A kód, ami mindig veled van : Biometrikus azonosító

A kétkedők az adatbiztonság kétélű fegyverének nevezik a biometrikus azonosítást. Fokozza ugyan  a biztonságérzetet, ellophatatlan, egyes elemeit lehetetlen hamisítani, ám közben korlátozza az egyének személyiségi jogait, ezért használata egyszerre lehet megnyugtató és félelmetes is.

A biometria ellenzői legtöbbször a biometrikus adatok kezelésével, tárolásával, felhasználásával kapcsolatos adatvédelmi jogokra hivatkoznak, amikor más módszert javasolnak egy beléptető-azonosító rendszer felállítására. 

A technológia mindennapi, általános elterjedése ma még túlnyomórészt csak fantasztikus, jövőben játszódó filmekből ismert, ám a biometrikus azonosítás biztonságtechnikai, információvédelmi alkalmazása a cyber technika előretörésével párhuzamosan kivételes gyorsasággal fejlődik. Kiválthatja a tudás és a tulajdon alapú azonosítást és ezek eszközeit, az előbbinél a jelszavakat, utóbbinál a kulcsot, chipkártyát, így nincs elfelejtett kód, otthon hagyott eszköz. A biometrikus azonosítót nem lehet elveszteni, nem lophatják el tőlük, bármikor könnyen igazolhatja magát az azonosítást kívánó vagy végrehajtó személy.

A technika

 A biometrikus azonosítás az egyedi fizikai jellemzők mérését és az ezen alapuló azonosítást jelenti. A szó a görög biosz (élet) és metron (mérni) szavakból jött létre. A biometrikus mérést automatizált módszerekkel végzik számítógépek bevonásával.

A biometrikus azonosítás  legismertebb eleme az ujjnyomat kontroll, vagyis  a bőr fodorszál-mintázat alapú ellenőrzés.  A test felületén az ujjakon, a kéz tenyér felőli oldalán, a lábujjakon és a talp felületén található még ilyen mintázat, azonban praktikusságból és használatból eredően is az ujjak redőit vizsgálja az erre alapuló technika. Az ujjnyomat -nem nyom, mert az véletlen, esetleges, a kriminalisztika használja –  lehet például egy mobiltelefon, laptop feloldására alkalmas módszer. Ám az ujj redői szennyeződnek, kopnak, sokszor a “gazda” adatait sem fogadja el a rendszer. Ráadásul az adathalászok már ki tudják játszani ezt a technikát, képesek a nyomat hamisítására, a maffiafilmek kedvelői meg jól tudják, mennyire egyszerű megszerezni magát a nyomhordozó “eszközt”, ne részletezzük. 

A modern technika más biometrikus azonosítási módszereket is bevezetett már. Biometrikus azonosító a kézgeometria,  az érhálózat – a tenyér és ujjak erezetének összehasonlító vizsgálata-  az arc (2D, 3D és hőkép), a szem (írisz és retina), továbbá a DNS eredetű kontrollok. Ezek megcáfolhatatlan előnye, hogy csakis egy személyhez tartozhatnak, nincs véletlen, nincs tévedés, nem vagy csak nagyon nehezen lehet hamisítani.

A biometrikus azonosítás szakértői szerint mást  jelent a biometrikus nyomat azonosítása, és mást a hitelesítése. Azonosításkor a vizsgált mintát egy nagyobb adatbázissal vetik össze – azt használják a bűnüldöző-bűnmegelőző szervek – hitelesítéskor és ellenőrzéskor pedig egy korábban gyűjtött és tárolt mintával vetik össze az 1 : 1 azonosságot.  Egy beléptető rendszer az azonosító, egy telefont feloldó rendszer hitelesítő. 

A rendszer hibái

Mint ahogy azt korábban említettük, az ujjnyomat ellenőrzés nem tökéletes, az emberi test öregedésével a redők kopnak és szinte valamennyi környezeti és testet érintő változás befolyásolja az azonosítást, a magas biztonsági kockázat mellett nem kis bosszúságot okozva a felhasználónak. Egyes szakmák esetében ez még erősebb, az építőipar, a fémmegmunkálás, a bányászat szektorában dolgozóknál lehetetlen egy ilyen alapon működő munkahelyi beléptető-ellenőrző rendszer.

Az írisz – a szem színes szivárványhártyája –  a legbiztosabb azonosítók közé tartozik, amely élethosszig változatlan, de a szemgolyó belső falán húzódó retina mintázata már nem állandó. Megváltozhat érrendszeri betegségek hatására, műtét, baleset nyomán, sőt még az alkoholos befolyásoltság is lehetetlenné teszi az azonosítást,  mert ilyenkor más a szemfenék érhálózatának vérrel való telítettsége.

A modern technikával az arc és a hangazonosítás is kijátszható. Volt már rá példa, hogy egy háromdimenziós nyomtatással készített álarcot viselt egy betörő és a rendszer simán “bevette” a 3D maszk tökéletes azonosítási pontjait. Az emberi hangot egy fejlett hanggenerátorral lehet manipulálni, ami egy telefonos azonosításnál tökéletesen működhet, ilyen módszerrel is törtek már fel biztonsági rendszereket tolvajok.

A biometrikus azonosítás szakértői szerint – az L-Tender Zrt. partnere a témában a BioSec Group Kft. – akik arra teszik a hangsúlyt, hogy olyan technológiákat használjanak, amelyek belső ismérv alapján azonosítsanak, hashelnek és nem képet tárolnak, illetve azt is titkosítva,  minél alacsonyabb FAR értékkel. ( A FAR (False Accept Rate) azt mutatja meg, hogy milyen gyakorisággal jut át a rendszeren jogtalan felhasználó. )

A szakértők nem győzik hangsúlyozni, hogy a modern biometrikus azonosító eszközök nem az adathordozó személyes adatait tárolják, hanem egy arról képzett kódot, ezzel a rögzített adatok illetéktelen felhasználása kizárható. Ellenőrzéskor a rendszer ezt a kódot veti össze a kontroll alá vont személy biometrikus adataival, s ha egyezést talál biztosítja a beléptetést, a jogosutságot.

Adatvédelem és biometria

Adatvédelmi szempontból nagyon fontos kérdés, hogy milyen garanciákat biztosít egy adott biometrikus rendszer működtetője hiszen az adatok gyűjtésére, felhasználására és  tárolására szigorú adatvédelmi szabályok vonatkoznak

Mindennapjainkban különösebb aggályok nélkül alkalmazzuk a fejlett biometrikus technikákat, melyek hétköznapi felhasználók általi elérhetősége és az általuk nyújtott kényelem azt a naiv illúziót ébreszti bennünk, hogy azokat a gazdasági életben is probléma nélkül használhatjuk, garantálva ez által a jogosultságok biztonságosabb ellenőrzését.

Fontos tudni azonban, hogy az egyes biometrikus technikák alkalmazását megelőzően megkerülhetetlen azok adatvédemi szempontú értékelése is.

A biometrikus adatok jogi értelemben az adott személyre vonatkozó, annak azonosítására alkalmas információként személyes adatnak minősülnek. Talán nem meglepő, hogy biometrikus adatainkat a jogalkotó az egyéb személyes adatokhoz képest is fokozott jogi védelemben részesíti, melyet leginkább azok kezelésének főszabálykénti tilalma fejez ki.

A jogalkotói szigor okainak értelmezése kapcsán gondoljunk csak bele abba, hogy míg jelszavaink jogosulatlan megszerzése esetén, azokat különösebb nehézség nélkül módosíthatjuk, addig arcképünk, retinánk esetén ez sokkal inkább problematikus.

Ne felejtsük el azt sem, hogy míg privát szféránkban magunk döntük arról, hogy vállaljuk-e egy biometrikus technológia alkalmazásának adatvédelmi kockázatait saját személyes adataink vonatkozásában, addig a gazdasági életben csak nagyon szűk körben hozhatunk ilyen döntést más érintettek különleges személyes adatainak kezeléséről.

Az L-Tender Zrt. – immár évtizedes tapasztalattal a háta mögött – rendszeresen találkozik a biometrikus azonosító rendszerek alkalmazásának igényével az ügyfelei vonatkozásában. A jogszerű alkalmazhatóság nehézségét az adja, hogy a vonatkozó adatvédelmi jogszabályok az adatkezelés generális tilalma alól csak szűk körben adnak felmentést, ezek a kivételek pedig többnyire valamely

jogszabályi előíráshoz kapcsolódnak, melyek rendszerint csak az adatkezelők szűk körére alkalmazandók.

Tapasztalataink alapján a legjellemzőbb, munkáltatóként eljáró adatkezelői igény, hogy munkavállalóik egyes jogosultságát (belépési jogosultságok, hozzáférési jogosultságok) biometrikus technológiák alkalmazásával ellenőrizzék.

Az adatkezelők széles körét érintő jogszabályként a munka törvénykönyvéről szóló 2012. évi I. törvény szigorú előírások fennállása esetén – lehetővé teszi ugyan a munkavállalók vonatkozásában, azonosításuk céljából történő biometrikus adataik kezelését, fontos azonban megjegyezni, hogy ezen

jogosultság gyakorlása komoly előzetes adatvédelmi vizsgálatot és annak írásbeli dokumentációját kívánja meg a technológia alkalmazásától.

Miben tudunk segíteni hozzánk forduló ügyfeleinknek?

– Előzetesen értékeljük az általuk alkalmazni kívánt technológia és eljárás adatvédelmi megfelelőségét, különösen a kezelt adatokra, megőrzési időkre, beépített adatbiztonsági funkciókra tekintettel;

– Előzetes értékelésünket – az adatvédelmi jogszabályok előírásainak megfelelően – írásban dokumentáljuk (szükség szerint hatásvizsgálat, érdekmérlegelési tesz vagy szükségességi vizsgálat keretében);

– Amennyiben vizsgálatunk megállapítja az alkalmazni kívánt biometrikus technológia jogszerűségét, úgy elkészítjük az egyéb, jogilag szükséges dokumentációt (adatkezelési tájékoztatók, eljárásrendek, stb.);

– A megbízás jellegétől függően a bevezetett adatkezelés során felmerülő kérdésekben folyamatos támogatást biztosítunk ügyfeleinknek.

Kérdés esetén forduljon bizalommal az L-Tender Zrt. szakértői csapatához!

Kövessen minket!

Még több cikk:

Kommentár: Vigyázz az intim szférádra!

Új rovatunkban a hét legérdekesebb, adatvédelem, információbiztonság, GDPR és compliance témában megjelent cikkeit  az L-Tender Zrt. szakértői elemzik. Dr. Molnár Gábor vezérigazgató, cégünk adatvédelmi szakmai

Milliós megtakarítást hozhatnak a pontos adatok !

  Adatgyűjtéssel elemezhetik a sofőrök vezetési szokásait : Személyre szabott továbbképzést kaphatnak a teherautó-és buszvezetők az adatok alapján! Egy ilyen adatelemzés havonta egymillió forintos megtakarítást