生物識別技術的安全挑戰以及法律規范
如今,生物識別技術已成為最流行的趨勢之一,該趨勢旨在通過更具彈性的身份驗證機制來提高安全性并阻止網絡攻擊。目前,全球不僅面臨著越來越多的跨設備和系統的網絡威脅,冠狀病毒大流行還改變了消費者和企業對數字和物理風險的思考方式。
從安全的角度來看,生物識別技術具有明顯的優勢,特別是與其他多個因素(例如PIN或安全性問題)結合使用時。生物識別技術很難破解,對不良行為者的復制具有挑戰性,而且個人生物信息一直存在于我們身上,從方便角度看也有很大的優勢。從汽車、電子學習、物流、遠程醫療等,各行各業的公司越來越多地考慮使用生物識別接口來改善安全性和體驗。
雖然使用生物識別技術有很多好處,但是企業仍必須盡職的調查以及評估隱私和安全方面的一些挑戰和擔憂。
生物識別技術的挑戰
(1) 生物特征信息是唯一且不可改變的,如果生物特征信息遭到破壞或被盜,則是無法挽回的。 雖然個人生物特征有很多優點,比如:可以準確識別信息、被破解的幾率極低、被復制的難度很高。但這項極具發展前景的新興技術也是把雙刃劍,如果生物識別信息遭到破壞,那么損失也是慘重的。首先被盜的身份憑證可用于各種形式的盜竊,偽造和犯罪。其次,一個人的生物特征是無法替代的。
(2) 大規模實施生物識別技術的成本會很高。 大規模實施能夠支持多個地點、設備或人員的生物識別技術非常昂貴。基于AI的生物識別認證(例如面部或語音認證)所需的硬件、軟件、互操作性和云服務等,這些都不是簡單可以獲得的,更不用說還需為其提供支持的培訓、通信和安全資源的成本。
(3) 安全權衡。 盡管生物特征認證具有一定的安全優勢,但它在安全領域的其他地方也帶來了額外的安全隱患。終端掃描儀只是認證的其中一個節點,數據、服務器、網絡的滲透率代表著另一種攻擊媒介,這使得不法分子會不斷發展的欺詐技術、惡意使用AI功能進行模擬、使用社會工程學進行破壞。此外,由于生物特征數據在黑暗網絡上是十分昂貴和搶手的,所以,生物識別數據已經成為了黑客與防御者之間的重點關注對象。
(4) 誤差,不準確性。 與任何技術一樣,不準確的風險也是另一個考慮因素。生物特征識別有其自身的一系列機器缺陷,包括訓練數據中的偏差,由于錯誤掃描而導致的拒絕認證,割傷手指導致的無法進行認證,設備故障或漏洞,錯誤識別其他生物特征數據等等。
生物識別的法律問題
責任劃分不清。在美國,有關使用生物識別數據的法律高度分散,伊利諾伊州、德克薩斯州、華盛頓州、密歇根州、新罕布什爾州、阿拉斯加州和蒙大拿州存在著不同的法律。同時,歐盟的GDPR對敏感數據分類(包括生物識別數據)也有明確的劃分,可變承保范圍,按行業、客戶和雇員的不同,可變的追索權和先例都構成了迷宮式規則,其中存在著若干法律不確定性。
未完全成熟的技術可能面臨不同的突發情況。除了生物數據和接口周圍的法規灰色區域之外,新興技術在與現實世界融合時總是會產生意想不到的后果。隨著生物識別技術超越人類健康領域,將出現未開發的合法領土。一名安全黑客使用了德國政客的拇指的高分辨率照片,并使用商業軟件對其進行了重建,以證明通過指紋進行身份盜竊相對容易。最近,思科Talos研究發現,某些指紋掃描技術可能會因3D打印而受質疑。
認證的方式。數字認證把人們限制在了顯示屏上,而生物識別技術將數字認證的形式打破,延展到了物理世界中。比如:某些生物識別技術(例如指紋掃描儀)需要主動觸摸,而有些生物識別技術或許不需要人的主動參與(例如:聲音識別認證)。這些認證方式涉及面甚廣,包括嵌入式機器人、汽車、智能家居掃描儀等,生活中多領域引入生物識別就意味著法律要和實際情況相結合,不同的應用與針對不同的群體有著不同的法律規則。
企業生物識別實施步驟
生物識別技術有很多好處,但是這些技術,法律和道德方面的顧慮不能忽略。安全專業人員必須在評估生物特征時考慮到更廣泛的發展趨勢。
無論公司在生物識別評估中的位置如何,建議執行以下步驟:
(1) 進行全面而持續的盡職調查。與汽車領域相比,醫療領域的生物識別技術可能面臨威脅以及技術和法律不同挑戰。全面評估還涉及跨學科的方法,將跨多個領域的專業知識融合在一起。
(2) 優先考慮多因素身份驗證。生物識別技術是許多不同的潛在身份驗證因素之一。其他包括PIN,密碼和問題等。雖然使用多個身份驗證因素,會降低便利性,但出于安全性的角度考慮,建議可以在犧牲較小便利性的情況下,盡可能的選擇生物特征識別之外的其他因素保持安全性。
(3) 尋找靠譜的合作伙伴。生物識別行業到處都有開發創新系統和防護措施的公司,一些公司參加了更廣泛的聯盟和標準機構。將技術規范和原則納入供應商評估。
(4) 溝通了解更多相關問題。鑒于生物識別在技術、標準、法律、治理和社會價值上都存在極大的分散性,因此至關重要的是,公司必須更廣泛的與使用人員,財團,管理層和公民權進行互動。當涉及生物識別時,安全性問題永遠是站在第一位的。
本文翻譯自:https://jessgroopman.wordpress.com/2020/07/20/biometric-security-concerns-span-technical-legal-ethical/
