Biometrie, op ons lijf geschreven? Een deur openen met een sleutel. Op een computernetwerk inloggen. We doen het dagelijks en gedachteloos en realiseren ons nauwelijks, dat de beschikking over het juiste voorwerp of het goede wachtwoord toegang verschaft tot een afgesloten ruimte of een beveiligd domein. Ook al is dat soms helemaal niet de bedoeling. Dat laatste wordt onmiddellijk duidelijk op het moment dat we onze sleutels kwijt zijn. Wie immers met een sleutel insluipt en het huis leegrooft, laat een gedupeerde eigenaar achter die bovendien tevergeefs zijn verzekeraar voor de schade aanspreekt. Ook het ongeoorloofd rondneuzen op computernetwerken is aan de orde van de dag. De juiste sleutel of het goede wachtwoord beschermen dus maar zeer beperkt tegen ongeoorloofde praktijken. Wie erover beschikt is al bijna binnen. Ongeacht wie de bezoekende persoon nu eigenlijk is. Het zou al schelen wanneer we kunnen vaststellen of een persoon ook werkelijk de persoon is waarvoor deze zich uitgeeft. En we dat gegeven bijvoorbeeld aan de toegangsverlening kunnen koppelen. Dan kan worden bepaald of deze persoon een wel of niet gewenste bezoeker is. En kan zijn bezoek vervolgens worden toegestaan of verhinderd. In feite beschikken we met het paspoort al heel lang over een dergelijk hulpmiddel. Het paspoort beoogt zekerheid te verschaffen over de vraag of de persoon die zich met het document meldt ook werkelijk die persoon is. Maar ook paspoorten worden vervalst en omdat de controle afhankelijk is van mensen die de gegevens op het oog moeten interpreteren, glipt nog te vaak iemand met een vals paspoort ongemerkt de grens over. Soms ook beschikt de fraudeur over authentieke documenten, zodat het document en de persoon volledig bij elkaar lijken te passen maar de ware identiteit van die persoon niet met het paspoort overeenstemt. Ook zo kan iemand onterecht door de controle komen zonder dat het opvalt. Ondubbelzinnige herkenning van personen Het is duidelijk, dat er al heel lang behoefte bestaat aan systemen waarmee op een ondubbelzinnige en betrouwbare manier personen herkend kunnen worden. Het liefst goedkope, gemakkelijk te installeren systemen. En die systemen bestaan of zijn volop in ontwikkeling. Irisscanners, vingerafdrukscanners zijn al lang geen science fiction meer en worden in steeds meer situaties toegepast. Het zijn voorbeelden van biometrie of meer in het algemeen de toepassing in systemen van anatomische, fysiologische of gedragskenmerken van personen, waardoor die personen ondubbelzinnig herkend kunnen worden. Biometrie is een technologie in opmars die ongekende en nog onverkende mogelijkheden biedt. Een simpel voorbeeld ter illustratie: biometrie kan ons verlossen van de aanzwellende stroom inlognamen en wachtwoorden waar we
ons als een rijstebrijberg doorheen moeten eten voordat we toegang krijgen tot de zegening van allerlei digitale paradijzen. Je zult in zo’n wereld maar aan Alzheimer lijden! De toename van biometrische toepassingen is dan ook onafwendbaar in een maatschappij die steeds verder digitaliseert, globaliseert en er niet bepaald veiliger op wordt. Of dat per saldo meer veiligheid oplevert, is niet goed voorspelbaar. Ook biometrie kent - hoe kan het ook anders –zijn risico’s op fraude en misbruik. De praktische gevolgen daarvan zijn bij grootschalige en brede toepassing niet goed bekend maar zullen ons zeker voor nieuwe uitdagingen stellen. Juist omdat biometrie een geheel nieuwe dimensie in beveiliging vertegenwoordigt. Over biometrie, de nieuwe dimensie, de ontwikkelingen, de toepassingen, de mogelijkheden én de risico’s en de rol die het Nederlands Biometrie Forum in de ontwikkeling wil spelen, daarover informeert deze brochure.
2
De nieuwe dimensie De nieuwe dimensie van biometrie is, dat het lichaam- of persoonskenmerken in een systeem verwerkt, met als doel te verifiëren of iemand de juiste persoon is. Maar dat er meer aan de hand is, wordt met het volgende voorbeeld duidelijk. Neem ons huidige paspoort. Dat was en is nog steeds een fysiek en tastbaar document bestaande uit papier, kunststof en inkt. Door het gebruik van allerlei ingenieuze technieken bij de productie is het niet eenvoudig na te maken. Controle van de echtheid en de identiteit van de drager wordt in de meeste gevallen zonder tussenkomst van apparatuur en op het oog uitgevoerd. Verwerken we biometrische gegevens in het paspoort, dan voegen we onvermijdelijk een aantal dimensies toe. Dimensies die uit de wereld van de automatisering komen. Bijvoorbeeld de uitleesapparatuur en de noodzakelijke programmatuur om de gegevens daadwerkelijk uit te lezen en te verwerken. Naast het fysieke reisdocument is er dus hard- en software nodig voor het inrichten van het technische systeem dat de biometrische gegevens functioneel maakt. En dat kan op zijn beurt niet zonder een organisatorisch systeem, waarbinnen dat technische systeem functioneert. Denk bijvoorbeeld aan het beheer van de hard- en software. Bovendien maakt dat alles weer deel uit van een organisatorisch systeem waaraan de specifieke biometrische toepassing zijn bestaansrecht ontleent, bijvoorbeeld de controleposten aan de buitengrenzen van Europa en de vliegvelden. Resultaat: een keten van afhankelijke systemen die goed op elkaar afgestemd moet zijn om te kunnen werken. Iedereen die enige ervaring met automatisering heeft weet wat dat betekent voor de inspanningen om zoiets succesvol op te zetten. En dan laten we afstemming over systeemstandaarden op nationaal, Europees of zelfs mondiaal niveau nog even buiten beschouwing.
Maatschappelijk vertrouwen Moet biometrie dan in de ban? Nee, integendeel. De belofte van biometrie verdient een ontwikkeling die de mogelijkheden en de risico’s verkent en de toepassing bevordert in een tempo dat ons de tijd geeft om bij te sturen en te leren hoe we eventuele risico’s binnen aanvaardbare grenzen kunnen houden. Het zijn vooral de toepassingen op beperkte schaal die ons daarbij de weg kunnen wijzen. Een mooi voorbeeld is de methadonverstrekking aan verslaafden, die gebruik maakt van de vingerafdruk van de verslaafde. Een succesvolle biometrietoepassing die in potentie echter ook de weg naar oneigenlijk gebruik in zich bergt. Het demonstreert hoe een systeem ook afspraken kan omvatten om bepaalde dingen te doen of na te laten. De 3
vingerafdrukken zouden immers ingezet kunnen worden bij het opsporen van daders, hetgeen overigens niet gebeurt. Die combinatie van lichaamkenmerken en systemen kan ook kwetsbaar maken. Een kwetsbaarheid die ons letterlijk direct aan het lijf raakt. Een mens beschikt maar over een beperkte hoeveelheid biometrische gegevens: 10 verschillende vingerafdrukken, twee handpalmen, twee irissen, twee gehoorgangen en één stem. Alleen dat al vraagt om een zekere mate van behoedzaamheid in het gebruik. Zijn deze gegevens bijvoorbeeld wegens fraude ‘opgebruikt’ dan kon dat voor de persoon in kwestie wel eens een vrijwel onoplosbaar probleem opleveren. Hoe onoplosbaar is afhankelijk van het soort gebruik, in hoeverre er alternatieven voor handen zijn en het belang dat met de toepassing gemoeid is. Technische ontwikkelingen kunnen ook leiden tot een meer verantwoorde toepassing van biometrie. Zo kunnen bijvoorbeeld biometrische gegevens versleuteld worden, zodat het zuivere biometrische gegeven in een toepassing onaangetast en dus beter beschermd kan blijven. Is dat versleutelen op dit moment een volwassen techniek, die direct kan worden toegepast? Nee, anno 2005 nog niet. Toch zijn dergelijke ontwikkelingen mede van belang voor het succes van biometrie. Dat succes is zoals bij elke nieuwe technologie uiteindelijk afhankelijk van het maatschappelijk vertrouwen dat erin wordt gesteld. En dat is ook gebaat bij technieken die de risico’s van biometrie helpen verminderen. Ook al zijn die niet zo snel toepasbaar en marktrijp als sommigen zouden willen. Dat brengt ons naar de industriële en politieke dimensie van biometrie. Van de industrie mogen we verwachten dat deze zal pushen om zo snel mogelijk tegemoet te komen aan de vraag van de markt en tevens de vraag zal aanwakkeren vanuit de technologische mogelijkheden die dezelfde industrie ontwikkelt. Van de politiek kunnen we afwisselende druk op versnelling dan wel vertraging van toepassing verwachten. Versnelling door bijvoorbeeld de maatschappelijke veiligheidsituatie en de mate waarin men denkt dat deze met biometrische toepassingen gebaat is. Omgekeerd mogen we van de politiek verwachten dat het grootschalige en brede toepassingen van biometrie afhoudt als blijkt dat er gevaar is voor ongewenste risico’s en gevolgen. Naar welke kant de balans doorslaat, is onvoorspelbaar en ook afhankelijk van de Europese en zelfs de mondiale situatie. Een actueel voorbeeld daarvan is de meest brede en grootschalige toepassing van biometrie die ons op dit moment te wachten staat: de invoering van het paspoort met biometrische gegevens. Dat is op Europees niveau beslist en
4
voor een deel het gevolg van de toelatingseisen die de Verenigde Staten aan haar landsgrenzen hanteert. Is met dat besluit het bewijs van maatschappelijk vertrouwen in biometrie bewezen? In de opinie van het NBF niet. Dat stelt zich op het standpunt, dat biometrie vertrouwen moet verdienen, zeker bij het grootschalig en breed inzetten van deze techniek. Daarmee positioneert het NBF zich als onafhankelijke instantie die ertoe bij wil dragen dat biometrie op een verantwoorde en nuttige manier wordt ingezet en zich zo verder kan ontwikkelen.
5
De rol van het NBF Het NBF wil de maatschappelijke betrouwbaarheid en de acceptatie van biometrie helpen realiseren door mee te werken aan het formuleren en toetsen van kwaliteitseisen, waaraan een concrete toepassing van biometrie in een specifieke omgeving moet voldoen. Aldus kan de visie van het NBF op biometrie in drie onderdelen worden samengevat: 1. met betrekking tot specifieke toepassingen, het bereiken van een dynamisch evenwicht tussen a. veiligheid b. vrijheid en c. anonimiteit 2. het leveren van een voortdurende inspanning om de maatschappelijke betrouwbaarheid op het gewenste peil te brengen en te houden 3. veel aandacht besteden aan kwaliteitseisen die aan een toepassing worden gesteld en de condities waaronder biometrie effectief kan worden toegepast. Vanuit deze visie wil het NBF komen tot veilige en betrouwbare biometrietoepassingen, die maatschappelijk zo breed mogelijk worden geaccepteerd. Het wil dat bereiken door biometrie op zijn merites te beoordelen en de voordelen en de risico’s van toepassingen en de maatschappelijke gevolgen daarvan zichtbaar te maken. De strategie van het NBF is erop gericht om te stimuleren dat de daarvoor noodzakelijke instrumenten ontwikkeld worden. In dat kader stelt het NBF een ambitieus meerjarenprogramma voor, dat door het NBF kan worden opgepakt, uitbesteed of aan andere instanties kan worden overgelaten. Dat meerjarenprogramma is onder meer bedoeld om te komen tot vaststelling van kwaliteitsnormen, een checklist voor risicoanalyse, etc. Veiligheid, vrijheid en anonimiteit In de visie van het NBF moet biometrie een balans zoeken tussen drie onafhankelijke maatschappelijke doelstellingen: veiligheid, vrijheid en anonimiteit. Deze drie doelstellingen kunnen nooit tegelijkertijd maximaal gerealiseerd worden. Maximale vrijheid staat nu eenmaal op gespannen voet met maximale veiligheid zo goed als maximale veiligheid onze maximale anonimiteit (privacy) wel móet uitsluiten. Elke biometrische toepassing is in dat licht een compromis. De mix van elementen die in de praktijk het uiteindelijke compromis bepalen, zijn wezenlijk voor de bruikbaarheid en dus het succes van de biometrische toepassing. Het gaat in die mix om de kwaliteit van de betrouwbaarheid; het 6
gebruiksgemak en de privacy. En hoewel de kwaliteitseisen die we in dat opzicht aan een biometrische toepassing stellen, per toepassing en in de tijd zullen verschillen, is betrouwbaarheid ongetwijfeld de meest kritische succesfactor. Een onbetrouwbare toepassing helpt zichzelf eerder om zeep, dan een die wat minder gemakkelijk in het gebruik is of onze privacy wellicht wat meer aantast dan we zouden wensen. Nu ontstaat wellicht de indruk dat het alleen om technische betrouwbaarheid van de toepassing gaat. Deze is essentieel, maar is slechts onderdeel van het systeem waarin de toepassing is ingebed. Het gaat om het totaal van het technische en organisatorische systeem waarin de toepassing betrouwbaar moet functioneren. En dat omvat bijvoorbeeld ook afspraken die we over de inzet van een bepaalde biometrische toepassing maken. Van die integrale betrouwbaarheid hangt immers de uiteindelijke acceptatie van het biometrisch systeem af en mogelijk zelfs de acceptatie van biometrie in zijn geheel als breed toepasbare techniek. Zo wordt meteen duidelijk, dat het vooral om maatschappelijke betrouwbaarheid gaat en dat is in de eerste instantie een sociaal vraagstuk. Het verwerven en handhaven van die betrouwbaarheid vergt dat we daar voortdurend inspanning voor leveren. Biometrie heeft nu eenmaal dimensies die onze verantwoordelijkheid voor het realiseren en bewaken van betrouwbare toepassingen ver uittilt boven afzonderlijke technische issues dan wel de behoeften van de markt.
Veiligheid
Vrijheid
Anonimiteit
7
Het Nederlands Biometrie Forum Het Nederlands Biometrie Forum (NBF) is in 2001 opgezet en bestaat uit deelnemers uit de volgende segmenten: - gebruikers van Biometrie, bijvoorbeeld banken, overheden en zorginstellingen, maar ook combinaties van bedrijven, bijvoorbeeld de Rotterdamse haven. - Aanbieders van producten en diensten rond biometrie - Researchinstellingen en universiteiten - Overheden als regelgevers en uitvoerders Het NBF richt zich op de maatschappelijke bewustwording en het veilig gebruik van biometrische toepassingen in Nederland. Het NBF bevordert de maatschappelijke acceptatie en de betrouwbaarheid van toepassingen in brede zin. Het ondersteunt activiteiten die tot doel hebben burgers vertrouwd te maken met deze technologie en stimuleert de totstandkoming van standaardisatie. Het NBF verzamelt en distribueert – waar gewenst en mogelijk – uitsluitend niet-commerciële informatie met betrekking tot biometrie en haar toepassingen.
Communicatie De site van het NBF www.biometrieforum.nl bevat informatie zoals publicaties, onderzoeksrapporten, links naar andere biometrische sites, evenementen, etc.. Het NBF zet zich in voor een goede communicatie rond biometrie in Nederland. Ook in Europa onderhoudt het NBF contact met vergelijkbare groepen en organisaties, onder meer in Duitsland, Italië, Engeland, Ierland en Frankrijk. Naast de Europese participatie heeft het NBF ook op mondiaal niveau de aansluiting met de ontwikkelingen in de VS, Canada en het Verre Oosten.
8
Biometrie, nader bekeken De functies die biometrie kan vervullen De functies die biometrie kan vervullen zijn talrijk en kunnen tot een veelheid van praktijktoepassingen leiden. Zo kan biometrie worden ingezet bij: 1. De controle of een persoon wel de juiste persoon is. Bijvoorbeeld bij het verlenen van toegang of het verstrekken van documenten. 2. Het realiseren van een betrouwbare koppeling tussen processen en gegevens zonder tussenkomst van de mens, bijvoorbeeld een menselijk tekort te compenseren, zoals een falend geheugen of bij handelingen die te ingewikkeld zijn. (Een voorbeeld is een biometrisch pasje met vingerafdrukherkenning waarmee de apotheek toegang krijgt tot de op de kaart opgeslagen individuele medische gegevens van Parkinsonpatiënten); 3. Instemming of goedkeuring door de persoon nadat is vastgesteld dat deze de persoon is waarvoor deze zich uitgeeft.; 4. Betrouwbare dienstverlening zonder tussenkomst van de mens nadat is vastgesteld of de betreffende persoon ook de persoon is waarvoor deze zich uitgeeft.; 5. Continuïteit van dienstverlening zonder tussenkomst van de mens (dag en nacht; tussen aansluitende schakels in een proces) na betrouwbare koppeling tussen processen en gegevens en na verificatie van de persoon waarop de dienst en de gegevens betrekking hebben; 6. Waarheidsvinding en bewijs inclusief het vaststellen van de juiste of ware identiteit van de betrokken persoon. De kwaliteitseisen van een biometrische toepassing zien er per functie anders uit.
Persoonsgebondenheid, anonieme en semi-anonieme biometrie Een biometrisch gegeven is altijd een persoonsgebonden gegeven: een vingerafdruk; de iris, de stem, etc. Iets dat van oorsprong zonder een persoon niet kan bestaan. Het is echter niet per definitie een persoonsgegeven. Wanneer de bijbehorende persoon met een redelijke inspanning niet kan worden achterhaald is het geen persoons- of gepersonaliseerd gegeven. In zo’n geval spreken we van anonieme biometrie. Van semi-anonieme biometrie spreken we als alleen de uitgever van een biometrisch instrument de identiteit kent van de persoon van wie het biometrische kenmerk is vastgelegd en anderen die niet kennen.
9
Meestal levert een anoniem of een semi-anoniem biometrisch gegeven een even trefzekere persoonsherkenning op als een gepersonaliseerd gegeven. Authenticatie, verificatie en autorisatie Biometrie is altijd gericht op controle en die kan bestaan uit een drietal mogelijkheden: - Autorisatie ofwel de controle van de rechten van een persoon. - Authenticatie ofwel de controle van de geldigheid van een token (bijvoorbeeld een parkeerkaart of een munt) of een document. - Verificatie waarbij wordt gecontroleerd of een persoon ook de juiste persoon is. In een schematische weergave worden deze drie handelingen verbonden door lijnen. Biometrie kan worden toegepast op al deze handelingen en op elk van de drie verbindingslijnen. Aan elke combinatie zitten weer andere voor- en nadelen met betrekking tot positieve effecten en risico’s.
proces of handeling
token of document
Authenticatie is de controle van de geldigheid van een token of document.
Autorisatie controleert de rechten van een persoon.
persoon van de houder of de gebruiker Verificatie controleert of de persoon ook de juiste persoon is.
In het licht van het voorgaande wordt duidelijk hoe multidimensionaal de problematiek van een betrouwbaar en maatschappelijk aanvaardbare toepassing van biometrische systemen kan zijn. Zeker wanneer we vaststellen, dat biometrie voor elk van deze handelingen kan worden toegepast, maar ook in systemen, waarin sprake is van een combinatie van
10
deze gebieden.
11
Biometrie, een stand van zaken De technische ontwikkeling van biometrie en zijn toepassing volgen een bepaald patroon. Rond 1995 zien we de eerste halffabrikaten op de markt verschijnen. Dat leidde tot allerlei ideeën over toepassingen en pilots om deze te testen. En hoewel er van een echte doorbraak nog steeds geen sprake is zien we inmiddels wel een groei van systemen met een specifieke functie op beperkte schaal toegepast. Deze maken voor het overgrote deel gebruik van vingerafdrukherkenning omdat deze techniek relatief goedkoop is. We zien het in toegangsverlening van vrachtrijders aan de poort van een containerterminal, sloten op woonhuizen, de opslag van medische gegevens op een chipcard, maar ook in computermuizen die met de juiste vingerafdruk toegang geven tot een netwerk of digitaal domein. Binnen zo’n beperkte toepassing lijkt het gebruik van vingerafdrukken als biometrisch gegeven goed hanteerbaar, ondanks het feit dat een vingerafdruk iets is, dat elk mens achteloos en overal achterlaat. Mocht er sprake zijn van misbruik, dan blijven bij een beperkte toepassing ook de gevolgen relatief beperkt. Ingrijpen is immers nog overzichtelijk in situaties waarbij de doelgroep klein is, de functie van de toepassing beperkt en de organisatie die de toepassing inzet bekend zijn. Het is de groep convenience-toepassingen in de zakelijke en huiselijke omgeving, die – naast hun directe nut – ook een goede proeftuin zijn bij het volwassen worden van biometrie, de acceptatie ervan en het ervaring opdoen met eventuele fraudegevoeligheid. Dat is nodig om bredere, grootschaliger toepassingen op een verantwoorde manier te realiseren. Grootschalige, brede toepassingen zijn er in Nederland nog niet. We doelen op toepassingen in een brede maatschappelijke context. De effecten van dergelijke toepassingen zijn per definitie groter en minder goed voorspelbaar dan van een toepassing op beperkte schaal. Inmiddels is er wel een beeld te schetsen waarop we bij het gebruik van biometrie – in het bijzonder bij brede toepassingen - moeten letten.
Waar we op moeten letten bij de toepassing van biometrie Hiervoor stelden we al vast, dat biometrie als techniek niet automatisch leidt tot meer veiligheid en betrouwbaarheid. Dat effect is namelijk vooral afhankelijk van de wijze waarop die toepassing fysiek is ingericht en de manier waarop dit alles is georganiseerd. Ook de menselijke factor speelt daarbij een belangrijke rol. Het gaat zogezegd om het totaalplaatje. Een voorbeeld ter illustratie:
12
Iemand beschikt over een toegangskaart met een chip waarin een biometrisch gegeven is opgeslagen, bijvoorbeeld de vingerafdruk. De kaart is niet van hem maar hij gebruikt hem desondanks om toegang te verkrijgen. Het is een flamboyante persoonlijkheid met het nodige acteertalent die het volgende scenario heeft bedacht: Hij maakt de chip in de kaart onklaar, bijvoorbeeld door er een flinke tik met een hard voorwerp op te geven. Vervolgens meldt hij zich doodleuk bij de controle. Liefst op het laatste moment en bij voorkeur in een drukke situatie. Uiteraard gaan alle bellen rinkelen als hij wordt gecontroleerd. Er worden een paar nieuwe pogingen ondernomen en ondertussen groeit de rij wachtenden. Van de onrust die ontstaat, maakt onze acteur gebruik. Hij speelt de vermoorde onschuld en doet dat bijzonder overtuigend. ‘Alle andere keren ging het wel goed. De apparatuur deugt niet. Hij heeft nooit problemen. Er staan belangrijke mensen op hem te wachten, etc., etc.’. Veel gebaren en misbaar. Hij legt zijn gehele gewicht in de schaal. Hij komt met aanvullende (biometrieloze) stukken waarmee hij zijn (beweerde) identiteit poogt te bewijzen. Dat ‘aanvullen bewijs’ wint in deze situatie aan geloofwaardigheid, omdat het onzichtbare biometriegegeven – nu het systeem weigert - zich nergens mee laat vergelijken. De dienstdoende controleur, toevallig niet zo’n ijzeren Hein, wordt nerveus en laat hem alsnog door. Of misschien heeft deze controleur toch nog de tegenwoordigheid van geest onze acteur apart te nemen en de procedure in te zetten, die in dergelijke gevallen geldt. Maar vaak is zo’n ‘fall back’ procedure niet zodanig ingericht, dat het dit soort gevallen weet af te vangen. Inmiddels heeft de vraag of deze persoon door de controle komt, met biometrie helemaal niets meer van doen maar is verworden tot een krachtmeting van persoonlijkheden. Bij de vraag waar we bij de toepassing van biometrie op moeten letten beschikken we inmiddels over de nodige fundamentele kennis. Hier volgt een beknopt overzicht: - Hoe groter het belang, dat met de toepassing tegen misbruik wordt beschermd, hoe groter de uitdaging om het systeem te kraken. Wanneer biometrie wordt ingezet in situaties waarin geld een rol speelt, bijvoorbeeld bij het verkrijgen van een uitkering of het beschikken over een banksaldo, is het belang aanzienlijk. Gaat in het bijzonder het om het bewijzen van iemands identiteit, dan kan het belang en daarmee de uitdaging om het systeem te kraken, nog vele malen groter zijn. Gezochte personen worden moeilijker grijpbaar wanneer ze de identiteit van een niet gezocht persoon kunnen aannemen en de systemen niet in staat zijn om de frauduleuze identiteit te herkennen. En wanneer een biometrisch systeem bovendien de schijn van betrouwbaarheid wekt, wordt de situatie nog ernstiger. Neem bijvoorbeeld de irisscan. Het is bepaald niet onmogelijk om een irisscansysteem om de tuin te leiden. En hoe vaker zich dit voordoet hoe ernstiger
13
en onoplosbaarder het probleem, àls het al wordt onderkend! - Hoe talrijker het aantal situaties waarin een algemene biometrietoepassing wordt gebruikt, hoe aantrekkelijker het wordt hiermee te frauderen. Ter vergelijking: het rijbewijs wordt in oneindig veel situaties geaccepteerd om de identiteit mee aan te tonen. Wordt enige biometrietoepassing even breed geaccepteerd, dan wordt het daarmee frauderen extra aantrekkelijk. Dat wordt nog eens versterkt wanneer het gebruik van die toepassing verplicht wordt gesteld. Is een dergelijke toepassing eenmaal gekraakt, dan verschaft dat een gegarandeerde toegang in al die situaties waarin die toepassing wordt gebruikt. - De situatie waarin een toepassing wordt gebruikt, bepaalt in belangrijke mate de kwetsbaarheid van de toepassing. De vraag waar de zwakke plek van een biometrische toepassing zit, is mede afhankelijk van de context waarin deze toepassing wordt ingezet. Die context is namelijk bepalend voor het gedrag van de mensen die aan het systeem worden onderworpen. Zo zullen reizigers graag bereid zijn om mee te werken aan een biometrisch controlesysteem, omdat men nu eenmaal belang heeft bij een vlot verlopende procedure. Wordt echter een biometrisch systeem ingezet in een strafrechtelijke situatie, dan is de kans groot, dat de persoon die aan dat systeem wordt onderworpen, het probeert te misleiden of te saboteren. Gevolg is, dat je er niet op kunt rekenen dat een biometrisch systeem, dat in de ene situatie goed functioneert, automatisch ook in de andere situatie even goed voldoet. Omgekeerd zie je ook, dat de zwakke plek van een systeem in de ene situatie, niet automatisch ook de zwakke plek in de andere situatie behoeft te zijn. Wat je wel zeker weet is, dat in beide situaties de zwakke plek wordt opgezocht en zal worden aangevallen.
- Toepassing van biometrie alléén in een 2e lijnscontrole is minder zinvol en berust op een misvatting. Gedoeld wordt op een systeem waarin bijvoorbeeld iedereen visueel wordt gecontroleerd en er alleen bij verdenking een tweede controlesysteem met biometrie wordt ingezet. De praktijk leert, dat handige fraudeurs een visuele controle wel weten te passeren. Gebruik van biometrie in de tweede controle leidt dan tot schijnzekerheid dat alle fraudeurs worden gepakt omdat de verdachte personen bij biometrische controle soms door de mand vallen. Maar daartegenover staat dat fraudeurs die in eerste aanleg niet als verdacht zijn aangemerkt, niet aan de biometrische controle worden onderworpen en zo ongemerkt de controle kunnen passeren. Resultaat is, dat tweedelijns biometrie dus vooral de trefkans van de visuele controle controleert. Daar speelt nog doorheen dat achterdochtige controleurs waarschijnlijk terughoudender zullen worden in het aanwijzen van verdachten, terwijl 14
omgekeerd de minder achterdochtige controleurs er helaas niet achterdochtiger door worden. - Biometrische algoritmen of toepassingen zijn op dit moment nog leverancier afhankelijk. Technisch en organisatorisch is dit extra problematisch als bij een toepassing apparatuur van verschillende leveranciers is betrokken. Maatregelen om het risico op fraude te beperken Kunnen we biometrische systemen zo inrichten, dat genoemde risico’s worden vermeden? Dat kan, maar het vergt een goed doordachte afstemming van technische, fysieke en organisatorische onderdelen van het systeem met inbegrip van de menselijke factor. Ook daarvoor zijn inmiddels wel bruikbare richtlijnen te geven. - Gebruik meer dan één controlegegeven en zorg ervoor, dat het extra gegeven afkomstig is uit een onverdachte bron. De essentie hiervan is tweeledig: één enkel controlemiddel biedt géén zekerheid. Een extra middel of meerdere controlemiddelen bieden meer zekerheid, maar alleen dan, wanneer de betreffende informatie niet door de gecontroleerde persoon wordt aangeboden. Die informatie is daardoor immers niet of minder bereikbaar voor fraudeurs. Een extra waarborg wordt ook verkregen, wanneer het systeem zodanig is ingericht, dat de gecontroleerde persoon in onzekerheid verkeert over waar die extra informatie voor de controle vandaan komt. Een voorbeeld van een dergelijke oplossing is het gebruik van een derde vingerafdruk die niet op het biometrisch document zelf aanwezig is. Steekproefgewijs (en natuurlijk bij verdenking) controleert men de persoon met de derde vingerafdruk. Matcht deze niet met de persoon dan is daarmee de identiteitsfraude ontdekt. - Zorg voor zoveel mogelijk onvoorspelbaarheid in het controlesysteem. Identiteitsfraudebestrijding wordt pas effectief als een identiteitsfraudeur in onzekerheid verkeert, waar, wanneer en hoe hij tegen de lamp zal lopen. Dat vereist een grote mate van onvoorspelbaarheid van het verloop van een identiteitscontrole en de daarbij gebruikte controlegegevens. Met geheime controle-instructies kunnen identiteitscontroles gevarieerder en voor de identiteitsfraudeur minder voorspelbaar worden gemaakt. - Zorg voor gelaagdheid in het systeem, bijvoorbeeld door biometrische en niet biometrische controlemiddelen te combineren. Afhankelijk van de toepassing worden meer of minder eisen aan de betrouwbaarheid van een systeem gesteld. In het algemeen kan worden gezegd, dat een systeem, dat gebruikt maakt van slechts één enkel biometrisch gegeven, minder veilig is dan wanneer er meerdere kenmerken worden gebruikt. Door 15
gelaagdheid in het systeem aan te brengen kan de fraudegevoeligheid worden verminderd. Denk bijvoorbeeld aan het gebruik van een vingerafdruk in combinatie met handgeometrie (de handvorm). Ook de combinatie van een biometrisch gegeven met een niet biometrisch controlemiddel, zoals de elektronische handtekening (PKI), is een voorbeeld van gelaagdheid die de betrouwbaarheid helpt vergroten. Het volgende voorbeeld demonstreert hoe gelaagdheid ook binnen één middel tot meerdere controlemogelijkheden kan leiden. Zo kan een portretfoto die op hoge resolutie is gedigitaliseerd, heel veel detailgegevens bevatten. Bijvoorbeeld tot en met het kleinste moedervlekje toe, hetgeen de identificatie van de gecontroleerde persoon verfijnder en dus betrouwbaarder maakt. Ook kan in zo’n foto een op het oog onzichtbaar patroon of watermerk worden verwerkt, waardoor namaak wordt bemoeilijkt en de controle wordt verbeterd. - Zorg voor scheiding van systemen. Dit lijkt op het inbouwen van gelaagdheid van controlemiddelen in een bepaald systeem. Maar een vermindering van risico op fraude kan ook worden bereikt, door meer dan één systeem in combinatie met elkaar of juist los van elkaar te gebruiken. Zo kan een bank bij kredietverlening een ander biometrisch systeem gebruiken dan bij een opname van kontanten. Bovendien kan de betrouwbaarheid nog extra worden vergroot door deze systemen te combineren met rekeningnummers en persoonsgegevens waar de bank al over beschikt. - Beperk het toepassingsgebied van een identiteitsinstrument. Beperking van het toepassingsgebied van een identiteitsmiddel vermindert de aantrekkelijkheid om ermee te frauderen. Ondanks die beperking kan het belang dat met het identiteitsmiddel is gemoeid zo groot zijn, dat het toch uitnodigt tot kraken. Dan is in elk geval bereikt, dat eventuele fraude tot het toepassingsgebied beperkt blijft. Het voorgaand geeft slechts een richting waarin de oplossingen gezocht moeten worden. Het maakt tevens duidelijk, dat er behoefte bestaat aan een visie en een strategie om biometrie op een verantwoorde manier in onze samenleving in te voeren.
16