Geriausias pavyzdys – muitinė
Kaip pasakoja kibernetinio saugumo specialistas Marius Pareščius, biometriniai duomenys gali būti ne tik tai, bet ir mūsų akys rainelė, kraujagyslės, balsas, eisena ar net elgesys – viskas, kas yra unikalu tik mums.
Kas yra biometriniai duomenys šiek tiek detaliau paaiškina „Swedbank“ El. pardavimų ir paslaugų Baltijos šalyse tarnybos vadovas Igoris Ryklys. „Biometriniai duomenys yra žmogaus tam tikros savybės kaip piršto atspaudas ar veidas, kurios yra skaitmenizuotos. Juos vėliau naudojant, žmogus identifikuojamas ir nustatoma, kad tai yra būtent tas žmogus, kuris pateikė savo duomenis“, – sako jis.
Bene populiariausi biometriniai duomenys yra mūsų pirštų atspaudai ir veidas. Šie biometriniai duomenys yra naudojami ne tik mūsų telefonų, bet yra užšifruoti ir mūsų pasuose ar asmens tapatybės kortelėse. Anot M. Pareščio, pasą galime laikyti atminties dalimi, kurioje yra mūsų biometriniai duomenys
„Užsienyje yra populiaru, kad yra skenuojama visa jūsų ranka: tiek kraujagyslės, tiek pirštų atspaudai. Pavyzdžiui, praeinant muitinės patikrą kažkokiam oro uoste. Skrendate į Vokietiją, turite biometrinį pasą, kuriame yra įrašyti jūsų piršto atspaudai ir nuotrauka. Specializuota programinė įranga, be žmogaus įsikišimo, paprašo jūsų padėti pasą nuskaitymui. Tada paprašo padėti ranką, kad nuskaitytų pirštų atspaudus, jus nufotografuoja ir sulygina tuos duomenis su tais, kurie buvo jūsų pase. Sulyginus duomenis ir patvirtinus, kad didelė tikimybė, kad tai jūs – leidžiama įžengti į Vokietijos teritoriją. Žmogaus tam nereikia“, – sako M. Pareščius. Anot jo, muitinė yra geras pavyzdys, kuris parodo, kaip naudojami biometriniai duomenys.
Ne tik telefonams
Tačiau kasdien su biometriniais duomenimis susiduriame, kai naudojame savo telefonus ar įvairias programėles, kurios biometrinius duomenis naudoja kaip autorizacijos būdą: atpažinimui, ar telefono savininkas atidarė vieną ar kitą programėlę. Anot I. Ryklio, aibė paslaugų tiekėjų pritaikę šią technologiją, kad jų klientų gyvenimas būtų patogesnis.
„Ir „Swedbank“ taip pat su savo nauja programėle šią naują technologiją pradėjo naudoti. Dabar žmogus, naudodamas biometrijos duomenis, gali prisijungti per mūsų programėlę prie savo sąskaitos duomenų ir netgi atlikti pavedimus“, – sako I. Ryklys.
Pašnekovas priduria, kad pavedimus galima atlikti iki 100 eurų. Jei norima pervesti daugiau ar pasirašyti sutartį – patogu naudoti „Smart ID“. Tai yra elektroninis kvalifikuotas parašas. „Biometrija yra tam tikras elektroninis raktas, kuriuo pasinaudojus, galima įeiti į namus. Šiuo atveju, turėti prieigą prie savo banko sąskaitos, atlikti pavedimus. Bankas imasi visų priemonių, kad identifikavimo būdai būtų saugūs“, – pabrėžia atstovas.
Pasiteiravus, kodėl bankai nusprendė pereiti prie tokios identifikavimo priemonės, I. Ryklys atsako, kad biometrinis būdas suderina saugumą ir patogumą. „Iš vienos pusės tai saugu, iš kitos – patogu. Tai yra patikimas būdas, nes, kad prisijungtumei biometriniu būdu, reikia turėti (asmeninį – DELFI) telefoną, tiek nuskaityti biometrijos duomenis.
Iš kitos pusės tai yra labai patogu: telefoną visada turime su savimi. Keliaujame, judame, esame mobilūs. Turėdami telefoną galime labai greitai prisijungti prie sąskaitos. Šis unikalumas ir patikimumas mums labai aiškiai identifikavo, kad tai kelias, kuriuo turime eiti“, – teigia I. Ryklys.
Pašnekovas priduria, kad telefonų gamintojai itin daug investuoja į saugumą: visi turi paisyti Europos Sąjungos direktyvos reikalavimų identifikavimo saugumui užtikrinti.
Viską, ką sukūrė žmogus – galima nulaužti
Pasiteiravus, ar biometriniai duomenys yra saugūs, M. Pareščius susimąsto ir atsako, kad yra įvairių nuomonių. „Mano nuomone, kad būdas atpažinti yra gana saugus, gana patikimas. Kokybė gana gera. Bet, jei šnekėtume apie jūsų biometrinius duomenis ir jų saugumą, aš sakyčiau ne. Ne sakyčiau vien dėl to, kad jūsų biometriniai duomenys lieka kituose įrenginiuose. Jūsų pase, valstybinėse duomenų bazėse.
Didžiausia rizika yra, kad tokį įrenginį pavogs, perims kontrolę, nulauš programišiai ar panašūs žmonės ir tuos duomenis pradžioje kaups, o ateityje – panaudos kažkur. Padirbant jūsų asmeninius pėdsakus, pavyzdžiui, parodys, kad jūs įžengėte į JAV teritoriją, nors jūs sėdite Lietuvoje“, – sako M. Pareščius.
Pasak eksperto, viską, ką sukūrė žmogus – galima nulaužti. „Visas apsaugas, kurias mes sukursime, galime nulaužti. Visos duomenų bazės, kuriose yra duomenys, vieną dieną bus nulaužtos. Klausimas, kokia forma mes ten saugosime duomenis ir gal nereikia saugoti mūsų biometrinių duomenų, o reikia saugoti biometrinių duomenų kažkokius fragmentus, kuriuos būtų galima panaudoti sulyginimui su naujai gautais biometriniais duomenimis“, – teigia kibernetinio saugumo specialistas.
Anot jo, įrenginiuose galime saugoti pirštų atspaudų nuotrauką, skaitmeninę kopiją arba galime saugoti skaitmeninės kopijos parašą, kuris bus unikalus. Anot jo, toks būdas būtų saugiausias. „Galime sulyginti ne du atspaudus ar jų nuotraukas, bet du parašus. Ir jei sugeneruotas unikalus parašas yra identiškas tam, kuris buvo sugeneruotas pirmą kartą, kai mes tikrinome, kad tai tikrai yra tas žmogus su jo asmens dokumentu, tada bus galima teigti, kad parašai yra teisingi.
Tos technologijos egzistuoja, tai apsaugo duomenis nuo nutekėjimo. Nes didžiausia rizika yra ne tai, kad mes davėme savo duomenis, bet tai, kad mūsų duomenys gali būti kažkur panaudoti po to, kai kažkas juos pasisavins. Reikia ieškoti būdų, kaip nesaugoti asmens biometrinių duomenų, o ieškoti alternatyvių duomenų saugojimo būdų. Tas pats blockchain, tie patys parašai – kad net ir nutekėjus duomenims, jais nebūtų galima pasinaudoti, padirbinėjant jūsų elektroninius pėdsakus“, – tikina specialistas.
Ar tai saugu?
Jei egzistuoja tokia rizika, ar mūsų banko sąskaitų duomenys yra saugūs? M. Pareščius patikina, kad taip. „Niekas iki šios dienos nepasakė, kad slaptažodžiai, kuriuos vienu ar kitu būdu mes suvedame savo mobiliuose įrenginiuose, kompiuteriuose, yra blogai. Manau, kad biometrija yra gerai lengvam priėjimui prie duomenų. Kaip pavyzdžiui – bankų programėlės.
Manau, kad visais atvejais tai turės būti dviguba autorizacija. Šiuo atveju, yra naudojami jūsų biometriniai duomenys (pirštų atspaudas arba veidas) ir antras dėmuo – autorizacija kitu būdu. Fiksuotas slaptažodis, ar tai sugeneruotas slaptažodis, kažkokia kita priemonė ir tai bus pakankama, kad apsaugotume savo pavedimus ir duomenis, kuriuos mes pateikiame bankui“, – ramina M. Pareščius.
Anot jo, vargu ar kada nors bus galimybė bus daryti didelius pavedimus ar atlikti kitas veiklas autorizacijai naudojant vien tik biometrinius duomenis. Jie taip būtų nuspręsta, atsirastų per didelė galimybė padirbti reikalingus duomenis.
Tačiau ar žmonės yra linkę naudoti biometrinius duomenis, tam, kad pasiektų savo banko sąskaitos informaciją? I. Ryklys atsako, kad naujoji programėlė buvo pristatyta vasaros pabaigoje ir nuo to laikotarpio kiekvieną savaitę vis daugiau žmonių naudoja biometrinius duomenis.
„Naują prisijungimo būdą žmonės priima labai palankiai, nors tai yra pokytis keičiantis mūsų įpročius. Malonu, kad galime prisidėti prie pokyčių, kurie didina visuomenės skaitmenizavimą“, – teigia I. Ryklys.
Iššūkis visiems
Pasiteiravus M. Pareščio, ar žmonės pakankamai žino apie biometrinius duomenis ir apie kibernetinį saugumą, šis papurto galvą. „Manau, kad ne: mes, lietuviai, esame labai silpnai išprusę apie kibernetinį saugumą, elgseną internete, apie elektroninę bankininkystę ir tame tarpe – apie biometrinius duomenis. Mes sutinkame su viskuo, ką mums siūlo, vien tik todėl, kad norime naudoti naujausias technologijas ir nesigiliname į kas tai yra ir kodėl tai saugu ar nesaugu. Mums smarkiai trūksta edukacijos. Šiuo klausimu reikėtų dirbti tiek valstybei, tiek naujienų portalams, tiek ekspertams, nes mūsų vartotojas – pats brangiausias turtas, kurį turėtume saugoti“, – atsako specialistas.
