Ansiktsigenkänning. Skanning av fingeravtryck. Hur är det med integriteten?

Blogg av Andy | (engelska) Publicerad på fredag januari 6 2023

Om Mission Impossible, Mission Impossible 2, Mission Impossible III, Mission Impossible - Ghost Protocol, Mission Impossible - Rogue Nation och Mission Impossible - Fallout har lärt oss något, så är det att säkerhet, identitet och autentisering är ett allt mer komplext och involverande landskap.

Det var i alla fall vad jag tog med mig från dem. Gå inte in för motorcykelstunts mycket.

Tom Cruise verkar också ha en viss smak för säkerhetens teori och praktik. En annan anmärkningsvärd inbrytning i området var i skepnad av en annan typ av agent, då han spelade PreCrime Captain John Anderton i Steven Spielbergs film från 2002 Minoritetsrapport. Filmen förutspådde en dystopisk värld där brott kunde förutses av ‘Precogs’ - varelser som välsignats med ‘gåvan’ att se in i framtiden och dessa brott kunde förhindras innan de inträffade. Den förutsåg också en värld där befolkningen ständigt spåras och identifieras av både statliga myndigheter och privata företag med hjälp av biometrisk identifiering. Åh, och att styra datorer med hjälp av röst och gester. Till klassisk musik.

Allt verkar väldigt bekant, eller hur? Ok, kanske inte Minoritetsrapport’s Precogs, som utforskar skillnaderna mellan fri vilja och öde och etiken i att försöka kontrollera endera. Det måste sägas att framsteg inom AI och maskininlärning försöker skapa algoritmer som kommer att förutsäga framtiden baserat på Big Data och sannolikhetsberäkningar.

Biometrisk identifiering är dock numera vanligt förekommande. Smartphones använder fingeravtryck och ansiktsigenkänning för användarautentisering, och säkerhetsapplikationer sträcker sig nu från enkel åtkomstkontroll och tids- och närvarospårning till bankverksamhet, brottsbekämpning och gränssäkerhet.

Det är lite skrämmande, eller hur? Kombinera tekniken för att känna igen människor var de än befinner sig utifrån en mängd olika mätvärden med programvara som loggar historiska nyckeldata om dem för att försöka påverka framtida beteende, och vi är i stort sett framme vid den punkt där vi kan gå in i en butik och få skräddarsydda annonser direkt till oss när kameror skannar våra ansikten. Riktad marknadsföring sker redan när du är online och inloggad eller när dina cookies är aktiverade.

Och det är potentiellt ännu mer invasivt när det gäller ansiktsigenkänning, eftersom Jennifer Lynch, en advokat för integritetsrättsgruppen Electronic Frontier Foundation, sade i en intervju med Bloomberg: “Ansiktsigenkänningsdata kan samlas in utan en persons vetskap. Det är mycket ovanligt att ett fingeravtryck samlas in utan att du vet om det.”

Kämpar mot strömmen

Finns det då något som kan stoppa den obevekliga utvecklingen av biometriska data och deras tillämpning i våra liv? Jo, det finns ett motstånd som tar sig uttryck i oro för integriteten och den reglering som följer av detta. Det har visat sig att människor inte gillar tanken på att bli spårade överallt (trots att forskning har visat att de flesta konsumenter litar på de stora onlineföretag som lagrar deras uppgifter), och rätten till integritet har inkapslats i olika bestämmelser som reglerar hur uppgifter samlas in, lagras och används. Den mest anmärkningsvärda av dessa på senare år är naturligtvis den allmänna dataskyddsförordningen, eller GDPR, som trädde i kraft den 25 maj 2018. Minns du den där galna strömmen av e-postmeddelanden från alla möjliga och omöjliga personer som frågade om du ville fortsätta att få meddelanden från dem när du inte hade något minne av att du hade bett om att bli upptagen på e-postlistan från första början? Ja, det minns jag.

GDPR är i korthet en uppsättning riktlinjer för insamling och lagring av personuppgifter, så alla organisationer som kontrollerar sådana uppgifter måste vidta lämpliga åtgärder (både operativa och tekniska) för att arbeta inom de fastställda reglerna. Som insamlare av sådan information måste du få tillstånd och motivera den fortsatta lagringen och användningen av personuppgifter. Detta inkluderar namn, ålder, plats och alla andra uppgifter som kan användas för att identifiera dig. Detta inkluderar naturligtvis biometriska data.

Den goda nyheten är att GDPR och annan liknande lagstiftning har infört mycket mer kraftfulla metoder för att kontrollera efterlevnaden än tidigare. Företag kan bötfällas med potentiellt mycket kännbara belopp, vilket innebär att incitamentet att följa reglerna är starkt. Hur goda intentionerna än är kommer data alltid att utsättas för angrepp, och angripare kommer att hitta sätt att bryta igenom försvaret. Så då kommer frågan om vilka uppgifter som lagras och vad som händer om de hamnar i fel händer?

I ditt ansikte

En av de största farhågorna från konsumenterna när det gäller ansiktsigenkänning och fingeravtryck som autentiseringsmetoder är det faktum att uppgifterna måste lagras för att de ska fungera, och att biometriska uppgifter därmed kan spridas antingen avsiktligt eller på oärliga sätt. Detta gör många människor obekväma, med antagandet att deras fingeravtryck eller bilder av deras ansikte potentiellt riskerar att sändas.

Men är denna oro befogad? Hur lagras och används biometriska data, och skulle förlusten av dem vara ett allvarligt säkerhetsproblem?

Massiva nördar

Fingeravtrycksläsare, iris- och näthinneskannrar och ansiktsigenkänning låter alla ganska olika när det gäller vilken typ av information de lagrar, men de är faktiskt mycket lika när det gäller de processer och mekanismer som de använder för att samla in, lagra och använda data. När du ‘registrerar’ ditt fingeravtryck eller ansikte på en enhet skannar enheten de grafiska uppgifterna. Men datorer är den ultimata formen av massiva nördar. De bryr sig inte om hur saker och ting ser ut. De gillar siffror. Noll och ett är deras speciella favoriter.

För att använda biometriska data som en i huvudsak matematisk enhet översätts skanningarna av ditt ansikte eller fingeravtryck till en uppsättning ‘noder’ - mätningar av plats och avstånd som tillsammans bygger upp en unik algoritmisk datauppsättning som kan användas för att identifiera dig som du är. När en enhet har dessa data har den allt den behöver och den bör då kassera de ‘ursprungliga’ skanningarna. När det gäller anordningar för ansiktsigenkänning som används för autentisering görs skanningarna ändå i 3D och i mycket svagt ljus, så i många fall skulle det vara meningslöst att behålla de ursprungliga ‘skanningarna’. Den andra viktiga punkten är att de lagrade uppgifterna inte kan användas för att återskapa originalbilderna.

Det innebär att dina biometriska data i praktiken bara är en uppsättning koordinater och siffror i det format som definieras av och är användbart för enheten i fråga. Det är mindre användbart än resten av de uppgifter som kan finnas om dig, så oron för integriteten i biometriska uppgifter är vanligtvis inte större än för någon annan typ av uppgifter.

Så länge företagen följer riktlinjerna och vidtar lämpliga skyddsåtgärder för att skydda åtkomsten till data, krypterar när så är möjligt och endast lagrar data som de faktiskt behöver för att utföra sina tjänster till kunderna, kan oron för dataskydd till stor del skingras och vi kan alla vila lite lugnare. Om du som organisation har några frågor om hur allt detta kan uppnås, hör av dig till oss. Vi vet ett och annat om sådana saker.

Extrema åtgärder med ansiktsigenkänning

Naturligtvis måste det sägas, när det gäller åtkomst med hjälp av ansiktsigenkänning, kan du inte försvara dig mot gamla Tom som Ethan Hunt och hans felfria förklädnader ...

Ytterligare läsning