Biometri - utfordringer for personvernet

635 views

Published on

Foredrag for eforvaltningskonferansen 10. februar 2011

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
635
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Jeg heter Christine Hafskjold og arbeider som prosjektleder for IKT-prosjektene i Teknologirådet. Jeg skal si litt innledningsvis om hvem vi er, så dere har litt bakgrunn for å skjønne hvorfor vi driver med det vi gjør. Teknologirådet er et uavhengig offentlig organ som skal gi råd til Stortinget og øvrige myndigheter i spørsmål om angår ny teknologi. I tillegg skal vi stimulere til offentlig debatt. Rådet skal gi innspill om teknologiske valg til Stortinget og øvrige myndigheter. Gjennom aktiv metodeutvikling for teknologivurdering og fremsyn, skal Teknologirådet involvere både eksperter, beslutningstakere, interessenter og lekfolk i sitt arbeid. Målet er å gi flest mulig anledning til å ta stilling i viktige teknologispørsmål.
  • Er fingeren det nye nøkkelkortet? Svaret på det er både ja og nei. Det er flere aktører i Norge som har ønsket å bruke biometri for adgangskontroll. Personvernnemnda har behandlet 5 saker, og har kommet med prinsipielt viktige avgjørelser i disse sakene: Rema 1000 får ikke bruke fingeravtykk til timeregistrering Esso Norge får bruke fingeravtykk til adgangkontroll Oslo trimsenter får ikke bruke fingeravtrykk som adgangskontroll  fordi det ikke anses som nødvendig for å oppnå sikker identifikasjon Oxigeno Fitness får ikke bruke fingeravtykk som adgangskontroll  av samme grunn Tysvær kommune får bruke fingeravtrykk til adgangskontroll på PC-ene sine Og da kan man spørre seg: Er det rettferdig, da? Nemnda har selvfølgelig god grunn for å komme med sin avgjørelse. I den siste saken sier Personvernnemnda blant annet: "Etter Personvernnemndas syn er kommunens bruk av fingeravtrykksløsning nødvendig. Smartkortet kan gjenglemmes eller fratas den autoriserte bruker eller på annen måte komme på avveie. Smartkortet kan selv etter omstendighetene være en kandidat for et entydig identifikasjonsmiddel, og det finnes risikomomenter ved en slik løsning som man ikke finner ved en løsning som bygger på bruk av fingeravtrykk." Kortversjonen av personvernnemndas ulike vedtak kan vel sies å være: Dersom det ikke er skikkelig viktig, får du ikke bruke fingeravtrykk. Hva kan være grunnen til det?
  • Først kan vi se litt på bakgrunnen – hvordan samfunnet vårt har utviklet seg, og med det personvernet. Det sies ofte at personvernet er under press – at vi går mot et overvåkningssamfunn. I praksis lever vi nok i et overvåkningssamfunn allerede – vi legger igjen så mye spor etter oss i hverdagen at det i teorien er mulighet til å finne ut det meste om oss. Hver dag tar vi en rekke valg hvor vi som oftest velger vekk personvernet til fordel for noe annet som er viktig for oss i øyeblikket: Effektivitet (bomringen), Brukervennlighet (i nettbutikken), Tilgjengelighet for omgivelsene (gjennom mobiltelefon) med mer. Og kanskje ville vi også syntes det hadde vært praktisk å kunne jogge ned til treningssenteret uten å ta med oss lommebok eller medlemskort. Men det får vi altså ikke lov til. Og det er det en grunn til:
  • Biometrisk informasjon skiller seg fra annen informasjon gjennom at den er uløselig knyttet til den personen den tilhører. Biomteri er automatisk gjenkjenning av personer ved deres fysiologiske kjennetegn, f.eks. fingeravtrykk eller ansiktskjennetegn, eller adferdsmønstre (for eksempel ganglag).   Fordeler med biometri er bedre tilgangskontroll og økt sikkerhet mot identitetstyveri, fordi personopplysninger kobles utelukkende til rett person. Dersom noen som lurer på om en person er meg, ber om å få bekreftelse i form av et passord eller en PIN-kode, så kan det være at det er meg, men det kan også være at det er noen som har fått tak i passordet mitt, eller som har skjønt at jeg har vært dum nok til å bruke fødselsdatoen min som PIN kode. Dette er en av grunnene til at vi har hatt et biometrisk kjennetegn på viktige identitetsdokumenter i lange tider – nemlig ansiktsbiometri – eller bilde. Vi har bilde i passet vårt, bilde på førerkortet vårt og en del steder har man også bilde på adgangskortet sitt. For noen år siden begynte man å snakke om at vi har fått «biometriske pass» i Norge. Sannheten er at vi «alltid» har hatt biometriske pass – det nye er at informasjonen i passet ble lagret i en liten databrikke. Siden har vi supplert ansiktsinformasjonen med fingeravtrykk. Dette er selvsagt for at det skal være enda vanskeligere å låne bort passet til noen som ligner på bildet vårt. Men bildet er fortsatt viktig. Dersom du står i passkontrollen på Gardermoen og datasystemet til passkontrollen går ned, så er det ikke lett for politimannen i luka å sjekke om fingeravtrykket ditt er riktig. Men bildet er det lett å sjekke manuelt. Paradoksalt nok er det slik at den største fordelen med biometri – nemlig at det er entydig – også er den største risikoen ved biometriske systemer: Dersom et sett med biometrisk data blir kompromittert (stjålet), så kan det skape store problemer: Heldigvis har de fleste av oss 10 fingre, men hva med øye? Ansikt? I forhold til personvern, så er det egentlig ikke de biometriske kjennemerkene i seg selv om utgjør risikoen, men hvilken teknologi de brukes sammen med. Det er derfor det stilles så strenge krav til når man kan bruke biometri: Hvordan leses kjennemerkene av? Hvordan lagres informasjonen?
  • For å lese av et biometrisk kjennetegn bruker vi gjerne en form for sensor. Da er det sikkert nærliggende for mange å tenke i form av en fingeravtrykksleser, slik som vi ser nede til høyre her. Men et kamera er også en form for sensor. En av de viktigste personvernutfordringene med sensorer er at man ofte ikke vet når man blir «avlest»: Dersom du må sette fingeren på en fingeravtrykksleser, så skjønner du sannsynligvis at nå er det noen som registrerer eller sjekker fingeravtrykket mitt. Men er du alltid klar over når ansiktet ditt blir fanget opp av et kamera? Og hvis du ikke vet at du er registrert – hvordan kan du vite hvem som lagrer data om deg, og hva dataene skal brukes til? Automatisk ansiktsgjenkjenning: Et system for automatisk ansiktsgjenkjenning tar bilde av en person og sammenligner det med en database for identifisering eller autentisering. Vanligvis brukes det til å bekrefte/avkrefte om en person er på en liste over f.eks. kjente forbrytere eller terrorister. Det skjer stadig utvikling når det gjelder denne teknologien, men foreløpig er det vanskelig å identifisere folk i sanntid og under «naturlige» forhold med lys og skygge, i bevegelse etc. Med høy kameratetthet, og kanskje større mulighet til å koble kameraene sammen i nettverk, kan man få et stekt sporingsverktøy. En pekepinn inn i framtiden kan vi kanskje få dersom vi sammenligner det med automatisk gjenkjenning av kjennemerke på biler. Det er naturlig nok mye enklere å få til, og brukes i dag blant annet i Storbritannia – verdens mest kameratette land – til å kunne følge et kjøretøy fra kamera til kamera gjennom byen. Andre kjennetegn det eksperimenteres med for å gjøre det enklere med visuell gjenkjenning, er for eksempel ganglag. En siste ting som er interessant, er adferdsmønster. Systemer koblet til kameraer kan kjenne igjen karatieristisk adferd, for eksempel oppfører en person som er på en parkeringsplass for å stjele biler seg helt annerledes enn en person som skal hente en bil han eier. Det er selvsagt lett å se fordelene med slike systemer, men det kan også være problematisk dersom det fører til at man hele tiden må tenke gjennom sin egen adferd fordi man er redd for å komme i søkelyset.
  • I tillegg til hvordan kjennemerkene leses av, er det selvsagt interessant hvordan de lagres. Blir de lagret i den store allvitende databasen? Fra et personvernperspektiv er det viktig både at man ikke kan stjele biometriske data, men også at man ikke kan kompromittere dem med å gjøre endringer. For selv om mine fingeravtrykk er unike, så hjelper ikke det dersom du har hacket deg inn i adgangskortdatabasen på jobben og registrert dine egne fingeravtrykk på mitt navn. Store sentrale databaser har et par ulemper i personvernsammenheng: Når man samler veldig mye interessant informasjon på ett sted, blir det mer attraktivt å bryte seg inn. Dessuten blir det mer fristende med det vi kaller «formålsutglidning» – som er det at vi samler data inn med ett formål, og så bestemmer oss for å også bruke det til noe annet. Det beste norske eksempelet på formålsutglidning i forhold til biometri er da utlendingsregistret – som også inneholder biometrisk informasjon som fingeravtrykk – ble åpnet for politiet til etterforskning av straffesaker. Det opprinnelige formålet med databasen var å bidra til å fastslå identiteten til asylsøkere, og da registeret ble opprettet var det faktisk spesifikt nevnt at det IKKE skulle kunne brukes i etterforskning. For det er ikke slik at man alltid er avhengig av sentrale databaser. Dette kan være nødvendig dersom man skal identifisere folk – dvs finne ut hvem de er. Dersom man bare skal bekrefte at noen er den de utgir seg for, kaller vi det autentisering. I forhold til adgangskontroll – enten det er til en bygning eller et land – er det dette vi gjør. Derfor er de norske passene laget slik at fingeravtrykket ditt er lagret i en brikke i passet, men ikke i en sentral database. Det eneste man trenger å sjekke da, er at avtrykket på fingeren stemmer med avtrykket i passet. Men hvis det sitter noen her og drømmer om å basere sitt nye adgangskontrollsystem på «passmodellen», så bør jeg kanskje nevne at de som driver med biomteri og pass i stadig større grad sier at man ikke kommer til å bruke fingeravtrykkene for å automatisere grensepasseringen. Det går for tregt å lese av hvert enkelt pass og hvert enkelt fingeravtrykk, og det blir for mye feil både med registrering og avlesning «i fart». Det er ansiktsgjenkjenning som er tilbake igjen. For dersom man kun skal autentisere, begynner denne teknologien å bli veldig bra. Og i forbindelse med grensepassering kan man kontrollere hvor folk står i forhold til kameraet og hvordan lyset faller.
  • Finland har allerede satt i gang med automatisk passkontroll for enkelte passasjergrupper. Her ser dere hvordan det er skiltet. For å kunne gjøre det må man ha pass med brikke. Det finnes mer informasjon om dette på nettstedet til den finske «gränsbevakningsväsenet»: http:// www.intermin.fi/rvl/home.nsf/pages/index_eng
  • Passet legges i en egen leser for å lesers av.
  • Deretter stiller man seg foran et kamera for å sjekke ansiktsbiometrien. Dersom noe går galt, kan man selvsagt supplere med manuell sjekk.
  • Så hva vil fremtiden bringe når det gjelder biometri, og blir det bra? Jeg har brukt mye tid i dag på ansiktsgjenkjenning, og det er ikke tilfeldig. Selv om det foreløpig er vanskelig å identifisere oss når vi går rundt på gata, så er det ikke vanskelig å finne situasjoner hvor vi ser rett inn i kamera og smiler. Og det finnes selskaper der ute i verden som er fryktelig gode til å søke fort i store mengder data. Er det mange her som har forsøkt Google-tjenesten Goggles? Med Goggles kan man ta bilde av noe, og så vil Google finne ut hva som finnes av det på nettet. Her er et eksempel med kjente bygninger, man kan også ta bilder av kunstverk el.l. Men hva med personer? Kan jeg ta bilde av noen jeg ser på gata og søke etter dem for å finne ut hvem de er, hva det gjøre og hvor mye skatt de betalte i fjor? Da Google lanserte denne tanken, ble det ganske mye bråk, og de trakk det tilbake igjen. Men de har altså ikke lukket dørene helt.
  • Og når man snakker om ansiktsgjenkjenning, så kommer man vel ikke utenom Fjesboka. Facebook er faktisk nettets største samling av bilder, og det er ikke her folk laster opp de siste naturfotoene sine – det er mye bilder av mennesker. Men er det bilder av meg som ikke er tagget? Eller av vennene mine? Det er det mange som vil hjelpe deg å finne ut av. Jeg har ikke noe spesiell kjennskap til noen av disse produktene, det var de som dukket opp først da jeg søkte. Legg merke til at de stort sett er i «alfa» eller «beta» test – dvs at de ikke er klare for storskala lansering ennå.
  • Og bare for å avslutte med en realitetsorientering før dere blir helt paranoide: Denne fant jeg i Økonomisk rapport i 2007: Noen som tok ut penger med fingeravtrykket sitt i fjor? Ikke jeg i hvert fall. Det betyr ikke at det aldri kommer til å skje, eller at vi aldri vil kunne ta bilde av noen i en bar og søke etter dem på nettet, men ting går av og til saktere enn man tror. Noen ganger dukker det opp ny teknologi som vi ikke hadde ventet i det hele tatt, og noen ganger tar utviklingen mye lenger tid enn vi tror. Og av og til tar det en helt annen retning enn man hadde regner med – slik som med fingeravtrykk og pass.
  • Alle Teknologirådets rapporter kan lastes ned fra www.teknologiradet.no eller bestilles helt gratis fra [email_address] . Takk for meg
  • Biometri - utfordringer for personvernet

    1. 1. Biometri – utfordringer for personvernet Christine Hafskjold eforvaltningskonferansen, 10. februar 2011
    2. 2. Er fingeren det nye nøkkelkortet? Tysvær kommune: Ja Rema 1000: Nei Treningssentre: Nei Esso Norge: Ja
    3. 3. Verden har forandret seg: Flere og mer innholdsrike elektroniske spor ” Ubegrenset” lagringskapasitet Regnekraft nok til å kunne sammenstille og analysere fragmenterte data Stadig bedre søkemuligheter Foto: Norsk telemuseum
    4. 4. Biometri Kroppslige karakteristika som kan brukes til identifisering og og autentisering Mest brukt: Finger Ansikt Iris
    5. 5. Sensorteknologi og biometri av 13 Ansikts- gjenkjenning Ganglag og adferdsmønster Illustrasjon: Åsne Flyen
    6. 6. Datalagring og analyse Database Ill:Meta group Foto: Fjellinjen
    7. 7. av 21
    8. 8. av 21
    9. 9. Alle våre rapporter kan lastes ned eller bestilles gratis på: www.teknologiradet.no

    ×