Τρίτη 8 Μαρτίου 2011

Βιομετρικά στοιχεία και προσωπικά δεδομένα

Σχόλιο ID-ont.blogspot.com: Το άρθρο που ακολουθεί σε μετάφρασή μας, παρουσιάζει με γλαφυρό και εύληπτο για όλους μας τρόπο μια αλήθεια που όλοι λίγο-πολύ διαισθανόμαστε αλλά δεν γνωρίζουμε σε βάθος λόγω άγνοιας των ειδικών τεχνολογικών λεπτομερειών: Δεν υπάρχει “απαραχάρακτη” τεχνολογική μέθοδος αποτύπωσης προσωπικών δεδομένων σε μια ταυτότητα.
Δυστυχώς όλες οι μέθοδοι παραβιάζονται και τα στοιχεία υποκλέπτονται. Απλά χρειάζεται στους κακόβουλους λίγο περισσότερος χρόνος… Ποιές είναι όμως τότε οι συνέπειες; Άλλο είναι να κλαπεί ένα PIN πιστωτικής κάρτας και άλλο ένα βιομετρικό στοιχείο (ένα στοιχείο του ευατού μας). Το ένα μπορούμε να το αντικαταστήσουμε. Το άλλο μπορούμε; Διαβάστε:

Σύμφωνα με τον Winston Churchill, δεν υπάρχει χειρότερο λάθος στην ηγεσία από το να υπόσχεται ψεύτικες ελπίδες. Ένας τομέας όπου οι ψεύτικες ελπίδες χρόνια τώρα αφθονούσαν είναι η ασφάλεια των πληροφοριών, το οποίο επαναλαμβάνεται και σήμερα.

Αυτή τη φορά η ψεύτικη ελπίδα αναφέρεται στο ότι μπορούμε να αναπτύξουμε έναν τομέα της τεχνολογίας που θα μειώσει σημαντικά το πρόβλημα της κλοπής των στοιχείων της ταυτότητας (identity theft). Φυσικά, η κλοπή ταυτότητας είναι ένα τεράστιο και αυξανόμενο πρόβλημα. Κάθε χρόνο, τα προσωπικά στοιχεία εκατομμυρίων Αμερικανών κλέπτονται από εταιρικές βάσεις δεδομένων. Οι εταιρείες υφίστανται κλοπές δισεκατομμυρίων δολαρίων, πρόστιμα εκατομμυρίων δολαρίων και, ίσως το πιο σημαντικό, την απώλεια της εμπιστοσύνης των πελατών τους.

Ακόμη χειρότερα, η κλοπή των στοιχείων της ταυτότητας μπορεί να βλάψει τα θύματα μέσω της απώλειας των αποταμιεύσεών τους, την απόρριψη αιτήσεών τους για δάνεια, ακόμη και άρνηση πρόσληψής τους σε εργασίες. Οι Διευθυντές Πληροφορικής (Chief Information Officers – CIOs) βρίσκονται αντιμέτωποι με μια πρόκληση για την ασφάλεια που απειλεί όχι μόνο τη βιωσιμότητα του τμήματος πληροφορικής, αλλά και την ίδια την εταιρεία ως ύπαρξη. Μέχρι σήμερα, τα «αντίμετρα» που έχουν αναπτυχθεί – κωδικοί πρόσβασης, PINs, μέθοδοι ταυτοποίησης – είναι αναποτελεσματικά. Όλα μπορούν να κλαπούν και να χρησιμοποιηθούν από τους ανθρώπους που θέλουν να κάνουν κακό (nefarious = αχρείους, ειδεχθείς).

Αυτό έχει κάνει τα χαμηλού κόστους βιομετρικά στοιχεία να φαίνονται ως ελκυστική λύση για τον έλεγχο της ταυτότητας (ταυτοποίηση) υπαλλήλων, πελατών, πολιτών, φοιτητών και οποιονδήποτε άλλον θέλουμε να αναγνωρίσουμε. Όμως τα οφέλη από τη χρήση βιομετρικών στοιχείων είναι περισσότερα των κινδύνων;

Η βιομετρία (τα βιομετρικά στοιχεία) δεν στηρίζονται σε κάτι που ΕΧΕΤΕ (πιστωτική κάρτα) ή κάτι που ΞΕΡΕΤΕ(το PIN), αλλά σε κάτι που ΕΙΣΤΕ (το δακτυλικό σας αποτύπωμα, το αποτυπώματα της παλάμης σας ή η ίριδα του ματιού σας). Αυτά τα μοναδικά βιολογικά στοιχεία αναγνώρισης διαβάζονται ηλεκτρονικά και μετατρέπονται σε μια σειρά από άσσους και μηδενικά (αλληλουχία αριθμών στο δυαδικό σύστημα) και αποστέλλονται στο μηχάνημα ταυτοποίησης (authenticator). Εκεί οι πληροφορίες συγκρίνονται με την σειρά των αριθμών – εννοεί την αλληλουχία των άσσων και μηδενικών στο δυαδικό σύστημα – που υπάρχουν στα αρχεία της βάσης δεδομένων του «ταυτοποιητή» (authenticator).

Σε αυτό ακριβώς το σημείο βρίσκεται το αδύνατο σημείο. Ο κίνδυνος υποκλοπής της μετάδοσης δεδομένων ή κλοπής της ίδιας της βάσης δεδομένων παραμένει αμετάβλητος. Εάν ένας αριθμός πιστωτικής κάρτας μπορεί να κλαπεί, τότε και η ακολουθία των αριθμών που αντιπροσωπεύουν ένα δακτυλικό αποτύπωμα μπορεί να κλαπεί το ίδιο εύκολα. Μπορεί να πάρει στους κλέφτες λίγο χρόνο για να «αναβαθμιστούν» για να αντιμετωπίσουν αυτή τη νέα πρόκληση, αλλά να είστε σίγουροι ότι θα το κάνουν. Αναμφίβολα, κατά τα επόμενα χρόνια, οι ειδήσεις για τις κλοπές των δακτυλικών αποτυπωμάτων, των αποτυπωμάτων παλάμης και της σάρωσης της ίριδας του ματιού θα είναι τόσο κοινές όσο είναι σήμερα οι κλοπές των αριθμών των πιστωτικών καρτών.

Κατά συνέπεια, αυτό σημαίνει ότι τα βιομετρικά στοιχεία θα μας αφήσουν ακριβώς εκεί που είμαστε σήμερα; Όχι, θα μας πάνε σε χειρότερη θέση από ότι είμαστε σήμερα. Σκεφτείτε το: Αν χάσετε την πιστωτική σας ή την κάρτα αναλήψεων, η εκδότρια τράπεζα μπορεί να σας την αντικαταστήσει. Αν το PIN σας διαρρεύσει, η τράπεζα μπορεί να σας δώσει ένα νέο. Ακόμη και ο αριθμός Κοινωνικής Ασφάλισης μπορεί να αντικατασταθεί. Αλλά τι θα κάνετε εάν κάποιος κλέψει την σάρωση της ίριδάς σας; Ποιος θα σας δώσει νέα μάτια;

Τι θα εμποδίσει τους κλέφτες από το να στείλουν ηλεκτρονικά στην τράπεζά σας το κλεμμένο δακτυλικό σας αποτύπωμα προκειμένου να πιστοποιηθεί ότι πραγματικά θέλετε να αδειάσετε τον τραπεζικό σας λογαριασμό μέσω ενός ΑΤΜ στο Ισλαμαμπάντ; Τι θα κάνετε όταν το ψηφιοποιημένο δακτυλικό σας αποτύπωμα βρεθεί σε μια κυβερνητική λίστα ατόμων οι οποίοι απαγορεύεται να επιβιβαστούν σε αεροπλάνα; Αν νομίζετε σήμερα ότι χρειάζεται «μια μέρα» για να επιβιβαστείτε σε ένα αεροπλάνο, περιμένετε να δείτε πως θα είναι όταν κάθε αστυνομική υπηρεσία στον ελεύθερο κόσμο θα έχει το δακτυλικό σας αποτύπωμα στο αρχείο των υπόπτων είτε για κλοπή είτε ακόμα χειρότερα, των υπόπτων για τρομοκρατική επίθεση.

Η πραγματικότητα είναι ότι τα βιομετρικά στοιχεία είναι προσεκτικά σχεδιασμένα μέτρα που αποσκοπούν στο να δώσουν στους ανθρώπους την εσφαλμένη εντύπωση ότι είναι πιο ασφαλείς από ό,τι ήταν πριν, όταν στην πραγματικότητα είναι εκτεθειμένοι σε μεγαλύτερο κίνδυνο. Τα θύματα που υπέστησαν κλοπή του Αριθμού Κοινωνικής Ασφάλισης (ΑΦΜ στη χώρα μας) ισχυρίζονται ότι μπορεί να πάρει τρία, πέντε ή και περισσότερα χρόνια για να «τακτοποιήσουν» το οικονομικό χάος που επέφερε η κλοπή αυτού του αριθμού. Πόσο καιρό όμως θα πάρει για να «τακτοποιηθεί» ένα κλεμμένο δακτυλικό αποτύπωμα;

Τι σημαίνουν όλα αυτά για τους CIO; Σίγουρα δεν βρίσκονται σε μια πολύ άνετη θέση. Αν και η απειλή της κλοπής πληροφοριών παραμένει αμετάβλητη, ο κίνδυνος να προκληθεί περιττή ταλαιπωρία στους εργαζόμενους, στους πελάτες και τους πολίτες είναι υπαρκτός. Κατά τα προσεχή έτη, θα δούμε πόσοι CIOs θα αναλάβουν τον ανεπίζηλο ρόλο να αντιμετωπίσουν τα πραγματικά δύσκολα περιστατικά και πόσοι άλλοι θα παραδοθούν στην εύκολη λύση της διάδοσης φρούδων ελπίδων σε ένα έντρομο εκλογικό κοινό.Ο George Tillmann είναι πρώην Διευθυντής Πληροφορικής (CIO), σύμβουλος διοίκησης και συγγραφέας του βιβλίου «Ο Επιχειρησιακά Προσανατολισμένος Διευθυντής Πληροφορικής»
http://internet-defence.blogspot.com/ 

2 σχόλια: