Další selhání biometrie a nepřipravený bezpečnostní svět

Máloco je víc frustrující, než když upozorňujete na některý negativní scénář, okolí vás pokládá za zbytečného škarohlída a ta špatná varianta se vám před očima naplňuje krok za krokem. Třeba masové využívání biometrie při autentizaci osob. Skuteční bezpečnostní experti jsou k tomu již dlouhodobě zdrženliví, mnozí v soukromí hovoří o hrozícím průšvihu a všichni doporučují obezřetnost.

Co to ale je proti stovkám dodavatelů technologií, z nichž téměř každý je schopen platit PR agenturu? Média i konference jsou tedy plné optimistických textů. Když všechny ty přednášky a články procházíte, všimnete si, jak překvapivě málo z nich se o rizicích byť i jen zmiňuje, natož aby se ptaly na strategii, jak jim čelit. Nanejvýš někde proskočí poznámka o nutnosti „dokonalého zabezpečení.“ A svět tiše spěje k dalšímu průšvihu.

Další milník na této cestě jsme minuli před pár dny na Taiwanu. Na tamních letištích jsou instalovány automatizované vstupy, ve kterých se skenují pasy a odečítají otisky prstů. Odečtené údaje se ukládají do centrální databáze, kde lze tím pádem najít informace o každém, kdo prošel letištní kontrolou. Minulý týden se ukázalo, že k těm informacím má přístup čínská armáda – tedy nejvíc nepřátelská mocnost, jakou si na Taiwanu dokážou představit. Vypadá to, že se přesně neví, ke kterým údajům mají Číňané přístup. Nebo se to možná ví, a právě proto není ochota o tom mluvit. V nejhorší variantě, která – žel – vypadá celkem pravděpodobně, se jedná o biometrické údaje všech cestujících za několik let.

V takové chvíli by měl být aktivován náhradní plán. Pokud je známo, že nepřítel zná otisky prstů milionů lidí, a je tudíž schopen je zfalšovat, mělo by okamžitě dojít k následujícímu.

  • Přestane se používat ta biometrická charakteristika, k níž získali útočník přístup (třeba otisky prstů).
  • Je uvedeno do provozu nějaké náhradní řešení, jak autentizovat uživatele.
  • Všichni, jejichž charakteristiky byly ukradeny, jsou o tom informováni. Mimo jiné proto, aby nepoužívali ověření otiskem prstu ani jiných situacích. Pokud vím, že nepřítel zná otisk mého prstu a přihlašuji se pomocí prstu třeba při vstupu na pracoviště, je zapotřebí to změnit.

Jenže na Taiwanu podle všeho žádný náhradní plán nemají.

Tamní problémy vyvolávají velmi nepříjemnou otázku, a sice, kde všude jsou na tom podobně. Že se jinde nic podobného stát nemůže? Že databáze jsou perfektně zabezpečené? Že uložené údaje jsou šifrované? To si uživatelé na Taiwanu mysleli taky. To se předpokládalo i třeba o americké vládě, které hackeři již v roce 2015 ukradli otisky více než 5 milionů státních zaměstnanců.

Jak by mělo náhradní řešení vypadat? Inspirací může být bankovní sektor. Když  se před mnoha lety svět připravovat na možné selhání počítačů 1. 1. 2000,  uložili regulátoři bankám, aby byly připravené na přechod k papírovým procesům.

Je to nejspíš dobrá zásada a dobrý směr. Pokud vedle biometrie existují solidní a dobře zabezpečené osobní doklady, které fungují i bez té biometrie, je kam ustoupit. Pohodlí uživatelů utrpí, ale bude možné nadále chránit identitu občanů a chránit organizace před neznámými útočníky. Pokud ale existují pouze jednoduché doklady zranitelné vůči padělatelským útokům, potom úspěšné napadení biometrické databáze může přinést skutečný kolaps.

A nemyslete si, že na Taiwanu jsou amatéři.


Společnost Optaglio může pro řešení zmíněné problematiky nabídnout mimo jiné:

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s