Bezpečná (a jednodušší) identifikace s biometrií

V současnosti narůstá využití biometrických dat, která jsou snímána především na základě vědomého souhlasu, někdy ale i bez předchozího souhlasu dotčené osoby. Úmyslně se nezabýváme souvisejícími právními aspekty – jakkoliv jsou zajímavé a zásadním způsobem regulují využívání biometrických údajů.

Úvodem je nutné si říci, co vlastně biometrika je. Jedná se o automatizované rozpoznávání fyzických osob pomocí typických anatomických rysů jako např. tvar obličeje, ucha, otisk prstu (viz snímač v notebooku na snímku), sítnice, duhovka, geometrie ruky (možno sem v širším slova smyslu zařadit i DNA, pach) anebo dynamické chování jako je třeba dynamika a síla vlastnoručního podpisu, typické znaky chůze, pohyby rtů, otisk hlasu, dynamika stisku klávesnice.

První skupina fyziologických charakteristik je relativně neměnná, skupina behaviorálních znaků se může měnit v čase.

Rozlišení subjektů

Předpokladem pro bezpečnou identifikaci je, že podle zpravidla předem nasnímaných hodnot je možné jednoznačně rozlišit identifikované subjekty. Toto použití je vhodné zvláště při řízení přístupu například k informačním systémům (například přístup k bankovnímu účtu, elektronické poště), vstupu do vyhrazených prostor (například rychlejší odbavení na letišti, určené zóny pro kategorie zaměstnanců), kdy je přístup umožněn až po úspěšné identifikaci, respektive verifikaci. Dochází k porovnání s údaji uloženými v centrální databázi.

Tomu schématu odpovídá i identifikace výtržníků například na fotbalovém stadionu pomocí analýzy (v reálném čase) videozáznamu z bezpečnostních kamer a srovnání jednotlivých nalezených osob s databází již známých pachatelů. Analogicky je možno využít srovnávání biometrických údajů při boji proti terorismu na teritoriu prakticky celého světa. Porovnání může probíhat také v ověřovacím módu. Nutno zmínit, že zásadně odlišná situace panuje při nyní aktuálním vydáváním tzv. e-pasů, kdy v ČR, zjednodušeně řečeno jsou biometrické údaje sejmuty, následně přeneseny na čip, který je součástí cestovního dokladu, uloženy dočasně v databázi pouze z důvodu možné reklamace a po uplynutí stanovené lhůty jsou prokazatelně a bezpečně likvidovány. Při ověřování identity držitele pasu se kontroluje mimo jiné neměnnost biometrických dat uložených pouze na čipu.

V každém případě užití biometrických dat je nejprve potřebné vyhodnotit specifický účel a podle této analýzy zvolit, jaká biometrická data budou užita, zpravidla v kombinaci s dalším bezpečnostním opatřením, kterým může být například hmotnost osoby při řízení fyzického vstupu, znalost hesla/PIN, kombinace s Public Key Infrastructure.

Letiště i fotbaloví chuligáni

Typickým příkladem komerčního využití biometrických údajů je nasazení programu Privium, který byl oficiálně uveden do provozu v říjnu 2001 na amsterdamském letišti Schiphol, jako služba pro VIP zákazníky. Pokud se do tohoto programu založeného na identifikaci častých cestujících na základě rozpoznání oční duhovky pasažéři zaregistrovali, bylo zjednodušeno jejich odbavení a vyhnuli se stání ve frontách a bylo jim umožněno prioritní parkování s tzv. parkovací peněženkou a další služby. Do konce roku 2005 se do této služby, připravené společně s nizozemskou policií a imigračním úřadem, zaregistrovalo přes 16 tisíc zákazníků.

V rámci programu Privium byly nejprve vyhodnoceny možnosti různých biometrických technologií jako rozpoznávání oční duhovky, otisku prstu, tvaru dlaně a obličeje a doporučeno čtení oční duhovky jako nejspolehlivější metody. Rovněž americké úřady se aktivně zabývají možností využít stejné řešení. Na stejném letišti bylo úspěšně nasazeno řízení přístupu zaměstnanců.

V prosinci 2003 byly zavedeny nové zaměstnanecké karty založené na téže technologii rozpoznávání duhovky. Více než 70 tisíc zaměstnanců je pomocí těchto karet identifikováno při vstupu do jednotlivých částí letiště.

Dalším příkladem je spolupráce fotbalového klubu PSV Eindhoven, nizozemského ministerstva spravedlnosti, města Eindhoven, policie a dodavatele, kdy byl v pilotním provozu odzkoušen systém identifikace hooligans podle obličeje.

Komerční využití biometrických údajů v kombinaci s dalšími bezpečnostními opatřeními je při respektování legálních požadavků možné a výhodné. Současně při správném nastavení procesů existuje objektivně menší možnost zneužití takových přístupových dat ve srovnání s klasickým heslem a použitím bezpečnostního předmětu.


Autor je bezpečnostním ředitelem LogicaCMG.


Foto: FSC