Výrobci zařízení na snímání biometrických údajů se začínají orientovat na menší komerční subjekty. Přináší to obrovská rizika, která si ale zatím málokdo uvědomuje.
Kolik máte v peněžence karet? Já tam mám kromě občanky a řidičského průkazu dvě různé slevové karty do restaurací, jednu do kina, pět do různých prodejních sítí, kopírovací kartu, zdravotní pojišťovnu a asistenční službu pro automobilisty. Zkuste si představit, že by místo každé z nich byl načten nějaký biometrický údaj – otisk palce, záznam hlasu, geometrie obličeje, zornička, duhovka, rytmus chůze… uživatelům by se uvolnilo místo v pěněžence, nebylo by zapotřebí řešit ztráty a duplikáty a firmy by vše měly lépe pod kontrolou.
Připadá vám to nemyslitelné? Přesto lze tak nějak popsat vizi převládající na veletrhu a konferenci Connect:ID, která nedávno proběhla ve Washingtonu a kde se sešla většina světové špičky kolem prokazování a ochrany osobní identity. Za OPTAGLIO jsme předváděli nové technologie pro zabezpečení pasů a dalších fyzických dokladů proti padělání. Většina firem ale ukazovala biometrické čtečky, informační systémy pro ukládání biometrických údajů a (to je možná nejvíc na pováženou) analytické nástroje schopné vyhledávat osoby, typy chování nebo cokoliv jiného napříč různými systémy a databázemi.
Čtečka duhovky do každé domácnosti
Pokud bychom chtěli popsat nějaké základní trendy, daly by se shrnout do tří bodů.
- Neustále přibývá biometrických údajů, podle kterých lze jednoznačně identifikovat a autentizovat člověka. Už to zdaleka není jen otisk palce. Prsty, duhovka, zornička, hlas, geometrie obličeje, pohyby… letos přibyl rytmus chůze a rytmus srdečního tepu. Skoro bychom mohli říci, že na těle už není místo, které by se nedalo “snímat“.
- Čtečky jsou stále dostupnější, stále menší a stále levnější. Přibývá doplňků, kterými lze rozšířit běžný smartphone, notebook s kamerou apod.
- Protože nákupní možnosti velkých vládních úřadů jsou z podstatné části vyčerpány, případně jsou tyto zakázky omezeny na poměrně úzký okruh dodavatelů, usilují firmy o prodej menším subjektům – nemocnicím, radnicím, univerzitám…. ale především komerčním firmám. Tomu se přizpůsobují obchodní modely. Už nemusíte kupovat desítky načítacích kiosků. Dodavatel vám prodá tři mašinky, místo serveru postačí běžný notebook.
To logicky vede ke stavu, jaký jsme popsali výše. A samozřejmě také s nedozírnými dopady na bezpečnost uživatelů. Nejspíš by bylo jen otázkou času, kdy nějaká parta hackerů postupně získá veškeré údaje o těle uživatele. Protože řada z nich je kopírovatelná, fakticky by to znamenalo, že až do konce života bude hrozit riziko krádeže identity. Na rozdíl od karty není možné vyměnit prsty, hlasivky ani duhovku.
Nesnesitelná lehkost likvidace soukromí
Nelze ani počítat s tím, že by uživatelé takový systém odmítli. V jednotlivých případech tomu tak nejspíš bude. Stačí ale připomenout dosavadní komerční projekty, kde se biometrické údaje načítají (např. vzorek hlasu ve slovenské Tatrabance) a kde jen velmi málo uživatelů odmítlo službu využívat. K tomu přistupuje skutečnost, že načítání biometrických údajů je stále jednodušší. „Paní Hovorková, podívejte se do kamery!“ Ani není zapotřebí sundat brýle, za pár vteřin je hotovo. A třeba geometrii obličeje odečtete z fotografie.
Lze tedy čekat rostoucí tlak na odebírání biometrických údajů, prodej databází a jejich automatické vytěžování pro nejrůznější účely. S bezpečností si výrobci vesměs hlavu nelámou. Vlastně až na přímý dotaz odpověděl představitel odvětvového svazu, že bylo vydáno doporučení, aby „zabezpečení bylo na nejvyšší možné úrovni.“ To je celé. Jediný skeptický hlas zazněl z amerického ministerstva vnitra (homeland security), jehož představitelka jasně uvedla, že jakýkoliv přenos biometrických dat (byť zašifrovaných) přes veřejné telekomunikační sítě pokládá za absolutně nepřijatelné.
Samoregulace nefunguje
Nemůžeme to výrobcům zazlívat. Chtějí prodat a nemohou myslet na všechny následky. Navíc, každý z nich je pozici, když neprodám já, prodá někdo jiný.
Tady by teoreticky měla nastoupit samoregulace prováděná odvětvovými svazy. Jenže komerční subjekty zpravidla nejsou ve vedení různých sdružení zastupovány moudrými pány, co léta šéfovali třeba bezpečnostním projektům nebo technologickému vývoji. Místo nich firmy posílají lidi z obchodu nebo marketingu, tedy ty, kdo jsou nejvíc zainteresováni na prodeji. Takže stanoviska odvětvových svazů směřují spíš k podceňování rizik.
Čímž se dostáváme k roli vlád. Namísto bezmyšlenkového „podpora nové technologie za každou cenu“ je totiž zapotřebí zajistit,
- aby si lidé uvědomovali, o co jde,
- aby zabezpečení informací nebylo třeba úplně dokonalé, ale aspoň na velmi slušné úrovni,
- aby existovalo nějaké únikové řešení, které umožní pokračovat v normálním životě těm, jejichž biometrické údaje byly odcizeny.
Libor Šustr
Publikováno v časopise Sales, Marketing a Media
BLOG společnosti OPTAGLIO 