Kdy začne vaše tělo patřit vašemu supermarketu?

Výrobci zařízení na snímání biometrických údajů se začínají orientovat na menší komerční subjekty. Přináší to obrovská rizika, která si ale zatím málokdo uvědomuje.

Kolik máte v peněžence karet? Já tam mám kromě občanky a řidičského průkazu dvě různé slevové karty do restaurací, jednu do kina, pět do různých prodejních sítí, kopírovací kartu, zdravotní pojišťovnu a asistenční službu pro automobilisty. Zkuste si představit,  že by místo každé z nich byl načten nějaký biometrický údaj – otisk palce, záznam hlasu, geometrie obličeje, zornička, duhovka, rytmus chůze… uživatelům by se uvolnilo místo v pěněžence, nebylo by zapotřebí řešit ztráty a duplikáty a firmy by vše měly lépe pod kontrolou.

Připadá vám to nemyslitelné? Přesto lze tak nějak popsat vizi převládající na veletrhu a konferenci Connect:ID, která nedávno proběhla ve Washingtonu a kde se sešla většina světové špičky kolem prokazování a ochrany osobní identity. Za OPTAGLIO jsme předváděli nové technologie pro zabezpečení pasů a dalších fyzických dokladů proti padělání. Většina firem ale ukazovala biometrické čtečky, informační systémy pro ukládání biometrických údajů a (to je možná nejvíc na pováženou) analytické nástroje schopné vyhledávat osoby, typy chování nebo cokoliv jiného napříč různými systémy a databázemi.

Čtečka duhovky do každé domácnosti

Pokud bychom chtěli popsat nějaké základní trendy, daly by se shrnout do tří bodů.

  • Neustále přibývá biometrických údajů, podle kterých lze jednoznačně identifikovat a autentizovat člověka. Už to zdaleka není jen otisk palce. Prsty, duhovka, zornička, hlas, geometrie obličeje, pohyby… letos přibyl rytmus chůze a rytmus srdečního tepu. Skoro bychom mohli říci, že na těle už není místo, které by se nedalo “snímat“.
  • Čtečky jsou stále dostupnější, stále menší a stále levnější. Přibývá doplňků, kterými lze rozšířit běžný smartphone, notebook s kamerou apod.
  • Protože nákupní možnosti velkých vládních úřadů jsou z podstatné části vyčerpány, případně jsou tyto zakázky omezeny na poměrně úzký okruh dodavatelů, usilují firmy o prodej menším subjektům – nemocnicím, radnicím, univerzitám…. ale především komerčním firmám. Tomu se přizpůsobují obchodní modely. Už nemusíte kupovat desítky načítacích kiosků. Dodavatel vám prodá tři mašinky, místo serveru postačí běžný notebook.

To logicky vede ke stavu, jaký jsme popsali výše. A samozřejmě také s nedozírnými dopady na bezpečnost uživatelů. Nejspíš by bylo jen otázkou času, kdy nějaká parta hackerů postupně získá veškeré údaje o těle uživatele. Protože řada z nich je kopírovatelná, fakticky by to znamenalo, že až do konce života bude hrozit riziko krádeže identity. Na rozdíl od karty není možné vyměnit prsty, hlasivky ani duhovku.

Nesnesitelná lehkost  likvidace soukromí

Nelze ani počítat s tím, že by uživatelé takový systém odmítli. V jednotlivých případech tomu tak nejspíš bude. Stačí ale připomenout dosavadní komerční projekty, kde se biometrické údaje načítají (např. vzorek hlasu ve slovenské Tatrabance) a kde jen velmi málo uživatelů odmítlo službu využívat. K tomu přistupuje skutečnost, že načítání biometrických údajů je stále jednodušší. „Paní Hovorková, podívejte se do kamery!“ Ani není zapotřebí sundat brýle, za pár vteřin je hotovo. A třeba geometrii obličeje odečtete z fotografie.

Lze tedy čekat rostoucí tlak na odebírání biometrických údajů, prodej databází a jejich automatické vytěžování pro nejrůznější účely. S bezpečností si výrobci vesměs hlavu nelámou. Vlastně až na přímý dotaz odpověděl představitel odvětvového svazu, že bylo vydáno doporučení, aby „zabezpečení bylo na nejvyšší možné úrovni.“ To je celé. Jediný skeptický hlas zazněl z amerického ministerstva vnitra (homeland security), jehož představitelka jasně uvedla, že jakýkoliv přenos biometrických dat (byť zašifrovaných) přes veřejné telekomunikační sítě pokládá za absolutně nepřijatelné.

Samoregulace nefunguje

Nemůžeme to výrobcům zazlívat. Chtějí prodat a nemohou myslet na všechny následky. Navíc, každý z nich je pozici, když neprodám já, prodá někdo jiný.

Tady by teoreticky měla nastoupit samoregulace prováděná odvětvovými svazy. Jenže komerční subjekty zpravidla nejsou ve vedení různých sdružení zastupovány moudrými pány, co léta šéfovali třeba bezpečnostním projektům nebo technologickému vývoji. Místo nich firmy posílají lidi z obchodu nebo marketingu, tedy ty, kdo jsou nejvíc zainteresováni na prodeji. Takže stanoviska odvětvových svazů směřují spíš k podceňování rizik.

Čímž se dostáváme k roli vlád. Namísto bezmyšlenkového „podpora nové technologie za každou cenu“ je totiž zapotřebí zajistit,

  1. aby si lidé uvědomovali, o co jde,
  2. aby zabezpečení informací nebylo třeba úplně dokonalé, ale aspoň na velmi slušné úrovni,
  3. aby existovalo nějaké únikové řešení, které umožní pokračovat v normálním životě těm, jejichž biometrické údaje byly odcizeny.

Libor Šustr
Publikováno v časopise Sales, Marketing a Media

Why identification is not authentication

Universal enthusiasm toward biometry leads to dramatic underestimation of some risks. It has been already discussed on this blog, and the discussion will go on.

Today we remind a proven principle of information security. If this principle was not ignored, the recent troubles would not appear.

A user is coming, looking into the security camera, his facial features are registered. The system evaluates data, the door opens, money is given, or another action is completed. What kind of process was performed? A what results from it?

Traditional information security theory defines two separate processes with different goals, outputs and performance indicators: identification and authentication.

Identification aims at learning identity of a person. A reception nurse asks a client on his/her name. If there are individuals with the same name, she also asks for the birth date. A front office clerk asks for name and address. The identification is often performed through a simple recognizing a person.

Sometimes it is complete. Sometimes another process, authentication, starts. It aims at proving that the person is really who he/she claims to be. There are big differences in robustness of authentication process, dependent on kind of risk. The risk of free tram ride does not need the same measures like access to a secret weapon. But in any case, it is true that the three basic methods are available (listed below). It is important to find the right authentication solution based on a balance between security, comfort, and effectivity for each authentication case.

Identification thus aims at learning; authentication aims at bringing evidence. Consequently, there are differences even in the implementation of the same technology. Let us consider biometry. There is a security video solution in a Moscow bank, which reads your face features after entering the door, identifies you a and sends all relevant information to the computer of your banker before you reach his/her desk. At football stadium in Poznan, you come with your ticket, and the security system needs to make sure that it is you.  They need to eliminate the risk that a convinced criminal hooligan comes with your ticket. Therefore you have to stand up in front of the camera, the picture is compared with your picture in the database and if everything is o.k., the gate opens for you.

What are main findings? For example using biometry for personal identification does not enhance the security. On the contrary, it leads to its deterioration. Biometric data are stored, no system protection is perfect… The user runs the risk although there is no need to prove anything. Why? Is this comfort enhancement so important?

Another conclusion says that authentication should not be based on just one method, such as biometry. Authentication should be based on a combination of:

–    Knowledge (PIN, password, etc.)

–    Ownership (a card, token, badge, etc.)

–    Body (e.f. fingerprint)

Optimal security level should comport with risks in particular situation /process. However, it is still true that three methods should be used.

Conclusions for document protection. Documents for identification include useful information, but it is expected that nobody could be motivated to counterfeit or tamper them. Example: application for a medical investigation. Documents for authentication are supposed to be attacked by falsifiers so that they need reliable protection.

It leads to another proven security principle. It is not good to protect everything „a bit.“ Focusing on the protection of the main assets is critical.

Optaglio v prvním pololetí zabezpečilo 20 milionů dokladů

Bezpečnostní prvky pro více než 20 milionů identifikačních průkazů, cestovních pasů a dalších průkazů dodala na globální trhy česká firma Optaglio v prvním pololetí letošního roku. Proti stejnému období roku 2016 to představuje nárůst o více než 30%. Ve všech případech se jednalo o polykarbonátové doklady. Optaglio, které je světovou jedničkou v nejpokročilejších bezpečnostních hologramech, tak potvrdilo i pozici leadera ve speciálních řešeních pro polykarbonát.

Ve světě jednoznačně převládá trend přechodu od papírových osobních dokladů k takovým, které jsou vyrobeny z plastu (polykarbonátu) a obsahují čip se strojově čitelným záznamem biometrických údajů. Může se jednat o samostatnou kartu nebo plastovou stránku v papírovém pase. Většina analýz se shoduje, že do roku 2022 bude na světě jen několik států setrvávajících u papírových dokladů.

„Samozřejmě existují i jiné zajímavé technologie než polykarbonát. Vývoj jde rychle, výrobci kompozitních karet mohou překvapit a nikdo nemůže ani vyloučit, že také PVC čeká renesance. Ale v této chvíli karbonát jednoznačně vládne. Ani v několika nejbližších letech se to nezmění,“ říká senior manažer vývojového centra ve společnosti Optaglio Tomáš Karenský. „V náš prospěch hovoří, že jsme neupravovali technologii původně určenou pro papírové doklady. Už s několikaletým předstihem jsme připravovali úplně nové produkty cíleně zaměřené na polykarbonát.Teď sklízíme ovoce, ale nespíme. Připravujeme další zásadní inovaci, mohla by být k dispozici ještě do konce letošního roku.“

Produktová řada Optaglio OVMesh určená právě pro polykarbonát, umožňuje mimo jiné:

  • Integrovat do karty bezpečnostní hologram bez použití lepidla nebo jiného cizorodého materiálu.
  • Vytvářet hologramy složené z miniaturních částí, mezi nimiž proteče při výrobě karty roztavený polykarbonát. V případě pokusu o vyjmutí se hologram rozpadne.
  • Kombinovat v kartě hologramy a mikrohologramy – tedy mikroskopické kovové částice (od 40 mikrometrů), přičemž na každé z nich je umístěn plný hologram se všemi vizuálními efekty.

Zákazníky jsou tiskárny cenin a dodavatelé  identifikačních karet v Evropě a Asii. Od letošního roku jim Optaglio nabízí i stroje umožňující, aby výrobci karet integrovali hologramy i vlastními silami.

V letech 2011 – 13 byla společnost OPTAGLIO dodavatelem bezpečnostních prvků i pro občanské průkazy České republiky.

Optaglio dodává pokročilé hologramy, které nemohou být žádným způsobem okopírovány a které obsahují optické efekty nenapodobitelné jinou technologií. Veškerý vývoj probíhá v Optaglio Labs v Lochovicích ve středních Čechách, kde bylo vybudováno nejmoderněji vybavené výzkumné pracoviště v Evropě. V areálu v Lochovicích jsou umístěny i veškeré výrobní kapacity.

 

Optaglio delivered protection for 20 million personal documents in H1

LOCHOVICE (July 13, 2017) – Optaglio, the global leader in high-resolution security holograms, today announced it delivered security elements for 20 million polycarbonate ID cards, passports and driving licenses in the first half of this year. It means more than 30% growth in comparison with the same period of 2016. OPTAGLIO thus strengthened its position of a leader in polycarbonate focused solutions.

A trend towards polycarbonate documents with machine-readable biometric data now prevails around the world.  More and more governments issue either polycarbonate cards or paper documents with polycarbonate page. Most of the market analysts say that up to 2022, only a few nations will insist on entirely paper-based documents.

„Of course, polycarbonate is not the only interesting technology. The market moves fast; composite cards producers can surprise us and renaissance of PVC cannot be ruled out. However, at this moment, polycarbonate is the king. We do not expect a change in the forthcoming years,“ says Dr. Tomáš Karenský, senior research manager in OPTAGLIO. „We have not adapted a technology originally focused on paper. Several years ago, we started an entirely new development project narrowly focused on polycarbonate. Now we can benefit from this decision, but we are not sleeping. Another major innovation is under development. Very likely the product will be available by the end of this year.

Product line Optaglio OVMesh focused on polycarbonate cards enables:

  • Integrating security holograms into polycarbonate cards to create a single polycarbonate unit without any heterogeneous adhesive.
  • Producing holograms that consist of thousands of tiny pieces. During the card lamination, the melted polycarbonate flows between these pieces. Any removal attempt thus results in irreversible dissolution of the hologram.
  • Combining holograms with microholograms, microscopic metallic dots sometimes called „holographic dust.“ There are a full hologram and letters engraved on each dot.

Most of Optaglio production for polycarbonate cards is now delivered to security printing companies and card producers in Asia and Europe. This year OPTAGLIO also starts to offer application machines so that the clients can perform entire production process in-house.

Optaglio technologies are developed in OPTAGLIO LABS in Lochovice, Czech Republic, with close cooperation with several European universities. Optaglio was founded by a group of scientists from Czech Academy of Science, and it still adopts an approach focused not just on product innovation but also on deep research of underlying physical and chemical issues.

 

Proč identifikace není autentizace

Všeobecné nadšení biometrií vede k tomu, že jsou dramaticky podceňována některá rizika. Tomu jsme se už na tomto blogu věnovali opakovaně a ještě budeme věnovat.

Dnes připomeneme jednu starou zásadu informační bezpečnosti. Kdyby nebyla ignorována, současné problémy by vůbec nemusely vzniknout.

Člověk přijde, podívá se do kamery a rysy jeho obličeje jsou načteny. Systém provede vyhodnocení, dveře se otevřou, peníze jsou vydány nebo proběhne jiná akce. Jaký proces byl ale vlastně realizován? A co z toho vyplývá?

Klasická teorie informační bezpečnosti hovoří o dvou oddělených procesech a různými cíli, výstupy a charakteristikami: identifikace a autentizace.

Při identifikaci zjišťujeme identitu osoby. Sestřička v ordinaci se zeptá pacienta a ten oznámí své jméno, pokud jsou v kartotéce dvě osoby stejného jména, tak doplní ještě ročník narození. Úředník u okénku se zeptá na jméno a adresu. A mnohdy probíhá identifikace tak, že člověka docela obyčejně poznáme.

Někdy je tím vše ukončeno, jindy navazuje další proces – autentizace. Tam je zapotřebí prokázat, že člověk je opravdu tím, kým se tváří být. Proces autentizace pochopitelně může být různě důkladný podle míry rizika. Pokud hrozí, že člověk pojede načerno tramvají, není účelné aplikovat srovnatelné nástroje jako při přístupu k tajným zbraním. Ale pořád platí, že by měly být využity všechny tři výše uvedené metody.

Pro každý konkrétní případ je zapotřebí najít řešení založené na tom správném poměru bezpečnosti, pohodlí a efektivity.

Cílem identifikace je tedy zjistit, cílem autentizace je prokázat. To znamená, že i nasazení téže technologie může vypadat různě. Vezměme třeba biometrii. V jedné moskevské bance je nasazeno kamerové řešení, které načte váš obličej, jakmile vstoupíte na pobočku a než dojdete k okénku, má bankéř v počítači veškeré údaje o vašem účtu, půjčkách, stížnostech apod. Nemusíte nic říkat, vše je připraveno. Na fotbalovém stadionu v Poznani přijdete se vstupenkou ke vchodu, ale ostraha stadionu se potřebuje přesvědčit, že jste to to opravdu vy a že s vaší vstupenkou nepřišel notorický výtržník. Postojíte tedy před kamerou, záběr je porovnán s vaší fotografií v databázi a pokud obstojíte, vrata se otevřou.

Co z toho vyplývá? Např. to, že používání biometrických údajů k identifikaci osob bezpečnost nezvyšuje, nýbrž snižuje. Načítají se biometrická data, žádné úložiště není dokonale bezpečné… a toto zvýšené rizika podstupuje uživatel i tam, kde není třeba prokazovat totožnost. Proč vlastně? Je zvýšení pohodlí tak významné, aby to vyvážilo rizika?

Dalším důsledkem je připomenutí, že pokud už se přistupuje k autentizaci, je krajně nevhodné, aby načítání biometrických údajů bylo jedinou autentizační metodou. Teorie říká, že by měly být aplikovány tři druhy metody zároveň:

Míra zabezpečení pochopitelně záleží na rizicích.. Ale pořád platí, že by měly být využity všechny tři výše uvedené metody.

To má důsledky i pro zabezpečení dokladů. Doklady sloužící k identifikaci obsahují informace, ale nepřepokládá se, že by je někdo chtěl falšovat či padělávat, proto nepotřebují ochranu. To je třeba žádanka na odborné vyšetření vystavená lékařem.

Doklady sloužící k autentizaci naopak budou čelit útokům a musí být tudíž vysoce odolné vůči padělání.

Což vede k další tradiční poučce informační bezpečnosti. Není účelné chránit úplně všechno´“tak trochu.“ Je důležité soustředit se na to, co je opravdu důležité.

You can replace neither a document nor a person. For the time being

Security documents experts around the world met in London last week. At SDW event, you could see lectures and presentations, meet innovations, take part in discussions. We will be returning to main points of SDW at our blog. In this article, we focus on a fundamental presentation by Silvia Kolligs-Tuffery from European Commission where an anti-counterfeiting action plan is currently under preparation.

Her speech was a positive surprise for everybody, who expected a boring bureaucrat and endless list of rules and documents. Mr. Kolligs-Tuffery is a policewoman who seems to understand her work, is experienced enough and can view issues from a broader perspective. We try to sum up the basic philosophy explained by her because it is relevant for document producers and document issuers.

The important thing is between people, explains the EU policewoman. A person needs to be sure that another person is what he/she claims to be. A document is just a tool for making it easier.

In some situations, identity can be checked by a machine (e.g. automated entrance control), but often it is not possible for reasons such as enforcement application. Can a computer decide about someone’s arrest? Can it decide about using of strength in case of resistance?

There is a discussion about enforcement automation in the USA. It has been suggested that some areas can be guarded with drones. If you enter a forbidden zone, a flying chick would be able to check your identity and possibly arrest you. It would be equipped with a gun in case you try to resist. However, European legislation will no follow this direction.

Identity check is a process between two persons and the key tasks is to ensure that a „bodyguard“ ( a favorite term of Mrs. Kolligs-Tuffery) can do his job. It is about motivation and skills. In this area, we meet two groups of possible difficulties.

Firstly. Poor documents.  If the anti-counterfeit protection level is too low and portrait photography too doubtful, a bodyguard feels frustrated and digress to only a formal check. Attackers that would be otherwise identified through suspicious attributes will not be detained.

Secondly. Automated check, e.g. through comparison with a database information. Providing a bodyguard with such tools is great. However, if it is too easy, our bodyguard starts to rely on a machine, and his work is more and more reduced to entering data into a system. The process between two people disappears, the bodyguard can be replaced by a robot.

To sum up. We need reliable documents and excellent training. Reliability of document means here that identification of a forgery is easy even for „ordinary bodyguard.“ Such documents should be issued by all EU member states and states connected with EU with agreements. Training is critical so that the guard can check security elements on the documents. However, analysis behavior and identify suspicious signs are even more important.

It is also important to separate automated check from a personal check by a bodyguard. Both are critical. Integrating into a single comprehensive control would mean that both lost their meaning.

By the way, are you sure that police officers in your country know key protective elements on documents they often meet? Can they check them?

Dokument ani člověka nenahradíš. Zatím

Do Londýna se minulý týden sjeli z celého světa lidé zabývající se bezpečnostními dokumenty. Byla pronesena řada přednášek, proběhla spousta zajímavých diskuzí a bylo představeno leccos nového. Budeme se k tomu na blogu Optaglio vracet. Dnes něco o poměrně zásadní prezentaci Silvia Kolligs-Tuffery z Evropské komise, kde připravují evropský „akční plán“ proti falšování dokumentů.

Kdo čekal suchou úřednici a nesmyslná byrokratická nařízení, byl mile překvapen. Paní Kolligs-Tuffery je policistka, která působí dojmem, že své práci rozumí, má dost praktických zkušeností a především je schopna se na věc podívat z širší perspektivy. A právě tu se pokusíme shrnout, protože by jí měli být vědomi výrobci dokladů, jejich vystavitelé i ti, kdo s nimi pracují.

Za prvé. Kontrola dokladu nemá význam sama o sobě. To důležité probíhá mezi lidmi. Jde o to, že jeden člověk si potřebuje ověřit, že jiný člověk je opravdu tím, za koho se prohlašuje. Doklad je pouze jedním z nástrojů, jak toto ověření usnadnit.

Jsou situace, kdy je kontrolu možné svěřit stroji (třeba automatické otevírání vstupů), ale v řadě situací to možné není. Mimo jiné proto, že může dojít na nasazení vynucovacích prostředků. A budou roboti rozhodovat o zatýkání? Mohou rozhodnout o použití síly, pokud se podezřelá osoba vzpírá?

V USA skutečně běží diskuze o tom, zda je možné automatizovat používání síly. Už se např. objevil koncept areálů hlídaných drony. Pokud vejdete do zakázané zóny, bude takový létající drobeček schopen ověřit vaši totožnost, a v případě, že tam nemáte co dělat (nebo si to dron bude myslet), tak vás zadrží. A pozor, měl by být vyzbrojen kulometem. Evropská legislativa ale zatím podobným směrem nepůjde.

Ověřování totožnosti tedy probíhá mezi dvěma lidmi a zadání zní: zajistit, že „bodyguard“ (oblíbené slovo paní Kolligs-Tufery) udělá vše správně. Tedy motivovat ho a dát mu potřebné schopnosti. Tady narážíme na dvě skupiny možných problémů a omezení.

Za prvé. Mizerné doklady. Je-li třeba cestovní pas příliš snadno padělatelný a fotografie příliš nejasná, cítí se bodyguard bezmocný. Nezbývá mu než uvěřit identitu téměř každému, rezignuje a kontroly začnou probíhat zcela formálně. Projde i takový útočník, který vykazuje podezřelé znaky.

Za druhé. Automatická kontrola, třeba porovnáním s nějakou databází. Je skvělé, když má bodyguard k dispozici podobnou oporu. Ale pokud vše funguje až příliš dobře, bodyguard začne spoléhat na stroje a jeho práce bude postupně redukována na zadávání dat do systému. Už se nejedná o proces mezi dvěma lidmi a o to, zda se bodyguard nechá přesvědčit, že druhá strana je tím, kým je. Takže zase špatně. To už by bylo klidně možné nahradit člověka robotem.

Co z toho vyplývá? Potřebujeme dobrý doklad a dobré školení. Dobrý doklad je takový, který dokáže bodyguard snadno odlišit od jakéhokoliv padělku. Takové doklady by měly postupně začít vydávat všechny členské státy EU a případně další státy, které jsou s EU spojeny relevantními smlouvami. Školení je důležité k tomu, aby bodyguard dokázal správně kontrolovat ochranné prvky na dokladu, ale především, aby si dokázal správně všímat osoby a rychle zaznamenat cokoliv podezřelého.

Dalším poznatkem je, že má smysl oddělovat automatizovanou kontrolu a kontrolu živým bodyguardem. Obě jsou důležité. Spojením do jedné se ztrácí smysl obou.

Mimochodem, vědí čeští policisté, jaké jsou hlavní ochranné prvky dokladů, se kterými se běžně setkávají? Dokážou je zkontrolovat?

 

Státní správa otevírá zlodějům dveře bytů

Nedávno jsme na tomto blogu upozorňovali na podceňovaný leč velmi závažný problém spočívající v tom, že občané nemají reálnou možnost odlišit pravé policisty od falešných. Stát tedy činí občany bezbranné vůči podvodníkům, když striktně požaduje, aby jeho úředníky respektovali a podřizovali se jim (a stanoví drakonické tresty za porušení tohoto požadavku).

Je jasné, že vybavit orgány veřejné moci papírem s razítkem nebo zalaminovanou průkazkou je naprosto bezcenné. Stejně tak bezcenný je běžný odznak, jaký si můžete vytisknout na nejbližší 3D tiskárně nebo objednat v nejbližší zámečnické dílně. Ostatně, z toho, že lidé vesměs nepožadují jejich předkládání, je vidět, že jim příliš nevěří.

Aby označení orgánů veřejné moci fungovalo, je zapotřebí:

  • Aby průkazka či odznak obsahovaly takový ochranný prvek, který fakticky nemůže být napodoben nebo alespoň je to velice náročné a drahé.
  • Aby občané dokázali snadno rozpoznat pravost. Malůvka inkoustem s měnícími se barvami moc nepomáhá, protože takových malůvek existuje spousta. Nepomáhá ani leský proužek se znakem České republiky, protože občan stejně neví, jaký vizuální efekt má hledat.
  • Aby stát monitoroval pokusy o padělání a v případě rostoucího rizika, že padělatelé dokážou ochranné prvky hodnověrně napodobit, je rychle vyměnil.

To jsme připomínali v souvislosti s falešnými policisty, kteří zatím „jen“ odváží zboží a peníze, ale je představitelné, že by si někoho mohli odvést s sebou.

Varovali jsme tehdy, že to policií neskončí. A ejhle, články v tisku informují o tom, že se objevili falešní inspektoři kotlů. Od ledna letošního roku totiž platí povinnost vpustit do svého domu inspekci, která kontroluje nastavení kotle na pevná paliva. Pokud občan neotevře dveře, hrozí mu pokuta až 50 tisíc korun. Pro zloděje, kteří se chtějí dostat do bytů, není nic snadnějšího, než prohlašovat se za takového kontrolora.

Už se stalo, že podvodník se ohlásil předem, nedůvěřivá paní zavolala na úřad a vyptala se, zda k ní opravdu poslali kontrolu. Jenže kolik lidí ví, který úřad takové kontrolory vysílá? A co když takový člověk zazvoní u dveří a domáhá se okamžitého vstupu? Má občan zabouchnout a riskovat pokutu ve výši dvou průměrných měsíčních platů?

Opět máme tu stejný problém. Stát se dopouští hrubého zanedbání, veškerá rizika a náklady jsou přeneseny na občana. A přitom by bylo řešení tak jednoduché. Vybavit veškeré orgány veřejné moci jednotnou průkazku, umístit na ni velmi silné ochranné prvky a informovat lidi, jak rozliší pravé od falešného.

Welcome to the raceway

The right marking enables creating a product that cannot be imitated at all. To reach such goal, you need to the right technology, inspired design, and extensive communication.

Not long ago, it was published that Amazon´s portfolio includes some fakes. The internet giant is not deceitful; it just cannot examine all third party items of its vast portfolio.

The case of Amazon is just an illustration of the size and strength of counterfeiting industry. It grew up together with the growth of e-commerce and OECD now estimates that fakes for USD 500 billion are sold each year. If you produce a premium brand product and do not meet fakes, there are only three plausible explanation. Your brand is not interesting enough. You sell too cheap. You just do not know about forgeries.

Protection strategies and processes can be divided into two main groups.

Anti-counterfeit Big Brother

TRACKING PRODUCTS. Information about the move/shipment/inspection of the product is registered across its entire lifecycle. You can see a history of every individual product – day of production, moving between stores and distributors, dates of deliveries, etc. The most advanced products are integrated with tools for automated monitoring of e-shops to cross-check if all items sold are also registered in a tracking system.

These tracking systems are handy especially if a reasonable use of a product is conditioned by complete information (e.g. the latest supervision, measurement results, the number of working cycles passed, etc.). However, it leaves out that anti-counterfeit protection should be first and foremost a service for users. If somebody pays for a premium brand, he/she should be given a tool for genuineness verification.

Products like banknotes

MARKING PRODUCTS. A security element is placed on a product or its packaging. Watermarks and security ink printing (e.f. fluorescent ink) can deter small falsifiers. However, most of the today counterfeiting are realized in mass production factories and this kind of attackers can cope with this sort of protection. The most respectable producers of security inks screen their potential clients, but other ones are happy to sell to everybody. Watermarks and micro letters can be imitated as well.

A hologram is the strongest anti-counterfeit tool, but most of the holograms still do not guarantee full anti-counterfeit protection. Holograms are produced through mass production. If an attacker gets the master hologram, an unlimited number of falsified holograms can be produced. If the product is protected with an ordinary hologram, a sophisticated attacker can buy just one piece of branded product and derive the master from it.

Besides that, sometimes it is possible to create a hologram so similar that users are confused. Moreover, most users have no knowledge of hologram details. Look e.g. on a ticket of Prague City Transit. You can remark a metallic stripe on it. But who knows what letters and visual effects should be looked for. Most likely, any hologram including Prague City Transit logo would be accepted as genuine by most users.

No way without proper communication

Hologram protection can be bullet-proof, provided that the right technology and graphical effects are in place, an inspired design implemented and customer well informed what they should look for.

It can be expected that falsifiers potential will go up. In some cases, their production capacity will exceed the capacity of legal producers. The best premium brand producers will implement advanced anti-counterfeit measures. Products with lower level protection will be targeted. And technological race between attackers and defenders will continue.

Libor Šustr

The article has been published in Sale, Marketing and Media magazine.

 

Vítejte na závodní dráze!

Označit produkt tak, aby byl principiálně nepadělatelný, je možné. Vyžaduje to ovšem správnou volbu technologie, nápaditou grafiku a dostatek pozornosti věnovaný komunikaci.

Odbornými médii nedávno proběhla zpráva o tom, že Amazon prodává falešné značkové výrobky. To neznamená, že by byl internetový gigant málo poctivý. Není ale v jeho silách prověřit všechny položky, které třetí strany do e-shopu přináší. Je to jen jedna z ilustrací, do jak nesmírně rozsáhlých rozměrů se padělatelské odvětví rozrostlo s rozvojem internetu. OECD odhaduje, že každoročně se na světě prodá padělané zboží za 500 miliard dolarů.  Zkrátka, pokud vyrábíte značkové zboží a nesetkáváte se s padělky, jsou v zásadě jen tři možnosti. Buď vaše značka není dost zajímavá nebo se produkty prodávají příliš levně nebo o těch padělcích nevíte.

Obranné strategie a postupy můžeme v zásadě rozdělit do dvou skupin.

Protipadělský velký bratr

SLEDOVÁNÍ POHYBU PRODUKTŮ. Od chvíle, kdy výrobek opustí produkční linku, jsou informace o jeho pohybu zaznamenávány do informačního systému. U každého konkrétního kusu je pak možné sledovat celou jeho historii – putování mezi sklady, mezi distributory, termíny vyskladnění atd. Ty nejpokročilejší systémy jsou propojeny s automatickým sledováním obsahu internetových obchodů. To je  velmi užitečné tam, kde jsou přesné informace o produktu podmínkou jeho smysluplného využití (např. datum poslední inspekce, počet odpracovaných cyklů apod.) a kde je tudíž vedení záznamů nutností. Nicméně jako ochrana proti padělkům fungují jen omezeně. I když totiž odložíme stranou veškerá technická omezení, není zde naplněn základní účel ochrany proti padělání, jimž má být služba uživatelům. Když platí za značkové zboží, mají mít možnost samostatně ověřit si, že to zboží je skutečně pravé.

Výrobky jako bankovky

ZNAČENÍ VLASTNÍCH PRODUKTŮ. Zde jde o to, že na produktu nebo jeho obale je umístěn nějaký ochranný znak. Vodoznaky nebo tisk bezpečnostními inkousty (např. takovými, které mění barvu podle úhlu dopadajícího světla) mohou odradit padělatele z malé dílny, nicméně většina falešných výrobků je dnes vyráběna sériově v továrnách, a útočníci na takové úrovni si poradí i s ochrannými prvky. Solidní výrobci bezpečnostních inkoustů své zákazníky prověřují, nicméně jsou i tací, kteří si s tím hlavu nelámou. Podobně je možné imitovat i vodoznak a mikropísmo.

Nejsilnějším nástrojem pro značení produktů jsou hologramy, jenže ani většina z nich neumí poskytnout plnou ochranu. I hologramy se vyrábí sériově, takže stačí, aby se útočníkovi podařilo získat raznici.  A zkušený útočník tuto raznici dokáže rekonstruovat z hologramu, jedná-li se o „běžný hologram.“

Vedle toho existuje možnost vyrobit hologram natolik podobný, že uživatele zmate. Vezměte třeba jízdenku pražského dopravního podniku. Asi každý si všimne, že je na ní kovový lesklý proužek. Ale kdo ví, jaká tam být na něm písmena? Jakým způsobem se mají měnit? Není to spíše tak, že by uživatel pokládal za pravý jakýkoliv hologram obsahující logo dopravního podniku?

Bez důkladné komunikace to nepůjde

Ochrana hologramem je tedy možná, ale je zapotřebí pečlivě vybrat technologii, vizuální efekty, grafický návrh a samozřejmě zákazníkům jasně komunikovat, co na zboží hledat.

Další vývoj je očekávatelný. Možnosti falšovatelů dále porostou, v některých případech převýší padělatelská kapacita kapacitu legální výroby. Ti nejlepší výrobci začnou svoje produkty chránit důsledněji než dnes. Padělatelé začnou cílit na ty méně chráněné. A v tom všem bude probíhat neustálý technologický závod mezi útočníky a obránci.

Libor Šustr

Publikováno v časopise Sales, Marketing, Media