Riziko biometrických plateb: Otisk prstu nelze snadno změnit
📝Obsah
Platba otiskem prstu? Někde již realita
V některých částech světa je možné nastoupit do letadla, zaplatit kávu a přihlásit se k finančním účtům pomocí skenu obličeje nebo otisku palce.
Jak Apple Pay, tak Google Pay podporují biometrické platby, a do hry se zapojuje i Amazon. V září představil Amazon One, svou novou technologii biometrických plateb, která umožňuje zákazníkům platit v obchodech přiložením dlaně ke skenovacímu zařízení. Tato technologie bude zpočátku dostupná pouze v jeho obchodech Amazon Go, ale plánuje se její rozšíření do dceřiné společnosti Whole Foods a časem i do dalších maloobchodních prodejen.
O pohodlnosti této technologie není pochyb. Už žádné šmátrání po peněžence nebo snaha zbavit se drobných po kapsách. Navíc stálost a jedinečnost našich otisků prstů a sítnice teoreticky ztěžuje možnost podvodných transakcí.
Ale s tím, jak o nás algoritmy shromažďují stále více identifikačních informací, začínají se objevovat nevyhnutelné otázky týkající se kompromisu v oblasti ochrany soukromí.
Co se stane, když budou naše biometrické údaje ohroženy?
V případě standardního kybernetického útoku nebo rozsáhlého úniku dat může změna našeho hesla a dalších přihlašovacích údajů pomoci omezit odhalení důvěrných informací. Hackeři sice mohli získat přístup k našim účtům, ale budoucímu narušení lze změnou přihlašovacích údajů zabránit.
V případě biometrických údajů to však není tak jednoduché. Naše otisky palců a obličeje jsou stálé a nemůžeme je snadno vyměnit za novou identitu. V současné době existují vysoká rizika spojená s krádeží nebo zneužitím biometrických údajů – je jen otázkou času, kdy s rostoucím používáním biometrických údajů vzroste kriminalita.
Alarmující příklady v některých částech světa nám však dávají nahlédnout do možné budoucnosti. Indická centrální databáze Aadhar, která katalogizuje biometrické identifikátory, jako jsou otisky prstů, byla v roce 2019 zasažena masivním únikem dat. Podobný útok byl zaměřen na pákistánskou centrální databázi Nadra, která rovněž obsahuje biometrické markery občanů. Databáze jako Aadhar a Nadra však prozatím neuchovávají informace o platbách vázané konkrétně na biometrické údaje.
Ačkoli úniky jakéhokoli druhu dat mohou mít pro jednotlivce zničující důsledky, je mnohem složitější, když se trvalé identifikační znaky vážou k platebním údajům. Při skenování dlaně přes biometrické zařízení algoritmy v podstatě ověřují jedinečné identifikační znaky a přiřazují je k předem vyplněným platebním údajům. A jak se tyto databáze rozrůstají, začnou přitahovat pozornost hackerů.
Klíčem by mohla být regulace
V únoru 2020 zavedla EU rozsáhlé regulace týkající se rozpoznávání obličejů a umělé inteligence s cílem vytvořit jednotný trh s daty v celé Evropě. Ve spojení s předpisy o ochraně osobních údajů podle GDPR není vyloučeno, že by Evropa mohla po společnostech pracujících na biometrických platbách požadovat, aby dodržovaly jednotné standardy a procesy. To není dobrá zpráva pro společnosti jako Amazon nebo Facebook, které by se nevyhnutelně snažily chránit své duševní vlastnictví a pokusy o začlenění standardizovaného rámce by se snažily zmařit.
Vzhledem k tomu, jak vysoce citlivé jsou biometrické údaje, a s vědomím, že velké technologické společnosti ne vždy dobře chrání soukromí uživatelů, můžeme jim opravdu svěřit ještě soukromější údaje? V současné době nemá nikdo mimo tyto firmy jasnou představu o bezpečnostních protokolech a protokolech ochrany osobních údajů, které jsou zabudovány do správy jejich databází. Pokud by však existovala regulace, která by jasně a standardizovaně popisovala, jak by společnosti měly přistupovat ke správě biometrických plateb, mohlo by to výrazně přispět k ochraně před zneužitím.
Nevystopovatelné biometrické údaje
Dalším řešením mohou být „nevystopovatelné biometrické údaje“. Jedná se o bezpečné technologie, které umožňují zpracování biometrických informací, aniž by tyto údaje byly skutečně přiřazeny k jediné identifikovatelné osobě. Technologie funguje tak, že biometrické údaje převádí na nesouvisející datový řetězec nebo klíč, takže se biometrické údaje stanou spíše jakýmsi dekódérem identity, ale při úniku dat nelze zpětně vytvořit otisk prstu, obličeje nebo sítnice.
Takové technologie již existují, například NEXUS, což je systém založený na biometrických údajích, který urychluje překračování hranic mezi Kanadou a Spojenými státy. Pro podniky jsou však většinou neúnosně omezující vzhledem ke složitosti algoritmů a potřebné hardwarové náročnosti. Pokud mohou podniky využít levnější variantu, nic jim v tom nebrání. Bez legislativy, která by jejich používání nařizovala, je logické, že žádná velká korporace nebude motivována k tomu, aby šla nad rámec implementace nesledovatelných biometrických údajů.
Jako běžní spotřebitelé si musíme uvědomit, že každá nová technologie, která nabízí pohodlí, nevyhnutelně přináší kompromis v oblasti ochrany soukromí. Biometrické platby jsou lákavé, ale dokud nebudeme mít jistotu ohledně zabezpečení, je lepší s používáním této technologie prozatím počkat.