Początki rozwoju technik biometrycznych nie prezentują się zbyt romantycznie. Końcówka XIX wieku, Argentyna i… pierwsze próby stworzenia katalogu odcisków linii papilarnych najbardziej niebezpiecznych kryminalistów. W ostatnich latach biometria przeżywa jednak intensywny rozwój nie tylko dzięki badaniom inspirowanym przez wojsko i policję, ale przede wszystkim ze względu na zastosowania cywilne. W tym oczywiście także wykorzystanie biometrii w biznesie.
Dwa rodzaje pytań
Zanim jeszcze przejdziemy do omówienia najważniejszych – od strony zastosowań biznesowych – technologii biometrycznych, warto odróżnić od siebie dwa działania. Jednym z nich jest identyfikacja danej osoby, czyli sytuacja, w której dysponujemy zbiorem danych (np. biometrycznych) dużej grupy osób i staramy się stwierdzić, o którą osobę chodzi. Tak naprawdę odpowiadanie na pytanie, kim on (ona, ono) jest.
W życiu codziennym częściej spotykamy jednak drugą sytuację, w której stosowane są technologie biometryczne – weryfikację. Tym razem zbiór danych, który wykorzystujemy, jest znacznie mniejszy, często wręcz jednoosobowy. Pytanie, na które chcemy uzyskać odpowiedź, także brzmi inaczej: „Czy on, to naprawdę on?”. Także w biznesie, także w przypadku różnych metod zabezpieczania sprzętu firmowego (najczęściej smartfonów, notebooków, ale także budynków czy pomieszczeń) to właśnie skuteczna weryfikacja jest tym, co nas interesuje najbardziej.
Jak wykorzystać biometrię?
Istnieją branże, takie jak bankowość (zarówno mobilna, jak i oddziałowa) czy różnego rodzaju usługi samoobsługowe (bankomaty, skrzynki depozytowe), w których wykorzystanie biometrii narzuca się samo. W takich wypadkach pozostaje tylko odpowiedni dobór technologii biometrycznej, najczęściej bazującej na sprawdzaniu linii papilarnych lub układu naczyń krwionośnych, rzadziej – rozpoznawania twarzy, podpisu weryfikowanej osoby lub badania jej głosu.
Biometria w smartfonach
Z drugiej strony warto pamiętać też o tym, że większość dorosłych osób korzysta współcześnie z technologii biometrycznych przynajmniej w jednym przypadku – używając smartfona. Według badań Urzędu Komunikacji Elektronicznej, pod koniec 2018 roku 74,8% Polaków używało smartfonów, natomiast Counterpoint Research informuje, że w 2018 roku 71% sprzedawanych smartfonów wyposażonych było w czytnik linii papilarnych.
Sporą popularnością wśród użytkowników prywatnych cieszy się także weryfikacja geometrii twarzy – między innymi za sprawą telefonów firmy Apple, która promuje rozwiązanie o nazwie Face ID.
Biometria w notebookach
Drugim najczęściej stosowanym sposobem wykorzystania technologii biometrycznych w biznesie są notebooki służbowe. Tu także dominuje skanowanie odcisków palców, ale warto wiedzieć, że można też znaleźć na rynku inne, jeszcze bezpieczniejsze rozwiązania. Fujitsu wyposaża swoje notebooki w technologię o nazwie PalmSecure, skanującą układ naczyń krwionośnych dłoni.
Miałem możliwość testowania tej metody i moim jedynym zastrzeżeniem jest nieco mniejsza wygoda jest wykorzystywania. Wszystko działa szybko i sprawnie, jednak należy dość dokładnie umieścić dłoń na określonej wysokości nad czujnikiem. Oczywiście, to w dużej mierze kwestia wprawy, ale w wyjątkowych sytuacjach, np. gdy leżałem z notebookiem na kanapie, nie było to tak wygodne, jak zwykłe przyłożenie i zeskanowanie palca.
Błędy i hakerzy
Na początku napisałem, że człowiek jest hasłem, którego podrobić się nie da – i to stwierdzenie jest w stu procentach prawdziwe. Problem polega jednak na tym, że nie wszystkie technologie biometryczne z równą dokładnością są w stanie unikalną bioróżnorodność ludzi zmierzyć i zweryfikować. Pewne rozwiązania podatne są na błędy lub oszustwa bardziej, inne – mniej. Jak to wygląda w przypadku najpopularniejszych technologii biometrycznych?
Sprawdzanie linii papilarnych
Najpopularniejsza ze stosowanych obecnie technologii biometrycznych bywa, niestety, dość podatna na błędy, można ją także oszukać. Przykład błędu to najnowsze smartfony Samsung S 10 z czytnikiem linii papilarnych wbudowanym w ekran. Okazało się, że wystarczy nakleić na ten ekran folię ochronną, by urządzenie można było odblokować palcem… dowolnej osoby. (Wprowadzono już odpowiednią poprawkę).
Świadome podrobienie linii papilarnych również nie jest przesadnie trudne – wystarczy zrobić wysokiej jakości zdjęcie palców (dobry aparat z teleobiektywem pozwala wykonać je ze znacznej odległości), a następnie wydrukowanie repliki – nawet na zwykłej drukarce z użyciem… kleju do drewna. Tak przygotowaną podróbką można np. wypłacić pieniądze w bankomacie wyposażonym w czytnik linii papilarnych.
Do tej pory najsłynniejszą prezentacją tej techniki była dokonane w 2014 roku odtworzenie odcisku palca niemieckiej minister obrony Ursuli von der Leyen. Wystarczyło kilka zdjęć wykonanych dłoniom pani minister podczas konferencji prasowej. Zdarza się także, że policja dysponuje smartfonem osoby podejrzanej o przestępstwo oraz dysponuje śladami jej odcisków palców. Wykonuje wtedy replikę palca i włamuje się do urządzenia potencjalnego przestępcy.
I jeszcze jeden, dość makabryczny, wątek – niestety, odciski palców mogą posłużyć do odblokowania urządzenia, nawet jeśli te palce zostaną… oddzielone od właściciela. Takie sytuacje też się, niestety, zdarzają.
Rozpoznawanie głosu
Wydaje się, że wykorzystanie tej metody zostanie współcześnie mocno zredukowane. Coraz skuteczniej działające technologie typu deepfake pozwalają na łatwe podrabianie głosu innej osoby.
Skanowanie oka (źrenicy, siatkówki)
Skanowanie siatkówki oka wymaga specjalistycznych, dość drogich urządzeń, a badanie nie jest zbyt przyjemne, dlatego ten typ zabezpieczeń, mimo że dość skuteczny, cieszy się mniejszą popularnością niż skanowanie źrenicy. To rozwiązanie znalazło się między innymi w niektórych modelach smartfonów (np. Lumia, Samsung) i… zostało złamane. W 2017 roku grupa hakerów o nazwie Chaos Computer Club złamała zabezpieczenie biometryczne w Samsungu Galaxy S8. W prosty sposób: zrobili zdjęcie oka właściciela smartfona aparatem z usuniętym filtrem światła podczerwonego, wydrukowali to zdjęcie w wysokiej jakości i położyli na wydruku soczewkę kontaktową (symulacja kształtu oka). To wystarczyło.
Sprawdzanie geometrii twarzy
Rozwiązania takie jak Face ID firmy Apple czy sprawdzanie geometrii twarzy przez niektóre serwisy bankowe oszukać można w dość prosty sposób – należy zrobić maskę naśladującą kształt głowy użytkownika. A ponieważ wykonanie zdjęć głowy danej osoby, nawet z kilku stron, nie stanowi zwykle problemu, pozostaje tylko kwestia praktyczna. Proces wykonania maski jest dość pracochłonny, więc hakerom musi się to po prostu opłacać. Spodziewany zysk przekraczać musi ilość czasu i pracy zaangażowanych w tworzenie „podróbki” twarzy, tak samo zresztą jak źrenicy oka czy sztucznego palca z liniami papilarnymi.
Sprawdzanie układu naczyń krwionośnych w dłoni lub palcu
Tę technologię biometryczną zostawiłem na koniec, ponieważ odróżnia ją od innych metod jedna podstawowa kwestia. Bazuje ona na sprawdzaniu cechy wewnętrznej ludzkiego organizmu, więc nie da się jej nielegalnie skopiować z pewnej odległości, np. za pomocą dobrego aparatu fotograficznego. Na dodatek skanowanie możliwe jest tylko w przypadku, gdy krew krąży w badanej dłoni lub palcu, więc „makabryczne” scenariusze pozyskania dostępu do urządzenia również nie wchodzą w grę.
Oczywiście nie ma metod całkowicie bezpiecznych i nawet w tym przypadku można sobie wyobrazić metodę nielegalnego pozyskania skanu układu naczyń krwionośnych czytnikiem ukrytym w jakimś przedmiocie. Lub też – przepraszam za brutalność – odcięcie dłoni lub palca i podłączenie go do układu sztucznego serca pompującego krew. No, da się. Teoretycznie. Ale to zupełnie abstrakcyjny poziom rozważań – w praktyce ta metoda wydaje się najbezpieczniejsza.
Czy warto stosować technologie biometryczne w firmie?
Zdecydowanie tak! Nawet jeśli ma to być tylko zabezpieczenie służbowego smartfona czy laptopa, technologie biometryczne sprawdzają się lepiej niż tekstowe czy cyfrowe hasła (z reguły zbyt proste do odgadnięcia). Zaś w przypadku szczególnie wrażliwych danych czy pomieszczeń, do których dostęp traktowany jest w kategoriach strategicznych, najlepszą metodą jest wykorzystanie kilku technologii biometrycznych, wspieranych jeszcze hasłami… jednocześnie.
