Σάββατο 3 Φεβρουαρίου 2018

Βιομετρική (αν)ασφάλεια: Πιο εκτεθειμένοι οι χρήστες, εμπόρευμα τα δεδομένα.



Μετά από μια χρονιά μεγάλων παραβιάσεων και διαρροής προσωπικών δεδομένων η Ευρώπη εισάγει νέο θεσμικό πλαίσιο: Η GDPR είναι το πρώτο βήμα, απέχει όμως πολύ από την ουσιαστική διασφάλιση της ιδιωτικότητας των χρηστών.

Ολοένα και περισσότερες συσκευές και υπηρεσίες χρησιμοποιούν πλέον βιομετρικά δεδομένα για την εξασφάλιση της ιδιωτικότητας και του απαραβίαστου των χρηστών τους, ανεβάζοντας το επίπεδο ασφάλειας και καθιστώντας πρακτικά αδύνατη την πρόσβαση τρίτων. Πρόκεται όμως για τη μισή αλήθεια, καθώς τα βιομετρικα δεδομένα μπορεί εκ πρώτης όψεως να προσφέρουν μεγαλύτερη ασφάλεια, η προοπτική διεύρυνσης της χρήσης τους, όμως, σε συνδυασμό με τις αυξημένες δυνατότητες παραβίασης των χώρων όπου αυτά φυλάσσονται τοπικά, είτε online τα καθιστούν πολύ μεγαλύτερη εν δυνάμει απειλή για την ασφάλεια της ιδιωτικής ζωής των χρηστών τους.

Το πρόβλημα με τα βιομετρικά δεδομένα, (δακτυλικό αποτύπωμα, αναγνώριση προσώπου, φωνής, ίριδας ματιού, κλπ) είναι ταυτόσημο με το πλεονέκτημά τους: είναι μοναδικά, δεν αντικαθιστώνται, δεν τροποποιούνται και δεν υπάρχει δυνατότητα αλλαγής τους. Συνεπώς, αν κάποιος αποκτήσει πρόσβαση σε αυτά,

τότε οι χρήστες που τα χρησιμοποιούν ως μέθοδο ασφαλείας είναι πλήρως ακάλυπτοι. Μέχρι τώρα, σε μεγάλες περιπτώσεις υποκλοπής προσωπικών δεδομένων οι εταιρίες συνιστούσαν νέες διαδικασίες ασφάλειας, με συχνότερη αλλαγή κωδικών και χρήση ακόμα και ασφάλειας δυο παραγόντων.

Ποιός όμως μπορεί να προστατέψει έναν χρήστη από τον ίδιο του τον εαυτό; Εφόσον τα προσωπικά βιομετρικά στοιχεία κλαπούν, τότε δεν υπάρχει καμία δυνατότητα προστασίας, παρά μόνο υποβάθμιση του επιπέδου ασφαλείας στη χρήση προσωπικών κωδικών και διαδικασίας εξακρίβωσης δυο παραγόντων. Και πάλι όμως, το πρόβλημα δεν έχει επιλυθεί, καθώς τα βιομετρικά στοιχεία δεν εξασφαλίζουν την πρόσβαση μόνο σε λογαριασμούς e-mail και κινητές συσκευές αλλά είναι το ουσιαστικό προσωπικό αποτύπωμα των ανθρώπων πάνω στον πλανήτη. Νοσοκομεία, υπηρεσίες ασφαλείας και κυβερνήσεις τα χρησιμοποιούν για τη διακρίβωση του ίδιου του ατόμου, της ταυτότητας, της παρουσίας στο χώρο και ως ίχνη και ισχυρά αποδεικτικά στοιχεία για την τέλεση αξιόποινων πράξεων.
 
Εύλογα εγείρονται λοιπόν τα επόμενα ερωτήματα:
  • Ποιός αποθηκεύει τα προσωπικά δεδομένα των πολιτών,
  • που τα αποθηκεύει,
  • τι πιστοποιήσεις ασφαλείας έχει,
  • ποιός τον ελέγχει και
  • πόσο αξιόπιστες και σύγχρονες είναι οι διαδικασίες ελέγχου;
  • Τελικά, ποιοί έχουν τα κλειδιά για την καθημερινότητα, την προσωπική ζωή, τα πραγματικά ευαίσθητα δεδομένα όλων και πόσο ασφαλή είναι αυτά;
  • Έδωσαν άδεια οι πολίτες στις υπηρεσίες να τα διατηρούν, ήταν πραγματικά ενήμεροι για τους κινδύνους που εγείρονται από τη φύλαξή τους και τις διαδικασίες;
  • Τι ποινές υπάρχουν για πλημμελή φύλαξη προσωπικών και ιδιαίτερα βιομετρικών δεδομένων;
  • Ποιός τις επιβάλει και με τι κόστος; Μπορεί ποτέ να ανακτήσει κανείς την ιδιωιτικότητά του εφόσον κλαπούν τα βιομετρικά του δεδομένα;
Απαντήσεις σε αυτά και ακόμη ποιό σύνθετα ερωτήματα φιλοδοξεί να δώσει η Ευρωπαϊκή Ένωση, εδραιώνοντας ένα νέο θεσμικό πλαίσιο, το οποίο λαμβάνει αρκετές πρόνοιες, απέχει όμως πολύ από το ιδανικό, καθώς χρόνια ανομίας και απουσίας ουσιαστικής ρύθμισης και ελέγχου έχουν επιτρέψει τη διακίνηση προσωπικών και βιομετρικών στοιχείων μέσω του internet σε παγκόσμια βάση.

Τα προσωπικά δεδομένα, από τις αναζητήσεις στις μηχανές αναζήτησης, το ιστορικό περιήγησης στο internet μέχρι τους φίλους και τις διασυνδέσεις στα μέσα κοινωνικής δικτύωσης, τα δεδομένα του GPS, τις κρατήσεις σε ξενοδοχεία, το ιστορικό κλήσεων, αποτελούν πλέον εμπόρευμα που σε μορφή bulk (σσ μαζικά χωρίς όνομα αλλά με άλλα κλειδιά) πωλούνται και αποθηκεύονται σε servers ανά τον κόσμο, χωρίς ποτέ κανείς να έχει τη δυνατότητα να τα ελέγξει και να εξαλείψει πλήρως τα online ίχνη του.

Νωρίτερα αυτό το μήνα, οι συμμετέχοντες της CES πήραν μια γεύση του μέλλοντος με εκθαμβωτικές επιδείξεις ρομπότ παιχνιδιών, έξυπνους βοηθούς και διάφορες συσκευές AI / VR / 8K. Όμως, ανάμεσα σε όλες τις σημαντικές τεχνολογικές καινοτομίες στον ορίζοντα, ένα πράγμα παραμένει εκτός του μενού: ιδιωτικότητα των χρηστών.

Σύμφωνα με μια από τις κορυφαίες εταιρίες ασφαλείας, τη Webroot, τρεις είναι οι βασικές προκλήσεις για την ιδιωτικότητα και την ασφάλεια το προσεχές χρονικό διάστημα.
 


Βιολογικός κίνδυνος
 
Τα βιομετρικά χαρακτηριστικά ελέγχου ταυτότητας, όπως τα δακτυλικά αποτυπώματα, η ίριδα και η φωνή για να ξεκλειδώνουν τις συσκευές, θα αποδειχθεί ότι αποτελούν σημαντική απειλή για την ιδιωτική ζωή των χρηστών το 2018 και μετά. Από την πλευρά του χρήστη, αυτή η τεχνολογία εξομαλύνει τη διαδικασία επαλήθευσης ταυτότητας. Η ευκολία, τελικά, είναι το βασικό εμπόρευμα για το οποίο θυσιάζεται η προστασία της ιδιωτικής ζωής.

Η χρήση των βιομετρικών τεχνολογιών από τους καταναλωτές έχει σημειώσει πρόσφατα άνοδο, με τις συσκευές ανάγνωσης δακτυλικών αποτυπωμάτων να αποτελέσουν τη βάση για τα σύγχρονα smartphones. Το περασμένο φθινόπωρο, η Apple αποκάλυψε την τεχνολογία Face ID, προκαλώντας έντονη ανησυχία στις εταιρίες ασφαλείας. Ένας βασικός κίνδυνος όσον αφορά τη βιομετρική πιστοποίηση έγκειται στο δυναμική που έχει η χρήση της ως ενιαία μέθοδος για την πρόσβαση σε πολλαπλές συσκευές ή εγκαταστάσεις. Ο χρήστης δεν μπορεί να αλλάξει τα αποτυπώματά του. Η βιομετρική πρόσβαση ενέχει τους ίδιους κινδύνους με τη χρήση του ίδιου κωδικού πρόσβασης σε πολλούς λογαριασμούς.

Ο απόλυτος εφιάλτης όπως των περιγράφουν εταιρίες ασφαλείας είναι η εισβολή hackers σε βάσεις που περιέχουν βιομετρικά δεδομένα, από κει και μετά τα περιθώρια παραβιάσεων είναι δυνητικά αμέτρητα και όχι μόνο online.

Αυτό δεν σημαίνει ότι τα βιομετρικά στοιχεία δεν διασφαλίζουν κανέναν και ποτέ. Ωστόσο δεν αποτελούν την απόλυτη ασφάλεια, αντ αυτού ενέχουν και τον κίνδυνο που δημιουργεί η αίσθηση απόλυτης ασφάλειας στους χρήστες, καθιστώντας τους πιο επιρρεπείς σε πράξεις και κινήσεις που θα καθιστούν ευκολότερη την παραβίαση της ιδιωτικότητάς τους. Για την ώρα η πλέον ασφαλής λύση είναι ο έλεγχος ταυτότητας δύο παραγόντων.
 


Big Data, μεγάλες παραβιάσεις
 
Το 2017 αποδείχθηκε ότι κανείς δεν μπορεί να εγγυηθεί τίποτα. Αποκαλύψεις από την υποκλοπή λογισμικό της CIA και της NSA, μέχρι παραβιάσεις και υποκλοπές προσωπικών δεδομένων όπως της Uber, της Yahoo και τελικά η υπόθεση που κλυδωνίζει ακόμα τις ΗΠΑ και τα θεμέλια του χρηματοπιστωτικού συστήματος, η Equifax.

Η Equifax, βρέθηκε στην κορυφή των υποθέσεων παραβίασης προσωπικών δεδομένων και πληροφοριών (συμπεριλαμβανομένων των μητρώων κοινωνικής ασφάλισης στις ΗΠΑ), καθώς κλάπηκαν προσωπικά στοιχεία περίπου 140 εκατομμυρίων ανθρώπων, με μια επίθεση η οποία δεν έχει ακόμη εξιχνιαστεί. Η υπόθεση της Equifax ήταν τόσο ευρεία και μεγάλη ώστε επισκίασε άλλες παραβιάσεις Big Data, ακόμα και της Whole Foods, της Uber και της Yahoo.

Δεν φαίνεται κανένας -συμπεριλαμβανομένων των κυβερνητικών οργανισμών- να ήταν σε θέση να διασφαλίσει το απαραβίαστο από τους hackers και τις επιθέσεις.

Δυστυχώς, δεν υπάρχει εύκολη θεραπεία και η συνεχιζόμενη παγκόσμια εισβολή στην ιδιωτική ζωή των χρηστών οδηγεί τις αρχές στην θέσπιση και επιβολή νέου κανονιστικού πλαισίου, όπως το επερχόμενο GDPR για την προστασία των πολιτών της ΕΕ. Η επιτάχυνση της ανάπτυξης της τεχνολογίας, ενώ συνδέει τον κόσμο μας με τρόπους που ποτέ δεν φαινόταν δυνατόν, έχει επίσης ανατρέψει εκ βάθρων την προστασία της ιδιωτικότητας.
 


Η έλλειψη γνώσεων, ιδεών και ταλέντων
 
Το τρίτο μεγάλο ζήτημα που θα συνεχίσει να επηρεάζει την προστασία της ιδιωτικής ζωής, είναι η σημερινή έλλειψη νέων ταλέντων στον κλάδο της ασφάλειας στον κυβερνοχώρο. Αυτή η έλλειψη αποτελεί πραγματικό και σημερινό κίνδυνο. Σύμφωνα με μια έκθεση της Frost & Sullivan, το εργατικό δυναμικό για την ασφάλεια των πληροφοριών θα αντιμετωπίσει παγκόσμια έλλειψη ταλέντων που αποτιμάται στο 1,5 εκατομμύριο άτομα έως 2020.

Για κάποιες από αυτές τις ελλείψεις ευθύνη έχουν τα τμήματα διαχείρισης ανθρωπίνων πόρων (HR) των μεγάλων εταιριών καθώς δεν γνωρίζουν τι ποιότητες ακριβώς αναζητούν κατά την αξιολόγηση υποψηφίων. Η πραγματικότητα είναι ότι το πεδίο της ασφάλειας είναι σχετικά νέο και συνεχώς εξελίσσεται.
 
Άλλωστε, δεν είναι τυχαίο που οι εταιρίες ασφάλειας του internet που δημιουργούν νέες ομάδες εργασίας αναζητούν άτομα που δεν είναι απαραίτητο να έχουν πτυχίο προγραμματισμού ή μαθηματικών, αλλά κοινωνικές δεξιότητες, δυνατότητα ένταξης σε ομάδες και διαλειτουργικότητα.


Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

Τα μηνύματα που δημοσιεύονται στο χώρο αυτό εκφράζουν τις απόψεις των αποστολέων τους. Το ιστολόγιο μας δεν υιοθετεί καθ’ οιονδήποτε τρόπο τις απόψεις αυτές. Ο καθένας έχει δικαίωμα να εκφράζει την γνώμη του, όποια και να είναι αυτή.
Παρακαλούμε να γράφετε με Ελληνικούς χαρακτήρες, επίσης οι σχολιασμοί σας να μη ξεφεύγουν από τα όρια της ευπρέπειας.
Σχόλια τα οποία περιέχουν ύβρεις, θα διαγράφονται.
Τα σχόλια πλέον ελέγχονται από τους διαχειριστές του ιστολογίου, γιαυτό θα υπάρχουν καθυστερήσεις στην εμφάνιση τους. Γενικά γίνονται όλα αποδεχτά, εκτός από αυτά που είναι διαφημίσεις ή απάτες.
Σας ευχαριστούμε για την κατανόηση.
(επικοινωνία:eleftheroi.ellines@gmail.com)