Zabezpečenia

Riziko biometrických platieb: odtlačok prsta sa nedá ľahko zmeniť

Platba odtlačkom prsta? Niekde už je to realita

V niektorých častiach sveta je možné nastúpiť do lietadla, zaplatiť za kávu a prihlásiť sa do finančných účtov pomocou skenu tváre alebo odtlačku palca.

Apple Pay aj Google Pay podporujú biometrické platby a do hry vstupuje aj Amazon. V septembri spoločnosť Amazon predstavila novú biometrickú platobnú technológiu Amazon One, ktorá umožňuje zákazníkom platiť v obchodoch priložením dlane k snímaciemu zariadeniu. Táto technológia bude spočiatku dostupná len v predajniach Amazon Go, ale plánuje sa jej rozšírenie do dcérskej spoločnosti Whole Foods a nakoniec aj do ďalších maloobchodných predajní.

O pohodlnosti tejto technológie niet pochýb. Už nemusíte hľadať peňaženku alebo sa snažiť zbaviť drobných vo vreckách. Okrem toho trvalosť a jedinečnosť našich odtlačkov prstov a sietnice teoreticky sťažuje podvodné transakcie.

Keďže však algoritmy o nás zhromažďujú čoraz viac identifikačných informácií, začínajú sa vynárať nevyhnutné otázky týkajúce sa kompromisu v oblasti súkromia.

Čo sa stane, ak budú naše biometrické údaje ohrozené?

V prípade štandardného kybernetického útoku alebo rozsiahleho úniku údajov môže zmena našich hesiel a iných prihlasovacích údajov pomôcť obmedziť odhalenie dôverných informácií. Hoci hackeri mohli získať prístup k našim účtom, budúcim narušeniam možno zabrániť zmenou prihlasovacích údajov.

V prípade biometrie to však nie je také jednoduché. Naše odtlačky palcov a tváre sú trvalé a nemôžeme ich jednoducho nahradiť novou identitou. V súčasnosti existujú vysoké riziká spojené s krádežou alebo zneužitím biometrických údajov – je len otázkou času, kedy sa s rastúcim používaním biometrických údajov zvýši kriminalita.

Alarmujúce príklady z niektorých častí sveta nám však dávajú predstavu o možnej budúcnosti. Indická centrálna databáza Aadhar, ktorá katalogizuje biometrické identifikačné údaje, ako sú napríklad odtlačky prstov, bola v roku 2019 zasiahnutá masívnym únikom údajov. Podobný útok bol zameraný na pakistanskú centrálnu databázu Nadra, ktorá obsahuje aj biometrické údaje občanov. Databázy ako Aadhar a Nadra však zatiaľ neukladajú informácie o platbách, ktoré by sa týkali práve biometrických údajov.

Hoci únik akýchkoľvek údajov môže mať pre jednotlivcov katastrofálne následky, oveľa komplikovanejšie je to v prípade, keď sú trvalé identifikačné údaje spojené s platobnými informáciami. Pri skenovaní dlane prostredníctvom biometrického zariadenia algoritmy v podstate overujú jedinečné identifikátory a spájajú ich s vopred vyplnenými platobnými informáciami. Keď sa tieto databázy rozrastú, začnú priťahovať pozornosť hackerov.

Kľúčom by mohla byť regulácia

Vo februári 2020 EÚ zaviedla rozsiahle nariadenia o rozpoznávaní tváre a umelej inteligencii s cieľom vytvoriť jednotný trh s údajmi v celej Európe. V spojení s nariadeniami o ochrane údajov podľa GDPR je možné, že Európa bude od spoločností, ktoré pracujú s biometrickými platbami, vyžadovať, aby dodržiavali jednotné normy a procesy. To nie je dobrá správa pre spoločnosti ako Amazon alebo Facebook, ktoré by sa nevyhnutne snažili chrániť svoje duševné vlastníctvo a prekaziť pokusy o začlenenie štandardizovaného rámca.

Vzhľadom na to, aké citlivé sú biometrické údaje, a keďže vieme, že veľké technologické spoločnosti nie vždy dobre chránia súkromie používateľov, môžeme im naozaj zveriť ešte viac súkromných údajov? V súčasnosti nikto mimo týchto spoločností nemá jasnú predstavu o protokoloch zabezpečenia a ochrany osobných údajov, ktoré sú súčasťou ich správy databáz. Ak by však existovala regulácia, ktorá by jasne a štandardizovane opisovala, ako by mali spoločnosti pristupovať k správe biometrických platieb, mohlo by to výrazne prispieť k ochrane pred zneužitím.

Nevysledovateľné biometrické údaje

Ďalším riešením môže byť „nevystopovateľná biometria“. Ide o bezpečné technológie, ktoré umožňujú spracovanie biometrických informácií bez toho, aby boli údaje skutočne spojené s jednou identifikovateľnou osobou. Technológia funguje tak, že biometrické údaje sa konvertujú na nesúvisiaci reťazec údajov alebo kľúč, takže biometrické údaje sa stávajú skôr akýmsi dekóderom identity, ale odtlačok prsta, tvár alebo sietnica sa po úniku údajov nedajú obnoviť.

Takéto technológie už existujú, napríklad NEXUS, čo je systém založený na biometrických údajoch, ktorý urýchľuje prekračovanie hraníc medzi Kanadou a Spojenými štátmi. Pre podniky sú však zvyčajne príliš obmedzujúce vzhľadom na zložitosť algoritmov a potrebný hardvér. Ak môžu podniky využiť lacnejšiu možnosť, nič im v tom nebráni. Bez legislatívy, ktorá by ich používanie nariaďovala, je logické, že žiadna veľká spoločnosť nebude mať motiváciu ísť ďalej ako k zavedeniu nevystopovateľných biometrických údajov.

Ako bežní spotrebitelia si musíme uvedomiť, že každá nová technológia, ktorá ponúka pohodlie, je nevyhnutne spojená s kompromisom, pokiaľ ide o súkromie. Biometrické platby sú lákavé, ale kým si nebudeme istí bezpečnosťou, je lepšie s používaním tejto technológie zatiaľ počkať.

Back to top button