W powszechnym odbiorze biometrię utożsamia się jedynie z odciskami palców. Pojęcie to skrywa w sobie jednak także inne rodzaje danych.
Katarzyna Gorzkowska: Podstawowy problem to niedostateczna wiedza na temat biometrii. W prawie definiuje je się jako wynikające ze specjalnego przetwarzania dane osobowe dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiające lub potwierdzające jednoznaczną identyfikację tej osoby. Najpopularniejszymi danymi biometrycznymi są dane daktyloskopijne, czyli wspomniany właśnie odcisk linii papilarnych palca. Pamiętajmy jednak, że do danych biometrycznych zalicza się również strukturę układu żył krwionośnych, siatkówka oka, cechy charakterystyczne głosu.
Powszechnie wykorzystywane są już metody uwierzytelniania przy pomocy danych biometrycznych. Dotykając czytników logujemy się do naszych laptopów czy telefonów. Czy to bezpieczne?
K.G: Zwiększająca się dostępność rozwiązań opartych na biometrii oraz brak świadomości użytkowników powodują, że informacje o unikalnych i niepowtarzalnych danych są ujawniane coraz większej liczbie podmiotów. Brak nadzoru nad tym komu i w jakim celu ujawniane są unikalne cechy generuje potencjalne zagrożenia w postaci kradzieży tożsamości, szkód finansowych czy naruszenia poufności danych.
Unikalnych cech, w odróżnieniu od tradycyjnego hasła składającego się z liter i cyfr nie można bowiem zmienić. Jeżeli użytkownik wybrał opcję logowania do prywatnego komputera i smartfona za pomocą czytnika linii papilarnych i jednocześnie w ten sam sposób następuje jego uwierzytelnienie np. w zakładzie pracy, to w uproszczeniu można taką sytuację przyrównać do stosowania tego samego hasła.
Biometria jest skuteczna czy tylko wygodna?
K.G: To zależy od rodzaju technologii. Podobnie jak poziom zabezpieczenia tradycyjnym hasłem zależy od stopnia złożoności hasła, również poziom bezpieczeństwa biometrii uzależniony jest od architektury systemu i wykorzystanej technologii. Aktualnie dane biometryczne coraz częściej stanowią przedmiot ataków hackerskich. Najprostsze rozwiązania są najbardziej ryzykowne, gdyż nie zapewniają odpowiedniego stopnia zabezpieczenia, po pierwsze samych danych biometrycznych, po drugie danych, które mają zostać zabezpieczone właśnie poprzez posłużenie się biometrią.
W przypadku wad systemu może dojść do sytuacji np. przypisania danych użytkownika innej osobie, niezidentyfikowania użytkownika i odmowy dostępu, naruszenia poufności danych biometrycznych. Dużo zależy również od doboru czynnika biometrycznego. Linie papilarne są bowiem bardziej podatne na fałszerstwa i łatwiejsze do zdobycia.
Co możemy zrobić, żeby nadal korzystać z biometrii i jednocześnie zwiększyć nasze bezpieczeństwo?
K.G: W celu zapewnienia wyższego poziomu bezpieczeństwa mogą być wykorzystywane bardziej unikalne dane takie jak cechy behawioralne.
Warto zastanowić się jednak, czy zbieranie i posługiwanie się takimi danymi nie stanowi zbyt daleko idącej ingerencji w prywatność użytkownika. Wydaje się, że najbardziej efektywne w tym momencie byłoby stosowanie przynajmniej dwustopniowej metody uwierzytelnienia składającej się z różnych technik.
Jednym z najpowszechniejszych zagrożeń związanych uzyskaniem dostępu do danych przez osoby trzecie jest wspomniana już wcześniej kradzież tożsamości. Jak mamy bronić się przed atakami w sieci?
Artur Piechocki: Podstawową zasadę postępowania powinno stanowić „pilnowanie” własnych danych i nie ujawnianie ich osobom trzecim bez potrzeby.
Zasada ta znajduje zastosowanie nie tylko w przypadku danych biometrycznych, ale w przypadku każdych innych danych. Należy zatem skrupulatnie niszczyć dokumenty zawierające dane osobowe, nie pozostawiać dokumentów tożsamości bez nadzoru, zgłaszać zagubienie dokumentów tożsamości w celu ich zastrzeżenia.
W celu zwiększenia bezpieczeństwa danych warto korzystać ze sprzętu sprawdzonych producentów oraz systemów wykorzystujących przynajmniej dwustopniowy proces uwierzytelniania, np. skan odcisku palca i tradycyjne hasło, kod otrzymany smsem i tradycyjne hasło.
A co z podejrzanymi mailami, które zalewają naszą skrzynkę?
A.P: Zawsze należy także zwracać uwagę kto i w jakim celu prosi o podanie naszych danych, w tym także np. odcisku palca.
Zgodnie z art. 13 RODO podmiot pozyskujący dane powinien podczas pozyskiwania danych spełnić obowiązek informacyjny, czyli między innymi wskazać swoje dane oraz podać cel, w jakim dane będą wykorzystywane oraz kto będzie miał do nich dostęp. Brak takich informacji lub wskazanie ich w sposób niejasny powinno rodzić podejrzenia, co do wiarygodności podmiotu.
Trzeba się również zastanowić, czy przekazanie konkretnych kategorii danych w określonym przypadku ma sens. Być może logowanie się do komputera, czy odblokowanie telefonu samym dotknięciem palca jest szybsze i wygodniejsze, niemniej jednak takie urządzenia są de facto najbardziej narażone na ataki cyberprzestępców.
Kierując się wygodą zwiększamy prawdopodobieństwo wyjawienia danych biometrycznych osobom niepowołanym. Zapomniane, czy ujawnione hasło składające się z liter można bowiem szybko i w miarę łatwo zmienić, w przeciwieństwie do ujawnienia linii papilarnych, czy tęczówki oka.
Jakie zagrożenia niesie ze sobą kradzież naszej tożsamości?
A.P: Przede wszystkim może doprowadzić ona do szkód finansowych, gdy nasze dane zostaną wykorzystane w celu wzięcia pożyczki lub zaciągnięcia kredytu. Może również dojść do utraty oszczędności zgromadzonych na rachunku bankowym lub ważnych informacji zapisanych na dysku komputera lub innego nośnika.
Co ciekawe, w większości przypadków wiedzę o tym, że ktoś posłużył się naszymi danymi w celu popełnienia przestępstwa uzyskujemy dopiero po otrzymaniu wezwania do spłaty pożyczki, czy zapłaty za usługę bądź towar, której nie zamawialiśmy. W niektórych wypadkach osoba poszkodowana dowiaduje się o kradzieży jej tożsamości dopiero na etapie trwającego postępowania sądowego, z treści doręczonego wyroku lub po rozpoczęciu egzekucji komorniczej. Wówczas wykazanie, że faktycznie ktoś inny popełnił przestępstwo lub zawarł umowę, wykorzystując jej dane, staje się kłopotliwe.
Mówimy tu o nieprzyjemnych sytuacjach, które spotkać mogą osoby fizyczne. Jakie zagrożenia czyhają natomiast na przedsiębiorców?
A.P: Poprzez podszywanie się pod pracownika może dojść np. do utraty informacji stanowiących tajemnicę przedsiębiorstwa lub utraty innych informacji, np. danych osobowych.
Poza stratami finansowymi dochodzi wówczas ryzyko strat wizerunkowych. W przypadku nieuprawnionego dostępu do danych osobowych, istnieje dodatkowo wysokie ryzyko nałożenia na przedsiębiorcę będącego administratorem danych osobowych kary przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie RODO.