obywatel
Kto jest właścicielem
informacji biometrycznych
przetwarzanych i/lub
gromadzonych w
systemie?
Udostępniający dane do
skanowania/zapisu
Instytucja wdrażająca
Gdzie są składowane
dane biometryczne?
Przechowywane osobiście Baza danych
Jaki typ technologii
biometrycznej
zastosowano w systemie?
Behawioralne
Fizjologiczne
Czy system wykorzystuje
biometryczne szablony czy
też biometryczne obrazy
albo i szablony i obrazy?
Szablony
Obrazy
64
PRAKTYKA
HAKIN9 12/2009
BIO-PRYWATNOŚĆ
65
HAKIN9
12/2009
konferencja poświęcona biometrii
– 2009 Spring Biometric Summit,
zorganizowana przez Forum
Technologii Bankowych przy Związku
Banków Polskich oraz Software
Konferencje Sp z o.o. Konferencja
ta była pierwszą na naszym rynku
próbą – w mojej ocenie próbą w
pełni udaną – stworzenia platformy
wymiany poglądów pomiędzy
wszystkimi zainteresowanymi
odpowiedzialnym wdrażaniem
biometrii w Polsce. Uczestnikami tej
konferencji byli przedstawiciele nauki,
firm technologicznych oraz instytucji
wdrażających. W zamiarze twórców
tej konferencji ma ona być imprezą
cykliczną.
• Publikacja zbiorowego opracowania
pt.: Biometria w bankowości i
administracji publicznej. Jest
to wspólne dzieło specjalistów
zrzeszonych w Forum Technologii
Bankowych przy Związku Banków
Polskich. Opracowanie to zostało
zaprezentowane po raz pierwszy 22
maja br. na wspomnianej powyżej
konferencji. Opracowanie to jest
opisem technologii biometrycznych,
możliwych zastosowań biometrii,
historii jej najciekawszych wdrożeń,
ale zawiera także rozważania
na temat aspektów prawnych,
społecznych i ekonomicznych
biometrii oraz informacje na temat jej
wprowadzania w Polsce.
Jestem przekonany, że dyskusja nad
zagrożeniami naszej prywatności
związanymi z zastosowaniami w Polsce
biometrii, powinna obejmować swoim
zasięgiem wszystkie środowiska. Powinna
jednak być porządkowana w oparciu
o możliwie zobiektywizowane miary i
standardy. I nie chodzi tu o wyrafinowane
testy oraz badania prowadzone przez
instytuty oraz laboratoria badawcze. Takie
testy i badania są oczywiście bardzo
potrzebne. Zwłaszcza te, które mogą
wykazać się statusem niezależności od
twórców – dostawców tych technologii. Ale
brakuje nam prostych narzędzi, których
przeznaczeniem byłoby utwierdzanie nas –
zwykłych użytkowników – że poszczególne
zastosowania biometrii są zgodne z
powszechnie uznawanymi pryncypiami
dla ochrony naszej prywatności. Z tego
też powodu, chciałbym przybliżyć pewne
narzędzia opracowane już jakiś czas temu
przez organizację International Biometric
Group.
Proste narzędzia
do powszechnego
zastosowania
Narzędzia te poznałem bliżej z
prezentacji Michaela Thieme pt.:
Identifying And Reducing Privacy Risks In
Biometric System oraz na warsztatach
technicznych prowadzonych przez Debbie
Wanng – Understanding Biometric
Technology And Its Implementation.
Ponieważ narzędzia te są ciągle
dostosowywane i aktualizowane, w
dalszej części artykułu będę powoływać
się na źródła internetowe udostępniane
przez International Biometric Group.
Na stronie internetowej firma ta
prezentuje swoją inicjatywę, na którą
składa się jej misja oraz wspomniane już
narzędzia.
Misja tej firmy sprowadza się do
następujących deklaracji:
• Podnosić świadomość roli
prywatności dla końcowych
użytkowników, jak i podmiotów
wykorzystujących technologie
biometryczne.
• Zwiększać prawdopodobieństwo,
że technologie biometryczne
będą w możliwym stopniu chronić
naszą osobistą oraz informacyjną
prywatność.
Natomiast w części narzędziowej,
zaprezentowano interesującą
metodologię. Tworzą ją:
• BioPrivacy Application Impact
Framework, narzędzie do szacowania
potencjalnych ryzyk dla konkretnych
zastosowań biometrii,
Słownik bardziej złożonych pojęć i terminów
• BioPrivacy Application Impact Framework – jest to nazwa własna, którą w wolnym
tłumaczeniu można określić jako: Struktura sprawdzająco-testująca wpływ na bio-
prywatność.
• BioPrivacy Technology Risk Ratings – jest to nazwa własna, którą w wolnym tłumaczeniu
można określić jako: Oceny ryzyka poszczególnych technologii pod względem bio-
prywatności.
• BioPrivacy Best Practices – jest to nazwa własna, którą w wolnym tłumaczeniu można
określić jako: Zestaw najlepszych praktyk dla bio-prywatności.
• Identyfikacja (biometryczna) – Identyfikacja biometryczna oparta jest na cechach
biometrycznych i tylko na biometrycznych danych uwierzytelniających. Biometryczny
system identyfikacji przeszukuje biometryczną bazę danych w celu sprawdzenia, czy
są w niej pozycje przypominające próbkę wejściową do identyfikacji. Określa się ją
symbolem 1:N.
• International Biometric Group – jest to wiodąca na rynku amerykańskim firma
badawcza, doradcza i integracyjna. Jej centrala znajduje się w Nowym Jorku, ale
posiada swoje biura także w Waszyngtonie, Londynie i San Francisco. Podkreśla
ona swoją niezależność od dostawców technologii biometrycznych, jak również
neutralność w stosunku do poszczególnych technologii. Jej strona internetowa: http:
//www.biometricgroup.com
• Jakość biometrii – do pomiaru jakości różnych technologii biometrycznych używamy
zazwyczaj różnych wskaźników, ale najczęściej posługujemy się trzema podstawowymi
wskaźnikami:
• False Acceptance Rate (FAR) – informujący nas o współczynniku błędnych
akceptacji szablonu lub obrazu. Wskaźnik ten nazywany też jest wskaźnikiem
niesłusznych akceptacji.
• False Rejection Rate (FRR) – informujący nas o współczynniku błędnych odrzuceń
szablonu lub obrazu. Wskaźnik ten nazywany też jest wskaźnikiem niesłusznych
odrzuceń.
• Authentication time – to czas trwania pojedynczej identyfikacji lub weryfikacji.
• Weryfikacja (biometryczna) – weryfikacja biometryczna tym różni się od identyfikacji,
że prezentowana biometryka jest porównywana tylko z jedną zarejestrowaną jednostką
biometryczną. Określa się ją symbolicznie jako 1:1.
64
PRAKTYKA
HAKIN9 12/2009
BIO-PRYWATNOŚĆ
65
HAKIN9
12/2009
• BioPrivacy Technology Risk Ratings,
czyli technologiczna ocena
potencjalnych ryzyk dla prywatności
w zastosowaniach konkretnych
biometrii,
• BioPrivacy Best Practices, czyli zestaw
kluczowych zalecanych środków
ostrożności (konkretnie 25, które
zaprezentowałem w osobnej ramce),
dla upewnienia się, że dane użycie
lub zastosowanie biometrii sprzyja
ochronie naszej prywatności.
BioPrivacy Application
Impact Framework
Jest to metoda do analizy aplikacji
wykorzystujących technologie
biometryczne. Opiera się na założeniu, że
nie wszystkie zastosowania biometrii niosą
ze sobą to samo ryzyko dla prywatności.
Specyficzne cechy zastosowań technologii
biometrycznych podnoszą lub obniżają
prawdopodobieństwo nadużycia.
Analiza ta to próba odpowiedzi na 10
fundamentalnych pytań dotyczących
aplikacji, bądź systemu. Odpowiedzi
pozwalają pokazać te obszary wdrażanej
aplikacji lub systemu, które związane są
z większym ryzykiem. Dla tych obszarów,
zdaniem autorów prezentowanej
metodologii, wskazane jest stosowanie
odpowiednich środków ostrożności i
zabezpieczeń.
Pytania te znajdują się w Tabeli 1
Zestaw 10 kluczowych pytań służących
do oszacowania potencjalnych
ryzyk dla naszej bio-prywatności w
systemach wykorzystujących technologie
biometryczne.
Narzędzie to jest dość proste
w użyciu i raczej intuicyjne. To, czy
odpowiedź na pytanie zakwalifikować do
niższego lub wyższego poziomu ryzyka,
nie wymaga od nas specjalistycznej
wiedzy. Nie wymaga też prowadzenia
pomiarów lub badań.
BioPrivacy
Technology Risk Ratings
Metoda ta służy do oceny
ryzyka naruszenia prywatności
w zastosowaniach technologii
biometrycznych w obszarze czterech
kategorii – kluczowych obszarów
potencjalnego ryzyka. Dla każdego z
nich dokonywana jest ocena ryzyka w
następującym zakresie: niskie, średnie
i wysokie ryzyko. Kategorie te definiują
następujące kluczowe pytania z
metody BioPrivacy Application Impact
Framework:
• Czy dla danego zastosowania
podstawą jest weryfikacja, czy też
identyfikacja użytkownika?
• Czy zastosowana w systemie
biometria działa za wiedzą i zgodą
użytkownika, czy też bez jego wiedzy
albo zgody?
• Czy zastosowana biometria
bazuje na naszych zachowaniach
(cechach behawioralnych), czy też na
funkcjonowaniu naszych organizmów
(cechach fizjologicznych)?
• Czy dla danej technologii
biometrycznej istnieje lub w najbliższej
przyszłości powstanie baza danych
do wyszukiwania wzorców?
Fundamentem tej metody jest fakt,
że niektóre zastosowania biometrii
są bardziej podatne na nadużycia i
dlatego wymagają one zastosowania
dodatkowych środków ostrożności.
Użyteczność tego narzędzia zdaje się
być obecnie dość znikoma, ponieważ w
praktycznych zastosowaniach wykorzystuje
Literatura, czyli źródła dla bardziej dociekliwych
• Ruud M. Bolle, Jonathan H. Connell, Sharath Pankanti, Nalini K. Ratha, Andrew W. Senior:
Biometria, Wydawnictwo Naukowo-Techniczne, Warszawa 2008 (jest to polskie tłumaczenie
książki pt.: Guide To Biometrics wydanej w 2004 roku przez wydawnictwo Springer
Science+Business Media, Inc.). W mojej ocenie jest to najpoważniejsza i jednocześnie
najobszerniejsza na naszym rynku publikacja dotycząca biometrii.
• Understanding Biometric Technology And Its Implementation, czyli: Jak rozumieć
technologie biometryczne i ich wdrażanie. Są to materiały dla uczestników warsztatów,
które odbyły się w ramach konferencji The Winter 2008 Summit On Biometrics
(25.02.2008, Miami, USA).
• Biometric Technology Application Manual – Volume 1, Wyd.: National Biometric Security
Project, 2008.
• Prezentacja Michael’a Thieme pt.: Identifying And Reducing Privacy Risks In Biometric
Systems przedstawiona na konferencji: 13th Annual Conference on Computers,
Freedom & Privac (New York City, 4.04.2003).
• Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych z działalności w
roku 2005 (opublikowane na: www.giodo.gov.pl).
• Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych w roku 2006
(opublikowane na: www.giodo.gov.pl).
• Sprawozdanie Generalnego Inspektora Ochrony Danych Osobowych w roku 2007
(opublikowane na: www.giodo.gov.pl). W chwili złożenia tekstu do druku, sprawozdanie
GIODO z działalności w 2008 nie było jeszcze dostępne na stronie internetowej Urzędu.
W wielu znanych i cenionych czasopismach ukazują się od pewnego czasu teksty poświęcone
biometrii. Często dzieje się to pod patronatem instytucji o niekwestionowanym autorytecie. To
bardzo dobrze, że takie artykuły są publikowane. Są one przecież częścią istotnego dialogu
społecznego. Szkoda tylko, że ich autorzy kładą szczególny nacisk na opis potencjalnych
zagrożeń, przemilczając jednocześnie znane już sposoby i technologie im przeciwdziałające.
Już dzisiaj, wykorzystanie biometrii zgodnie z przywoływaną na wstępie do artykułu fantazją
scenarzystów, stało się niemożliwe.
Aby dociekliwy czytelnik miał możliwość samodzielnego wyrobienia sobie własnego zdania
na temat tego rodzaju publicystyki, przytaczam poniżej kilka jej przykładów:
• W raporcie Horyzonty Finansów 2009 wydanym przez miesięcznik BANK, ukazał się tekst
Redaktora Mieczysława T. Starkowskiego pt.: MATRIX w praktyce.
• W Computerworld z 2.06.2009 ukazał się tekst Redaktora Marcina Marciniaka pt.:
Biometria tak, ale z głową. Tekst ten jest jednym z serii artykułów dotyczących biometrii,
a ukazujących się pod patronatem NASK.
• W specjalnych raportach za 2007 rok: 50 największych banków w Polsce oraz
Wyróżniające się banki spółdzielcze – stanowiących podsumowanie wyników badań
przeprowadzonych przez redakcje czasopism BANK i NBS, ukazał się tekst Pana Marka
Mikołajczyka pt.: Jak zwiększyć bezpieczeństwo w bankach?
66
PRAKTYKA
HAKIN9 12/2009
BIO-PRYWATNOŚĆ
67
HAKIN9
12/2009
się dzisiaj rozwiązania wielomodułowe,
tj. łączące w jednym systemie więcej
niż jedną technologię biometryczną. Do
tego jeszcze ich jakość – w rozumieniu
precyzyjności osiąganej weryfikacji lub
identyfikacji – znacznie wzrosła.
Najlepsze praktyki we wdrażaniu
rozwiązań biometrycznych przyjaznych prywatności
Dla wygody czytelnika, wszystkie składające się na Najlepsze Praktyki zalecenia, rady oraz wskazówki, pogrupowałem na cztery kategorie tak,
jak zaprezentowali je autorzy w Internecie i jak opisałem je w artykule.
Kategoria 1: Zakres i możliwości
• 1. Ograniczenie zakresu
Rozwiązań biometrycznych nie powinno się stosować do weryfikacji lub identyfikacji w zakresie szerszym niż przewidywany w danym
systemie. Jakiekolwiek rozszerzenie lub zawężenie zakresu powinno iść w parze z pełnym, publicznym ujawnieniem tego faktu. O ile to możliwe,
należy użytkownikom umożliwić w takich okolicznościach zaprzestanie korzystania z systemu. Ponadto taka zmiana zakresu powinna być
przeprowadzona pod nadzorem niezależnego organu kontrolnego.
• 2. Wprowadzenie uniwersalnego unikatowego identyfikatora
Danych biometrycznych nie powinno się wykorzystywać jako uniwersalnego unikatowego identyfikatora. Należy w możliwym do uzyskania
stopniu zapewnić wystarczające zabezpieczenia, aby uniknąć używania danych biometrycznych jako uniwersalnego unikatowego
identyfikatora. Uniwersalne unikatowe identyfikatory ułatwiają bowiem zbieranie i gromadzenie danych osobowych z różnych baz danych i
mogą stanowić znaczne zagrożenie dla naszej prywatności w przypadku niewłaściwego ich użycia.
• 3. Ograniczone przechowywanie danych biometrycznych
Dane biometryczne w systemach biometrycznych należy przechowywać nie dłużej niż jest to konieczne i tylko w celu określonych zastosowań.
Dane biometryczne należy zniszczyć, usunąć lub w inny sposób uniemożliwić ich wykorzystanie po likwidacji systemu. Szczegółowe dane
dotyczące użytkowników należy zniszczyć, usunąć lub w inny sposób uniemożliwić ich wykorzystanie, gdy użytkownik przestaje mieć kontakt z
systemem.
• 4. Ocena potencjalnych możliwości systemu
Podczas określania ryzyka, które dany system może stanowić dla naszej prywatności, oprócz ryzyka związanego z samym zdefiniowanym
w systemie użyciem należy ocenić także jego potencjalne możliwości. Systemy, których działanie z założenia opiera się na naruszaniu
prywatności, występują niezwykle rzadko. Mogą mieć one natomiast ukryte możliwości, np. możliwość wykonania niejawnych przeszukiwań
istniejących biometrycznych baz danych. A to już może mieć wpływ na naszą prywatność. Systemy, które potencjalnie mogą naruszać naszą
prywatność, można oczywiście wdrażać, ale przy zachowaniu odpowiednich środków bezpieczeństwa, aby ich działanie ściśle kontrolować.
Z tych samych powodów należy podejmować wszelkie środki, aby zapobiec niewłaściwemu użyciu takich systemów z zewnątrz lub wewnątrz
stosującej go organizacji lub urzędu.
• 5. Zbieranie lub przechowywanie nadmiarowych danych osobowych
Dodatkowe dane niebiometryczne, zbierane do wykorzystania w systemie weryfikacji lub identyfikacji biometrycznej, należy ograniczyć do
niezbędnego minimum. To minimum powinno jednak umożliwiać weryfikację lub identyfikację. Pamiętajmy, że w większości istniejących już
systemów dane osobowe są przechowywane niezależnie od danych biometrycznych. Nie ma potrzeby ponownego gromadzenia tych danych
osobowych.
• 6. Przechowywanie oryginalnych danych biometrycznych
Danych biometrycznych pozwalających na identyfikację nie należy przechowywać lub używać w systemie biometrycznym w innym celu niż
wygenerowanie szablonu. Po wygenerowaniu szablonu dane te należy zniszczyć, usunąć lub w inny sposób uniemożliwić ich wykorzystanie.
Zaleca się przechowywanie jedynie szablonów.
Kategoria 2: Ochrona danych
• 7. Ochrona danych biometrycznych
Dane biometryczne należy chronić na wszystkich etapach przetwarzania, łącznie z etapem przechowywania, transmisji i porównywania.
Dane biometryczne można zabezpieczać poprzez kodowanie, używanie sieci prywatnych, ich przetwarzanie w bezpiecznych
pomieszczeniach wyposażonych w odpowiednie urządzenia, separowanie danych oraz poprzez kontrolę administracyjną. Rodzaj zabezpieczeń
wykorzystywanych w trakcie danego procesu wdrożenia określać należy na podstawie różnych czynników, takich jak:
• miejsce przechowywania,
• miejsce porównywania,
• rodzaj wykorzystywanej biometrii,
• możliwości systemu biometrycznego,
• procesy zachodzące w danym środowisku przetwarzania,
• ryzyko związane z ujawnieniem danych.
• 8. Zabezpieczenie danych po ich porównaniu
Każdą transmisję informacji po porównaniu danych biometrycznych należy zabezpieczyć. Chociaż transmisje te nie zawsze zawierają
dane biometryczne, ich przejęcie lub ujawnienie może spowodować uzyskanie nieautoryzowanego dostępu do danych osobowych. To
66
PRAKTYKA
HAKIN9 12/2009
BIO-PRYWATNOŚĆ
67
HAKIN9
12/2009
Dla przykładu wystarczy przytoczyć
trzy konkurujące ze sobą technologie
o wspólnym technicznym rodowodzie:
Finger Vein Authentication firmy HITACHI,
Biovascular Security Solutions firmy
IDENTICA™ i Palm Vein Recognition
(PalmSecure™) firmy Fujitsu. W świetle
przedstawianych narzędzi, jak również
prezentowanych przez poszczególnych
producentów wyników testów
– technologie te mają praktycznie
identyczne wyniki.
Doprowadziło to do niezręcznej
sytuacji w trakcie ostatniej konferencji
CTST (5 maja 2009) w Nowym
Orleanie, kiedy to prowadzący panel
dyskusyjny pt.: Emerging Technology
zapytał o prawdopodobne dalsze losy
rywalizujących ze sobą rozwiązań w
perspektywie kilku najbliższych lat.
Na tak sformułowane pytanie żaden
z orędowników i przedstawicieli tych
technologii nie chciał zabrać głosu.
BioPrivacy Best Practices
Jest to 25 najlepszych praktyk dla
wdrażających i wykorzystujących
rozwiązania biometryczne, które służyć
mają eliminacji podstawowych zagrożeń i
sprawić, aby te rozwiązania były przyjazne
dla naszej prywatności.
Najlepsze Praktyki zostały przez ich
autorów podzielone na następujące
kategorie:
• Zakres i możliwości.
• Ochrona danych.
• Kontrolowanie danych osobistych
przez użytkownika.
• Ujawnianie informacji, Kontrola,
Odpowiedzialność, Nadzór.
Ze względu na obszerność samego
tylko opisu Najlepszych Praktyk,
zaprezentowałem je w osobnej ramce.
Podsumowanie
Nawet jeżeli zaprezentowana
metodologia i składające się na nią
narzędzia posługują się pojęciami bardzo
ogólnymi, to jednak ich wykorzystanie
do oceny zagrożeń naszej prywatności
w poszczególnych zastosowaniach
technologii biometrycznych zdaje się być
bardzo użyteczne. Szczególnie Najlepsze
Praktyki mogą stanowić doskonały punkt
wyjścia do konstruktywnej dyskusji nad
możliwościami szerszego stosowania
technologii biometrycznych w Polsce.
zabezpieczenie jest szczególnie ważne w środowisku, do którego nie mamy pełnego
zaufania.
• 9. Ograniczony dostęp do systemu
Dostęp do systemu biometrycznego i danych w nim zawartych należy ograniczyć do
ściśle wyselekcjonowanego personelu. Kryteria tej selekcji należy dokładnie opisać. Należy
też roztoczyć ścisłą kontrolę nad używaniem systemu i eksportem przetwarzanych i
gromadzonych w nim danych. Podczas dostępu do wyjątkowo wrażliwych danych, można
wymagać identyfikacji komplementarnej. Generalizując, każdy dostęp do bazy zawierającej
dane biometryczne winien być poddany ścisłej kontroli.
• 10. Separacja danych biometrycznych
Dane biometryczne należy przechowywać oddzielnie od danych osobowych, medycznych
czy finansowych. Zależnie od sposobu przechowywania danych biometrycznych separacja
ta może być fizyczna lub logiczna.
• 11. Likwidacja systemu
Należy opracować sposób likwidacji systemów używanych do porównywania (lub
ułatwiających porównywanie) danych biometrycznych, ich przeszukiwania lub łączenia.
Proces likwidacji systemu powinien być nadzorowany. Odpowiedzialność za opracowanie
takiego sposobu likwidacji systemów można powierzyć niezależnemu organowi
kontrolnemu.
Kategoria 3: Kontrola danych osobowych przez użytkownika
• 12. Możliwość usunięcia danych
Osoby, których dane biometryczne są przechowywane powinny, jeśli to możliwe, mieć prawo
do kontroli sposobu wykorzystywania tych danych, a także możliwość wydania dyspozycji,
by je skasować, zniszczyć lub w inny sposób uniemożliwić ich wykorzystanie.
Tę Najlepszą Praktykę stosuje się raczej w systemach dobrowolnych niż obowiązkowych.
W sektorze publicznym lub w zastosowaniach związanych z zatrudnieniem istnieją ważne
przyczyny, dla których przechowuje się dane w celu weryfikacji lub identyfikacji. Należy pamiętać,
że umożliwienie usuwania tych danych zazwyczaj pozbawi te systemy możliwości działania.
• 13. Poprawianie i dostęp do danych związanych z biometrią
Operatorzy systemów powinni zapewnić ich użytkownikom możliwość przeglądania,
poprawiania i aktualizowania przechowywanych danych związanych z ich biometrią. Brak
takich możliwości jest niezgodny z podstawowymi zasadami ochrony prywatności i może
prowadzić do zwiększonego ryzyka błędnych decyzji podejmowanych na ich podstawie.
• 14. Anonimowa rejestracja w systemie
Zależnie od możliwości operacyjnych, systemy biometryczne należy projektować tak,
aby osoby rejestrujące się w systemie mogły zachować pewien stopień anonimowości.
W środowisku sieciowym, gdzie użytkownicy mogą przybierać alternatywne tożsamości
poprzez różne adresy email oraz nazwy użytkowników, może nie istnieć potrzeba, by system
biometryczny wiedział z kim wchodzi w interakcję – pod warunkiem, że użytkownik może
potwierdzić swoją oryginalną tożsamość.
Kategoria 4: Ujawnianie informacji, kontrola, odpowiedzialność, nadzór
• 15. Odpowiedzialność trzeciej strony, kontrola i nadzór
Operatorzy systemów biometrycznych, zwłaszcza systemów wykorzystywanych na wielką
skalę (np. w sektorze publicznym), powinni odpowiadać za działanie tych systemów. Jako
że systemy biometryczne mogą być niewłaściwie wykorzystane za sprawą czynników
wewnętrznych lub zewnętrznych, należy wdrożyć niezależny system kontroli i nadzoru. W
zależności od zastosowania danego systemu, niezależny organ kontrolny może zapewnić
utrzymywanie standardów dotyczących gromadzenia, przechowywania i używania danych.
• 16. Pełne ujawnienie danych pokontrolnych
Systemy biometryczne, które mogą stanowić potencjalne ryzyko dla prywatności, winny być
monitorowane i kontrolowane przez niezależne organy. Dane pochodzące z takiego nadzoru
powinny być udostępnione, aby umożliwić publiczną dyskusję na temat wpływu systemu na
naszą prywatność.
68
PRAKTYKA
HAKIN9 12/2009
Urzędem, który posiada ustawowe
kompetencje, aby inicjować i
podejmować konkretne przedsięwzięcia
w tym zakresie jest Generalny Inspektor
Ochrony Danych Osobowych.
W sprawozdaniach GIODO z
działalności w latach 2005, 2006
i 2007 samo pojęcie biometrii
już występowało, ale zazwyczaj w
kontekście wpływających zapytań
lub stwierdzeń o podjętych w
kraju próbach wykorzystywania
nowoczesnych technologii. Nadzieje
na szersze podjęcie tej tematyki
budzi poniższy cytat ze sprawozdania
Generalnego Inspektora Ochrony
Danych Osobowych za 2007, w którym
określono zamierzenia Urzędu na
2008 rok.
I chociaż rozwoju cywilizacji
nie da się zahamować, to poprzez
wypracowanie pewnych standardów
i mechanizmów kontroli nad tym
procesem, można wyeliminować lub
przynajmniej zminimalizować jego
niepożądane skutki. I przed takim
właśnie zadaniem na rok 2008, stanął
Generalny Inspektor Ochrony Danych
Osobowych. Zapewnienie skutecznej
ochrony danych w kontekście nowych
technologii, zwłaszcza związanych z
Internetem, łącznością elektroniczną,
e-administracją, biometrią czy
zarządzaniem tożsamością – to
obecnie bardzo poważne wyzwania dla
polskiego organu ds. ochrony danych
osobowych. Wyzwania, które wymaga
szeregu – nierzadko długofalowych
– przedsięwzięć i związanych z ich
realizacją nakładów finansowych. Ważne
jest bowiem, aby nowe technologie
służyły, a nie szkodziły człowiekowi i
społeczeństwu.
Deklaracja ta pozostaje nadal
aktualna i ważna dla rozwoju
zastosowań nowych technologii z
jednoczesną troską o naszą prywatność
i bezpieczeństwo naszej tożsamości.
Jerzy Cichowicz
Jest autorem wielu artykułów popularyzujących
zagadnienia związane z szeroko rozumianym
bezpieczeństwem, a także opisujących najciekawsze
wdrożenia biometrii na Świecie.
Kontakt z autorem: jerzy_cichowicz@elkart.pl
• 17. Ujawnienie celu działania systemu
Cel, któremu służy system, powinien być w pełni jawny. Jeżeli na przykład informuje się
użytkowników, że system jest używany do weryfikacji tożsamości, nie powinien on być
używany do identyfikacji. Bez pełnego ujawnienia celu działania systemu niemożliwa jest
bowiem przemyślana ocena jego potencjalnego wpływu na prywatność.
• 18. Ujawnienie informacji o systemie podczas rejestracji
W chwili rejestracji użytkownika w systemie biometrycznym należy go o tym jasno i w
pełni poinformować. W systemach przyjaznych prywatności wymagana jest świadoma
zgoda użytkownika na gromadzenie, przechowywanie i używanie jego danych osobowych.
Informacje należy ujawnić nawet jeżeli szablony rejestracyjne nie będą przechowywane
na stałe. Odnosi się to np. do pracowników zarejestrowanych w systemie rozpoznawania
twarzy poprzez identyfikatory lub fotografie w prawie jazdy, bądź do osób telefonujących,
rejestrowanych w systemie skanowania głosu.
• 19. Ujawnianie informacji o porównywaniu danych biometrycznych
Na terenie lub w środowisku, gdzie może nastąpić porównanie danych biometrycznych
bez wyraźnej zgody osób tam przebywających, należy je o tym fakcie jasno poinformować.
Odnosi się to szczególnie do skanowania twarzy w miejscach publicznych i pobierania
odcisków palców od pracowników.
• 20. Ujawnianie informacji dotyczących wykorzystania danych biometrycznych
Instytucje winny ujawnić sposoby wykorzystywania przez nie danych biometrycznych,
zarówno w obrębie danego systemu biometrycznego, jak i poza nim. Dane biometryczne
należy wykorzystywać tylko w celach, w których zostały zebrane i w systemie, dla którego
zostały zebrane. Wyjątek stanowić mogą jedynie te przypadki, w których właściciel danych
biometrycznych udzieli wyraźnej zgody na ich szersze wykorzystanie. Użytkownikom nie
zgadzającym się na to nie powinny grozić żadne sankcje.
• 21. Ujawnienie informacji dotyczących dobrowolnej lub obowiązkowej rejestracji w systemie
Należy jasno poinformować, czy rejestracja w systemie biometrycznym jest dobrowolna,
czy obowiązkowa. Jeżeli system dopuszcza inne opcje rejestracyjne, należy użytkowników
poinformować o alternatywach dla rejestracji biometrycznej. Użytkownicy powinni być
w pełni świadomi różnych możliwości potwierdzania tożsamości. Absolutnie nie należy
sugerować, że rejestracja w systemie jest obowiązkowa, jeżeli jest ona opcjonalna.
• 22. Ujawnienie informacji dotyczących osób i instytucji odpowiedzialnych za działanie i
nadzór systemu
Wstępnym warunkiem uruchomienia systemu powinno być ujawnienie informacji, kto jest
odpowiedzialny za jego działanie i do kogo należy kierować pytania i skargi.
• 23. Ujawnienie informacji dotyczących procesu rejestracji, weryfikacji i identyfikacji
Użytkowników należy poinformować o przebiegu procesu rejestracji, weryfikacji i identyfikacji.
Informacja winna obejmować szczegóły dotyczące:
• rodzaju danych biometrycznych i niebiometrycznych, które będą wymagane,
• skutków pozytywnej weryfikacji i pozytywnego porównania,
• skutków negatywnej weryfikacji i negatywnego porównania w systemach
identyfikacji.
Ponadto w systemach identyfikacyjnych, gdzie porównanie może być przeprowadzone
przez człowieka, należy ujawnić zasady, w oparciu o które rozstrzyga się o negatywnej lub
pozytywnej identyfikacji.
• 24. Ujawnienie informacji dotyczących ochrony danych biometrycznych i ochrony systemu
Użytkowników należy poinformować o zabezpieczeniach używanych w celu ochrony danych
biometrycznych, jak np. o szyfrowaniu danych, wykorzystaniu sieci prywatnych, przetwarzaniu
danych w bezpiecznych pomieszczeniach wyposażonych w odpowiednie urządzenia, zasadach
sprawowania kontroli administracyjnej i separacji danych.
• 25. Identyfikacja opcjonalna
Jeżeli to możliwe, użytkownikom, którzy nie chcą lub nie mogą zarejestrować się w systemie
biometrycznym, należy zapewnić możliwość innego sposobu identyfikacji. Sposobu tego nie
należy traktować jako środka dyskryminacji lub kary.