“Biometria w bankowo ści i administracji publicznej” · Biometria w bankowości i...
Transcript of “Biometria w bankowo ści i administracji publicznej” · Biometria w bankowości i...
Związek Banków Polskich
“Biometria w bankowości
i administracji publicznej”
Warszawa, 16 czerwca 2009r.
Praca zbiorowa pod redakcją
Dr hab. Remigiusza W. Kaszubskiego
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
2
Jednym z wyzwań najbliższych lat będzie zapewnienie najwyższego możliwego standardu
ochrony tożsamości. Świat rozwija się niezwykle dynamicznie wykorzystując gospodarkę
elektroniczną. Jedną z jej podstaw jest wykorzystywanie internetu i urządzeń elektronicznych
do świadczenia usług wymagających identyfikacji tożsamości. Tożsamość w społeczeństwie
informacyjnym, w którym wiele czynności wykonujemy bez bezpośredniego kontaktu z
przedstawicielem dostawcy usług i towarów, stała się niezwykle cenną wartością, a jej
ochrona priorytetem. Wykorzystanie nowoczesnych systemów komunikacji i potwierdzania
danych wymusiło poszukiwanie nowych rozwiązań dających jak największe
prawdopodobieństwo, że osoba, która używa konkretnych systemów uwierzytelniania i
identyfikacji, jest tą osobą której danych używa. Obecnie najnowocześniejszym rozwiązaniem
jest biometria.
Systemy wykorzystujące techniki biometryczne do potwierdzania tożsamości zaczynają
znajdować zastosowania na całym świecie. W Polsce biometria jest również przedmiotem
prac środowisk, dla których uwierzytelnienie i identyfikacja mają szczególne znaczenie. Prace
dotyczące zastosowania biometrii prowadzone są zarówno przez przedstawicieli rządu,
sektora bankowego i handlu elektronicznego. Mimo zainteresowania biometrią, nie było
dotychczas w Polsce źródła informacji, które w rzetelny i zrozumiały dla zainteresowanych
stron sposób dokonało analizy biometrii.
W 2007 roku w ramach Forum Technologii Bankowych (FTB) przy Związku Banków Polskich
(ZBP) powstała - Grupa ds. Biometrii, która miała na celu popularyzację zastosowania
biometrii w Polsce, jak i edukację - środowiska bankowego i administracji publicznej. Grupa
ds. Biometrii zrzesza obecnie zarówno reprezentantów banków, dostawców technologii
biometrycznych, integratorów systemowych, dostawców rozwiązań dla kart płatniczych,
niezależnych ekspertów ze środowisk bankowych jak i reprezentantów świata nauki.
Przedstawiciele grupy aktywnie uczestniczą w tworzeniu europejskich standardów wydawania
i użytkowania paszportów biometrycznych, narodowych kart identyfikacyjnych (eID) oraz
dokumentów pobytu. W 2008 roku Grupa ds. Biometrii aktywnie uczestniczyła w wielu
specjalistycznych konferencjach m.in. III i IV Kongresie Gospodarki Elektronicznej, gdzie
dzieliła się swoimi doświadczeniami dotyczącymi biometrii, a także III edycji konferencji
Bezpieczeństwo Transakcji Elektronicznych, dot. m.in. biometrii w bankowości i administracji.
Eksperci Grupy ds. Biometrii uczestniczyli w serii debat dotyczących strategii społeczeństwa
informacyjnego w Polsce jak i pracach związanych z nowelizacją ustawy dotyczącej podpisu
elektronicznego. Jednakże głównym celem Grupy było stworzenie pierwszego w Polsce
raportu biometrycznego, który stanowiłby rzetelne źródło informacji na temat biometrii dla
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
3
polskiego sektora bankowego i innych usług finansowych, administracji publicznej, a także
wszystkich innych podmiotów zainteresowanych tematem.
W wyniku prac, Grupa ds. Biometrii FTB ma przyjemność przedstawić publikację -
“Biometria w bankowości i administracji publicznej”, w której znajdą Państwo zarówno opis
technologii biometrycznych, możliwych zastosowań biometrii, historii jej najciekawszych
wdrożeń, ale także zasygnalizowanie aspektów prawnych i społecznych biometrii oraz
informację na temat jej wprowadzania w Polsce.
W imieniu Członków Grupy ds. Biometrii FTB i wszystkich autorów niniejszej publikacji
zapraszamy do lektury.
Dr hab. Remigiusz Kaszubski
Adiunkt WPiA UW
Dyrektor ZBP
Członek Zarządzający
Prezydium Forum Technologii Bankowych
Tadeusz Woszczyński
Przewodniczący Grupy ds. Biometrii FTB
Dyrektor Pionu Rozwiązań Systemowych
Hitachi Europe Ltd.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
4
Spis treści
1. Wprowadzenie …………………………………………………………….. 7
1.1. Słowo wstępne …………………………………………………………... 7
1.2. Biometria ………………………………………………………………… 9
2. Technologie biometryczne ………………………………………………… 11
2.1. Biometria palca ………………………………………………………….. 12
2.1.1. Biometria linii papilarnych palca ……………………………………… 12
2.1.2. Biometria naczyń krwionośnych palca ………………………………... 13
2.2. Biometria podpisu odręcznego …………………………………………... 15
2.3. Biometria tęczówki ……………………………………………………… 16
2.4. Biometria siatkówki oka ………………………………………………… 18
2.5. Biometria dłoni ………………………………………………………….. 19
2.6. Biometria głosu ………………………………………………………….. 20
2.7. Biometria twarzy ………………………………………………………… 21
3. Bezpieczeństwo w biometrii ………………………………………………. 22
3.1. Przechowywanie danych biometrycznych ………………………………. 22
3.2. Porównywanie danych biometrycznych ………………………………… 25
3.3. Testowanie autentyczności danych biometrycznych ……………………. 26
3.4. Przeciwdziałanie nielegalnemu wykorzystaniu wzorców biometrycznych 27
4. Standaryzacja biometrii ……………………………………………………. 29
5. Społeczne i prawne aspekty biometrii …………………………………….. 34
6. Uwierzytelnienie tożsamości w bankach ………………………………….. 40
7. Wybrane praktyczne zastosowania biometrii na przykładzie bankowości ... 43
7.1. Strona klienta banku …………………………………………………….. 44
7.1.1. Autoryzacja transakcji w banku ……………………………………….. 44
7.1.2. Autoryzacja transakcji typu „over the counter” (w
kasach/okienkach/bankowych) ……………………………………………….
50
7.1.3. Autoryzacja transakcji w bankach internetowej .…………………….... 52
7.1.4. Kontrola dostępu do skrzynek depozytowych ………………………… 54
7.1.5. Uwierzytelnianie biometryczne w terminalach POS ………………….. 55
7.1.6. Uwierzytelnianie płatności mobilnych ………………………………… 56
7.2. Bezpieczeństwo wewnętrzne banku ……………………………………... 57
7.2.1. Fizyczna kontrola dostępu do krytycznej infrastruktury ………………. 57
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
5
7.2.2. Rejestracja czasu pracy ………………………………………………... 58
7.2.3. Zabezpieczenie przed utratą danych …………………………………... 60
7.2.4. Logowanie do systemów informatycznych ……………………………. 61
7.2.5 Cash-less catering: „biometryczna stołówka” …………………………. 62
8. Wybrane wdrożenia biometrii w Polsce i na świecie ……………………… 63
8.1. Wzrost zapotrzebowania na rozwiązania biometryczne ………………… 64
8.1.2 Biometria a problem prywatności ……………………………………… 64
8.1.3. Najczęściej stosowane technologie biometryczne i ich ograniczenia …. 66
8.2 Świat ……………………………………………………………………… 67
8.2.1. Projekt biometryczny w Kolumbii – Bank BanCafe ………………….. 67
8.2.2. Projekt biometryczny w Japonii – największy projekt biometryczny na
świecie ………………………………………………………………………...
68
8.2.3. Projekty biometryczne w USA i Kanadzie ……………………………. 71
8.2.3.1. Projekty małe, których głównym celem była nowa funkcjonalność, duża wygoda dla użytkownika oraz redukcja kosztów eksploatacji ………….
71
8.2.3.2. Projekty o większej skali, w których technologie biometryczne
pozwoliły udoskonalić już funkcjonujące systemy, a nawet wyeliminować powstałe w nich ograniczenia ………………………………………………...
73
8.2.3.3. Projekty duże, których podstawowym celem jest podniesienie
bezpieczeństwa systemów kontroli dostępu w złożonej infrastrukturze ……...
74
8.2.4. Biometria w europejskich systemach Eurodac, SIS II i VIS ………….. 75
8.2.5. Paszport biometryczny ………………………………………………… 79
8.2.5.1. Od Paszportu do biometrycznego e-Paszportu ……………………… 79
8.2.5.2. Biometria w dokumentach podróżnych ……………………………... 81
8.2.5.3. Weryfikacja autentyczności dokumentów, ochrona dostępu do
danych, uwierzytelnienie podmiotów ………………………………………...
82
8.3. Polska ……………………………………………………………………. 86
8.3.1 Porównanie regionalne ……………………………………………….. 86
8.3.1.1 Możliwości wykorzystania biometrii ………………………………... 88
8.3.2. Wdrożenie polskiego paszportu biometrycznego ……………………... 91
8.3.2.1 Pierwszy etap wdrożenia polskiego paszportu biometrycznego ……... 92
8.3.2.2 Drugi etap wdrożenia polskiego paszportu biometrycznego ………… 93
8.4. Projekty w latach 2009-2012, w których biometria może odnieść znaczącą rolę ………………………………………………………………….
94
8.4.1 Polski paszport biometryczny – dodanie drugiej cechy biometrycznej ... 94
8.4.2 PL ID …………………………………………………………………. 96
8.4.3 Narodowa karta zdrowia ……………………………………………….. 97
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
6
8.4.4 Zastosowanie biometrii w zakresie podniesienia bezpieczeństwo
imprez masowych – Euro 2012 ……………………………………………….
100
9. Podsumowanie …………………………………………………………….. 103
10. Autorzy raportu …………………………………………………………... 105
11. Literatura …………………………………………………………………. 113
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
7
1. Wprowadzenie
1.1 Słowo wstępne
Sławomir Cieśliński
Medien Service
Dr hab. Remigiusz Kaszubski
Wydział Prawa i Administracji Uniwersytet Warszawski
Związek Banków Polskich
Rozwój cywilizacji jest skutkiem pracy ludzi, którzy starają się w najlepszy możliwy sposób
wyjść naprzeciwko oczekiwaniom społeczeństw, w których żyją. XXI wiek wprowadza
człowieka do kolejnej epoki. Będzie to czas masowego wykorzystania biotechnologii,
robotyki, nanotechnologii, teleinformatyki i genetyki. To początek zmian, które doprowadzą
do wielkich przełomów w nauce i zmienią styl życia Człowieka.
Zjawiska społeczne, gospodarcze i polityczne, które można obserwować od końca XX w.
określiły kierunek masowego wykorzystania kontaktów na odległość z wykorzystaniem
narzędzi teleinformatycznych. To wygodny, szybki i efektywny kosztowo sposób
dostarczania wiedzy, komunikacji, ofert i zawierania kontraktów handlowych.
Początkową wadą komunikacją na odległość była szybkość przekazu danych. Obecnie, gdy
Internet i urządzenia elektroniczne dostarczają nam wielu produktów, największym
wyzwaniem stała się wiarygodność procesu komunikacji i zawierania transakcji. Wraz z
rozwojem, szeroko rozumianego, handlu elektronicznego stał on się obiektem
zainteresowania ludzi nieuczciwych. Ryzyko oszustwa elektronicznego rośnie wprost
proporcjonalnie do uczestników obrotu elektronicznego. Z kolei odpowiedzią na wzrost
przestępczości elektronicznej jest wprowadzanie nowoczesnych sposobów zabezpieczeń i
ochrony tożsamości.
Wiarygodne ustalenie stron i przedmiotu transakcji finansowej, czy postępowania o
charakterze administracyjnym, zawsze stanowiło o istocie bezpieczeństwa tego rodzaju
działań. I podobnie jak to się dzieje w historii oręża, pojedynek pocisk kontra pancerz, czyli z
jednej strony tworzenie nowych zabezpieczeń, a z drugiej – coraz skuteczniejszych narzędzi
do przełamywania tych zabezpieczeń – dotyczy w sposób szczególny identyfikacji i
uwierzytelnienia stron transakcji finansowych i postępowania administracyjnego.
Postęp technologiczny dokonany w XX wieku wniósł w dziedzinę szeroko rozumianych
zabezpieczeń narzędzia i środki związane z technologią elektroniczną i informatyczną, czego
materialnym świadectwem pozostaje mikroprocesor. Ale proces doskonalenia instrumentów
zabezpieczeń elektronicznych i informatycznych na poziomie hardwarowym czy
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
8
softwarowym jest już niewystarczający w walce z różnego rodzaju przestępczością
nakierowaną na kradzież tożsamości stron transakcji czy postępowania administracyjnego. W
warunkach funkcjonującej nowoczesnej gospodarki oraz coraz bardziej mobilnego
społeczeństwa problem ochrony tożsamości należy rozpatrywać w odniesieniu do milionów
podmiotów, maksymalnie skróconych czasokresów pojedynczej transakcji, a w końcu także
minimalizacji ich łącznych kosztów.
Biometria jest odpowiedzią na istotną część wyzwań związanych z gospodarką cyfrową..
W przodujących ekonomicznie i technologicznie krajach świata zastosowanie technologii
biometrycznych, a także nieustanny ich rozwój i doskonalenie, odbywa się już od kilkunastu
lat. W Polsce temat biometrii i jej praktycznych zastosowań jest jednak nadal postrzegany
jako przedmiot analiz a nie wdrożeń. Jest to skutek niewystarczającej wiedzy o tej nauce i
możliwości jej wykorzystania w praktyce.
Zadanie zmiany tego stanu rzeczy w odniesieniu do tematyki biometrycznej wzięło na siebie
Forum Technologii Bankowych przy Związku Banków Polskich. Forum już wcześniej
zaangażowało się w przybliżanie środowisku bankowemu, administracji rządowej i
samorządowej, przedsiębiorcom i środowisku naukowemu, nowoczesnych rozwiązań
organizacyjnych i technologicznych. Potencjał wiedzy i doświadczeń podmiotów zrzeszonych
w Forum zajmujących się biometrią w różnych jej aspektach, dał podstawę do utworzenia w
2007 roku w ramach Forum specjalistycznej Grupy ds. Biometrii. Wiodącym celem Grupy
było opracowanie gruntownej analizy dotyczącej biometrii.
Opracowana w gronie specjalistów analiza zatytułowana „Biometria w bankowości i
administracji publicznej” jest już dostępna.
Podstawowym celem opracowania jest przybliżenie wiedzy o możliwościach praktycznego
zastosowaniach technologii biometrycznych.
W ramach przedkładanej publikacji wskazujemy możliwe zastosowania biometrii jak i
wdrożone i funkcjonujące rozwiązania. Do minimum ograniczamy techniczno – naukowe
aspekty metod biometrycznych. Dopełnieniem problematyki technicznej i naukowej
towarzyszącej biometrii są zagadnienia ekonomiczne i prawne. Publikacja jest dedykowana
osobom pracującym w bankach, instytucjach finansowych i jednostkach administracji
publicznej, które odpowiadają za ich rozwój i funkcjonowanie w warunkach stale
zmieniającej się ekonomicznej i społecznej rzeczywistości. Zdaniem autorów technologie
biometryczne mają przed sobą perspektywę powszechnego wykorzystania.
Biometria to już teraźniejszość, a nie przyszłość.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
9
1.2. Biometria
Adam Czajka
NASK
Etymologia słowa biometria (ang. biometrics) to pomiar własności istot żywych. Termin ten
pochodzi od słów języka greckiego: bios, oznaczającego „życie” oraz metron – „pomiar”.
Pierwotne znaczenie tego słowa nie precyzuje celu w jakim pomiar jest wykonywany ani
sposobu dokonywania tego pomiaru. I choć obecnie termin ten funkcjonuje w kontekście
pomiarów medycznych, to dynamiczny rozwój możliwości pomiarowych, a przede wszystkim
obliczeniowych w ubiegłym wieku, doprowadził do powstania alternatywnego znaczenia tego
terminu odnoszącego się do pomiarów w celach automatycznego uwierzytelniania
tożsamości. W niniejszym raporcie biometria jest rozumiana w tym drugim znaczeniu, przy
czym szczególnie istotne jest, iż decyzja odnośnie tożsamości osoby podejmowana jest w
sposób automatyczny. Pierwsze przykłady biometrycznego uwierzytelniania tożsamości miały
miejsce już w VII w p.n.e. w Starożytnych Chinach, Babilonii i Asyrii, jednakże dopiero
możliwości systemów komputerowych, które pojawiły się w latach 60 XX wieku
spowodowały, iż uwierzytelnianie wykorzystujące cechy biometryczne stało się możliwe do
przeprowadzenia w sposób automatyczny - przez maszynę (bez nadzoru człowieka).
Zadanie uwierzytelniania tożsamości osoby może zostać podzielone na dwie kategorie.
Pierwsza kategoria dotyczy potwierdzenia (weryfikacji) tożsamości, druga ustalenia
(identyfikacji) tożsamości. Metody zakwalifikowane do grupy pierwszej potwierdzają tezę o
posiadaniu przez osobę weryfikowaną takich cech, jakie zostały zapamiętane przez system w
procesie rejestracji osoby w systemie. Techniki grupy drugiej ustalają, który zestaw cech ze
wszystkich zapamiętanych przez system odpowiada zestawowi cech osoby weryfikowanej.
Należy być jednocześnie ostrożnym ze stwierdzeniem, iż system biometryczny „rozpoznaje
osobę”. System biometryczny sprawdza jedynie dopasowanie zestawu cech obserwowanego
obiektu do zestawu cech zapamiętanego wcześniej, co jest jedynie elementem wpływającym
na końcową decyzję odnośnie rozpoznania danej osoby.
Obecne systemy biometryczne wykorzystują do pomiaru różne części naszego ciała oraz
cechy naszego zachowania. Ze względu na typ mierzonych wielkości dokonuje się zatem
dodatkowego podziału metod biometrycznych na biometrie cech fizycznych oraz biometrie
behawioralne. Podział ten nie jest jednak ścisły, i aby poprawnie zaklasyfikować daną
biometrię do jednej z dwóch klas, należy rozstrzygnąć czy pomiar wymaga od nas
świadomego działania ukazującego cechy naszego zachowania. Do najpopularniejszych
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
10
biometrii wykorzystujących cechy fizyczne zaliczyć z pewnością możemy biometrię linii
papilarnych, tęczówki, żył dłoni, palca lub nadgarstka, geometrii twarzy, czy też geometrii
dłoni. Przykładami biometrii behawioralnych może być natomiast biometria podpisu
odręcznego, biometria głosu (ale nie rozpoznawanie mowy) czy też techniki analizujące fale
mózgowe (EEG).
Należy również pamiętać, iż biometria łączy się nierozerwalnie z zagadnieniami
bezpieczeństwa, zarówno w kontekście zwiększania bezpieczeństwa wynikającego z
właściwego zastosowania tych technik (dokładniejsza identyfikacja osób, powiązanie innych,
istniejących identyfikatorów z ich właścicielem), jak i zapewniania bezpieczeństwa samej
biometrii (m.in. bezpieczeństwo przechowywania i transmisji danych biometrycznych oraz
test żywotności).
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
11
2. Technologie biometryczne
Wprowadzenie: Adrian Kapczyński
AutoID Polska SA
Jednym z koniecznych elementów zapewnienia bezpieczeństwa systemów informatycznych
jest uwierzytelnianie użytkowników, które wiąże się z weryfikacją tożsamości.
Uwierzytelnienie wykorzystujące wiedzę użytkownika (hasło, pin) lub posiadany
identyfikator (karta), a nawet kombinacja tych metod nie gwarantuje, że dostęp do systemu
uzyskuje właściwy użytkownik, a nie osoba będąca w posiadaniu hasła lub identyfikatora.
Metody te wymagają od użytkownika pamiętania hasła lub dysponowania w danym
momencie określonym materialnym przedmiotem. Konsekwencją powyższego są problemy
związane z zapomnieniem hasła lub utratą przedmiotu.
Wad tych pozbawione są technologie biometryczne wykorzystujące cechy budowy fizycznej
lub zachowania człowieka. Twórcy technologii biometrycznych wyszli z założenia, że każdy
użytkownik posiada w sobie wiele kluczy, które mogą posłużyć do jego uwierzytelniania w
systemach informatycznych. Aby dana cecha człowieka mogła zostać uznana za taki klucz,
powinna posiadać m.in. następujące atrybuty:
� powszechność - analizowana cecha powinna występować u większości osób,
� mierzalność - możliwość dokonania wielokrotnego nieinwazyjnego pomiaru danej
cechy,
� indywidualność - cecha powinna być charakterystyczna dla danej osoby,
� niezmienność - cecha powinna być stała i nie zmieniać się w związku ze starzeniem
się lub przebytymi chorobami,
� niepodrabialność - trudność podrobienia danej cechy.
Wśród technologii biometrycznych możemy wyróżnić technologie oparte o cechy anatomii:
np. biometrię tęczówki oka, linii papilarnych, geometrii twarzy, geometrii dłoni, układu
naczyń krwionośnych w nadgarstku lub palcu oraz o cechy zachowania: np. biometria
podpisu, biometria pisania na klawiaturze czy biometrię ruchu gałki ocznej.
Dobór technologii biometrycznej powinien uwzględniać stopień spełnienia przez daną
technologię wymogów powszechności, indywidualności, trwałości, mierzalności oraz
akceptowalności. Należy również wziąć pod uwagę kryteria związane stricte z systemem,
który implementuje zadaną technologię. Do kryteriów tych należy zaliczyć te posiadające
naturę:
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
12
• techniczną: parametry czasowe systemu (czas rejestracji wzorca, czas weryfikacji wzorca),
parametry wydajnościowe systemu (wartości wskaźników błędnych akceptacji oraz
błędnych odrzuceń), parametry techniczne czytnika biometrycznego (w tym zdolność do
testowania żywotności), zdolność systemu do pracy w trybie identyfikacji/weryfikacji,
możliwość integracji z istniejącą infrastrukturą informatyczną i inne;
• pozatechniczną: rozmiar grupy użytkowników, akceptowalność przez użytkowników,
wygodę korzystania, kwestie prawne i ochrony prywatności, koszty (sprzętu,
oprogramowania (licencji), instalacji, testowania, eksploatacji i pielęgnacji systemu oraz
szkoleń).
Kryteria i technologia są też podstawą do wyodrębnienia z ludzkiego organizmu konkretnego
„klucza”.
2.1. Biometria palca
2.1.1. Biometria linii papilarnych palca
Adrian Kapczyński
AutoID Polska SA
Biometria linii papilarnych jest jedną z najwcześniej wykorzystywanych cech anatomicznych
w weryfikacji tożsamości (odciski palców służące potwierdzeniu transakcji handlowych
spotykane były już w X w. p.n.e. w Babilonie).
Linie papilarne zostały sklasyfikowane już w XVII
w. przez prof. M. Malpighiego, a w roku 1823r.
prof. J. Purkynie opracował zestaw dziewięciu
głównych wzorów linii papilarnych.
Do podstawowych wzorów linii papilarnych
zaliczono: łuk (ang. Arch), pętlę (ang. Loop) oraz
wir (spiralę) (ang. Whorl). Kluczowym w historii
były badania F. Galtona, który wprowadził pojęcie
detali (określane również mianem minucji) oraz
opublikował prace poświęcone unikalności oraz
niezmienności odcisków palców. Klasyfikacja oraz porównywanie odcisków palców bazuje
na porównaniu detali wyróżnionych w obrazach linii papilarnych. Przykłady detali, to:
zakończenie (ang. Ridge ending), rozdwojenie (ang. Bifurcation), ogrodzenie (ang.
Rys. 1.1 Obraz odcisku palca
Źródło: pagesperso-orange.fr
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
13
Enclosure) oraz wyspa (ang. Island). W 1918r. E. Locard opracował zasadę, iż 12
identycznych detali pozwala wnioskować o identyczności dwóch odcisków palców. Zasada ta
obowiązuje do dzisiaj w praktyce policyjnej. Pomiar cechy biometrycznej może być
realizowany z wykorzystaniem czytnika linii papilarnych – najczęściej optycznego,
pojemnościowego lub ultradźwiękowego.
Wady technologii biometrycznej opartej o wzór linii papilarnych związane są z samą
charakterystyką biometryczną. Istnieje bowiem silny wpływ stanu powierzchni palca, jej
uszkodzenia, zabrudzenia, a także stopnia nawilżenia, na wynik pomiaru.
Zastosowania omawianej technologii są bardzo szerokie, począwszy od kryminalistyki,
sądownictwa przez potrzeby wojskowe, po kontrolę dostępu do stacji roboczych i sieci
komputerowych oraz kontrolę dostępu w urządzeniach elektronicznych, takich jak komputer
przenośny lub telefon komórkowy.
2.1.2. Biometria naczyń krwionośnych palca
Adrian Kapczyński
AutoID Polska SA
Dla potrzeb identyfikacji osobniczej mogą być wykorzystywane charakterystyki naczyń
krwionośnych palca. Akwizycja charakterystyki
Rys. 1.2 Przykład czytnika biometrycznego
wykorzystującego odcisk palca
Źródło: Sony
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
14
biometrycznej następuje przez rozwiązanie
sprzętowe emitujące światło bliskiej
podczerwieni. Ten rodzaj światła
pochłaniany jest przez hemoglobinę, co
pozwala sensorowi (kamera CCD) na
uzyskanie obrazu naczyń krwionośnych.
W tradycyjnych systemach obrazowania
naczyń krwionośnych wykorzystuje się
metodę naświetlania opartą o odbicie światła
lub metodę opartą o transmisję światła. W przypadku pierwszej metody urządzenie
pomiarowe jest niewielkich rozmiarów, obszar działań jest otwarty, a uzyskany obraz naczyń
krwionośnych posiada niski kontrast. W przypadku drugiej metody, urządzenie pomiarowe
jest większe, obszar operacji zamknięty, a wzorzec posiada wysoki kontrast. Najnowsze
podejście łączy zalety dwóch wcześniej opisanych metod i polega na bocznym naświetlaniu
naczyń krwionośnych.
Po akwizycji obrazu naczyń krwionośnych następuje jego normalizacja, a w dalszej
kolejności ekstrakcja cech charakterystycznych oraz proces dopasowywania wzorców.
Do szczególnych zalet omawianej biometrii należy zaliczyć wygodę, skuteczność,
akceptowalność, bezkontaktowość, szybkość oraz odporność na sfałszowanie w drodze
konstrukcji fałszywej repliki biometrycznej.
Rys. 1.3 Obraz naczyń krwionośnych palca z którego
ekstrahowany jest wzór wykorzystywany jako dana
biometryczna
Źródło: Hitachi
Rys. 1.4 Przykładowy tablet wykorzystywany do rejestracji podpisu w systemach on-line
Źródło: Hitachi
Wynik
2.Normalizacja 3.Ekstrakcja 4. Dopasowanie
Proces dopasowania
1.Akwizycja
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
15
Zalety rozwiązań opartych o charakteryzowaną biometrię
pozwalają na jej zastosowanie m.in. jako systemów
kontroli dostępu w inteligentnych budynkach, jak również
dla potrzeb sektora bankowego – poczynając od logowania
do aplikacji bankowej, po uwierzytelnianie transakcji
finansowych.
2.2. Biometria podpisu odręcznego
Adam Czajka, Andrzej Pacut
NASK
Biometria podpisu odręcznego wykorzystuje sposób
weryfikacji tożsamości stosowany od dawna przez
człowieka, jest więc łatwo akceptowalną metodą
biometryczną. Systemy weryfikujące podpis mogą badać
podpisy już złożone (tzw. systemy off-line), lecz większą
dokładność zapewniają systemy, które „obserwują” podpis
w czasie jego składania (tzw. systemy on-line).
Użycie odpowiedniego tabletu graficznego w
systemach on-line (rys. 2.1) w stanowisku
składania podpisu umożliwia rejestrację
podpisu uwzględniającą zarówno jego
charakterystykę wizualną (dwuwymiarowy
obraz), jak również sposób, w jaki podpis
został złożony, tj. szybkość podpisywania,
nacisk na papier, sposób trzymania długopisu,
pióra, ołówka itd. Każdy zarejestrowany
podpis jest prezentowany jako ciąg wektorów,
zawierający przebieg wybranych wielkości w
czasie podpisywania. Na podstawie tych danych możemy z dużą dokładnością modelować
dynamikę ruchu, która zawiera najwięcej cech osobniczych.
Rys. 1.5 Czytnik naczyń
krwionośnych Finger Vein ID
wykorzystywany w bankomatach i
czytnikach kontroli dostępu do
pomieszczeń.
Źródło: Hitachi
Rys. 2.1 Przykładowy tablet wykorzystywany do
rejestracji podpisu w systemach on-line.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
16
Jedne z najlepszych technik porównywania tak zarejestrowanych podpisów wykorzystują
tzw. ukryte modele Markowa oraz tzw. dynamiczne marszczenie czasu będące techniką
porównywania funkcji. U podłoża tej drugiej metody leży spostrzeżenie, że bezpośrednie
porównywanie wartości dwóch funkcji czasu (dwóch podpisów) dla kolejnych chwil
czasowych może nie być właściwe, gdy czas dla każdej funkcji „biegnie inaczej”, choć z
zachowaniem następstwa zdarzeń. Z tego powodu dla badanych podpisów wprowadza się
„czasy indywidualne” poprzez odpowiednie zniekształcenie („marszczenie”) rzeczywistego
czasu i skonstruowanie tzw. funkcji marszczących. Na miarę odstępstwa podpisu badanego od
podpisu wzorcowego (lub podpisów wzorcowych) zapisanego w bazie danych, składa się
zarówno podobieństwo podpisów po najlepszym zmarszczeniu indywidualnych czasów, jak i
ocena funkcji marszczących – im zniekształcenie oryginalnego czasu musi być większe, tym
większe jest odstępstwo badanego podpisu od wzorca.
Poziomy błędów zrównoważonych (EER - Equal Error Rate ocenia częstość fałszywych
odrzuceń i fałszywych akceptacji przy takim dobraniu parametrów systemu by obie częstości
były identyczne) dla najlepszych systemów biometrii podpisu on-line plasują się obecnie na
poziomie 2%. Dla systemów off-line błędy te są nawet o rząd wielkości większe. Pomimo
tego biometria podpisu, zarówno w wersji on-line jak i off-line, stosowana jest bardzo szeroko
w bankowości na całym świecie, głównie jako technologia wspomagająca. Dzieje się tak za
sprawą powszechnej akceptacji tych metod, nie wymagających od klienta banku
przyzwyczajania się do nowej metodologii uwierzytelniania, jak i łatwej integracji tych
rozwiązań z istniejącymi już w bankowości procesami uwierzytelniania klientów za pomocą
tradycyjnego podpisu.
2.3. Biometria tęczówki
Adam Czajka, Andrzej Pacut
NASK
Twórcy systemów biometrycznych poszukują biometrii idealnej, czyli takiej, która bezbłędnie
weryfikuje tożsamość, jest odporna na oszustwa, efekty starzenia się organizmu i choroby, nie
budzi obaw na tle socjologicznym, religijnym czy rasowym i, co bardzo ważne, jest wygodna
dla użytkownika. Choć trudno spośród gamy istniejących technik biometrycznych wskazać
biometrię posiadającą wszystkie powyższe zalety jednocześnie, tęczówka należy do obiektów,
na bazie którego można budować prawie idealne systemy: jest ona źródłem cech o wysokim
stopniu zróżnicowania dla populacji ludzkiej i jednocześnie bardzo stabilnych w czasie.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
17
Tęczówka jest mięśniem kontrolującym natężenie strumienia światła docierającego do
wnętrza oka, jest w pełni wykształcona już pod koniec ósmego miesiąca życia płodowego i
nie zmienia się w trakcie życia. Struktura tęczówki w znikomym stopniu zależy od naszych
genów, co pozwala na rozpoznawanie osób blisko spokrewnionych ze sobą, nawet bliźniąt
jednojajowych1
. Obrazy struktury tęczówki (z pominięciem informacji o kolorze oka)
wykorzystywane są właśnie najczęściej w procesie rozpoznawania osób.
Do poprawnego rozpoznania osoby
wystarczy obraz jednego oka, choć metody
wykorzystujące parę oczu są na ogół
wygodniejsze w użyciu i cechują się
mniejszym stopniem fałszywych odrzuceń.
„Surowy” obraz oka, często zakłócony przez
rzęsy, powieki, odblaski światła, itp. (rys. 2.2),
poddawany jest procesowi eliminacji
zakłóceń, a następnie przekształcany do
postaci identycznej dla każdego oka,
niezależnie od stopnia rozwarcia źrenicy
i skali obiektu na zdjęciu.
Tak przetworzony obraz poddawany jest kodowaniu. Spośród wielu technik kodowania
stosowanych obecnie na pierwszym miejscu wymienić należy metodę Johna Daugmana z
Uniwersytetu Cambridge w Anglii2
. Kodowanie to wykorzystuje tzw. filtry Gabora
uwypuklające podczas filtracji obrazu te lokalne własności tęczówki, które w najwyższym
stopniu różnicują obrazy różnych oczu w badanej populacji. Wynik filtracji obrazu tęczówki
zapisywany jest następnie w postaci binarnego kodu o identycznej dla każdego oka postaci,
co ułatwia efektywne porównywanie różnych kodów tęczówek. Metoda Daugmana
wykorzystywana jest obecnie w większości systemów komercyjnych. Poważnym
konkurentem tej metody jest technologia Daniela Daehoon Kima, której dokładność oceniana
jest w międzynarodowych testach równie wysoko jak rozwiązanie Daugmana. Technologia ta
bazuje na tzw. analizie falkowej Haar’a i w inny niż w rozwiązaniu Daugmana sposób
rozwiązuje problem eliminacji zakłóceń w obrazie tęczówki. Nowe metody rozpoznawania
1 John Daugman, ''Biometric identification system based on iris analysis'', United States Patent, US5291560, 1
marca, 1994
2 Ibidem
Rys. 2.2 Typowy obraz tęczówki wraz z
automatycznie zlokalizowanymi zakłóceniami
wykonane kamerą i oprogramowaniem IrisCUBE
systemu wykonanego w Pracowni Biometrii NASK.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
18
tęczówki powstały również w Polsce 3 i bazują one na tzw. transformacie Zaka-Gabora
umożliwiając m.in. wbudowanie ochrony wzorców tęczówki przed niepowołanym użyciem
niezależnie od typowych technik kryptografii. Po wygaśnięciu w 2005 roku patentu
blokującego rozwój biometrii tęczówki4, rozpoczął się dynamiczny rozwój nowych technik
weryfikacji tęczówki i co za tym idzie, wzrost konkurencyjności w tej biometrii.
Zaletą systemów biometrii tęczówki jest imponująca dokładność weryfikacji. Raporty z
przeprowadzonych niezależnych testów tych systemów 5
wskazują na błędy fałszywego
odrzucenia rzędu 0.1% przy ustalonym poziomie fałszywych akceptacji 0.001%. Do
najważniejszych wad zaliczyć należy kłopotliwy pomiar tęczówki, wymagający często
wcześniejszego treningu, oraz niewystarczające zabezpieczenia eliminujące oszustwa takich
systemów z wykorzystaniem sztucznych obiektów6. Należy się jednak spodziewać, iż obie
wady zostaną wyeliminowane ze względu na intensywność prac prowadzonych w obu
dziedzinach.
2.4. Biometria siatkówki oka
Adrian Kapczyński
AutoID Polska SA
Koncepcja weryfikacji tożsamości realizowanej na podstawie charakterystycznego wzoru
naczyń krwionośnych wewnętrznej części oka, została opracowana przez C. Simona oraz I.
Goldsteina. Zdjęcie wykonywane jest przy pomocy specjalnej kamery, z niewielkiej
odległości od oka, przy równoczesnym naświetlaniu światłem pod-czerwonym przez około 2
sekundy. Uzyskany obraz, w wyniku zastosowania transformaty Fouriera, pozwala określić
współczynniki wchodzące w skład kodu siatkówki. Długość kodu siatkówki w rozwiązaniu
firmy Rayco Security o nazwie ICAM 2001, wynosi 320 bitów.
Systemy wykorzystujące opisywaną technologię cechują się wysokim stopniem
bezpieczeństwa, niską wygodą użytkowania oraz wysokimi kosztami urządzeń
biometrycznych.
3 Adam Czajka and Andrzej Pacut, ''Iris Recognition with Adaptive Coding'', Rough Sets and Knowledge
Technology, Lecture Notes in Artificial Intelligence, Vol. 4481, pp. 195-202, Springer, 2007 4 Leonard Flom, Aran Safir, “Iris recognition system”, United States Patent, US4641349, 3 lutego, 1987
5 A. Mansfield, G. Kelly, D. Chandler, J. Kane, „Biometric Product Testing: Final Report” (CESG Contract
X92A/4009309), Centre for Mathematics and Scientific Computing, UK National Physical Laboratory, 2001;
International Biometric Group, Independent Testing of Iris Recognition
Technology, 2005; 6 Andrzej Pacut, Adam Czajka, ''Aliveness detection for iris biometrics'', 2006 IEEE International Carnahan
Conference on Security Technology, 40th Annual Conference, October 17-19, Lexington, Kentucky, IEEE 2006
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
19
W świetle posiadanych wad i zalet, omawiana technologia nie znalazła szerokiego
zastosowania we współczesnych systemach kontroli dostępu i rejestracji czasu pracy.
2.5. Biometria dłoni
Adam Czajka, Andrzej Pacut
NASK
Systemy biometryczne, wykorzystujące pomiary cech geometrycznych dłoni, to proste
technicznie i stosunkowo tanie urządzenia zapewniające wysoki poziom bezpieczeństwa przy
jednoczesnej wygodzie użytkowników. Metoda pomiarowa budzi niewiele oporów natury
psychologicznej, a łatwość użycia sprawia, że systemy biometrii dłoni cechują się jednym z
najniższych poziomów błędu fałszywego odrzucenia spośród wszystkich metod
biometrycznych. Właściwości te sprawiają, że systemy geometrii dłoni są najbardziej
akceptowanymi przez użytkowników biometrycznymi systemami kontroli dostępu.
Urządzenie pomiarowe typowego systemu biometrii dłoni składa się z panelu, na którym
użytkownik umieszcza dłoń, oraz kamery, za pomocą której wykonywane jest zdjęcie. Panel
jest wyposażony w specjalne elementy pozycjonujące, ułatwiające prawidłowe ułożenie dłoni
oraz dodatkowe lustra umożliwiające obserwację bocznych krawędzi dłoni i kciuka.
Rysunek 2.3. Przykładowe „surowe” zdjęcie dłoni (z lewej) , wyznaczone na jego podstawie cechy
geometryczne (pośrodku) oraz obraz termiczny (z prawej). Obrazy wykonane za pomocą urządzeń
skonstruowanych w Pracowni Biometrii NASK.
Na podstawie obrazu dłoni (rys. 2.3, z lewej) wyznaczane są cechy geometryczne dłoni, na
które składają się m.in. szerokości i długości palców oraz szerokość i grubość (wysokość)
dłoni (rys. 2.3, pośrodku). Tak uzyskane cechy poddawane są procesowi klasyfikacji za
pomocą typowych metod, najczęściej z wykorzystaniem sieci neuronowych czy też tzw.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
20
maszyn wektorów podpierających SVM7. Wartość błędu zrównoważonego EER dla tych
systemów plasuje się znacznie poniżej 1%.
Wykorzystanie rozkładu temperatury dłoni to nowa w biometrii technika, nie stosowana
jeszcze powszechnie na rynku w celach weryfikacji tożsamości, choć wyniki badań wskazują,
iż rozkład temperatury dłoni (rys. 2.3, z prawej) jest cechą indywidualną. Pomiary termiki
dłoni umożliwiają natomiast wzbogacenie tradycyjnych systemów geometrii dłoni o tzw.
testowanie żywotności. Ma to na celu przeciwdziałanie oszustwom z wykorzystaniem
sztucznych obiektów o zbliżonej geometrii zamiast żywej dłoni.
2.6. Biometria głosu
Adrian Kapczyński
AutoID Polska SA
Technologia biometrii głosu związana jest z zadaniem weryfikacji mówiącego (a ściślej
weryfikacji wytworzonego sygnału mowy) i polega na stwierdzeniu, czy określona fraza
została wypowiedziana przez daną osobę. W weryfikacji mówcy wykorzystywane są
właściwości akustyczno-fonetyczne dźwięku, a w szczególności podstawową częstotliwość
dźwięku, energię sygnału oraz strukturą spektralną fonemów.
Wśród systemów weryfikacji mówcy wyróżniono systemy zależne od wypowiadanej
sentencji (ang. Text-dependent) oraz systemy weryfikacji niezależne od wypowiadanej
sentencji (ang. Text-independent), w których pojawia się wymóg utworzenia wektora cech
niezależnego od treści wypowiadanego zdania. Utworzone zestawy cech są weryfikowane z
wykorzystaniem następujących technik: dynamicznego zawijania czasu (ang. Dynamic Time
Warping, DTW), kwantyzacji wektorowej (ang. Vector Quantization, VQ), ukrytych modeli
Markowa (ang. Hidden Markov Models, HMM) oraz sieci neuronowych (ang. Neural
Networks) i innych.
Do głównych zalet biometrii głosu należy wysoka akceptowalność, wygoda użytkowania,
nieinwazyjność, krótki czas poboru charakterystyki oraz niewielkie wymagania w zakresie
warstwy sprzętowej. Błędne odrzucenia mogą wynikać ze zbyt głośno (cicho), zbyt szybko
(wolno) lub w sposób nienaturalny wymawianej frazy. Silny wpływ na wynik pomiaru ma
środowisko (hałas w tle) oraz stan psychofizyczny użytkownika.
7 Łukasz Stasiak, ''Support vector machine for hand geometry-based identity verification
system'', w: Ryszard S. Romaniuk (red.), Proceedings of SPIE - Volume 6347, Photonics
Applications in Astronomy, Communications, Industry, and High-Energy Physics Experiments 2006,
634725, Oct. 12, 2006
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
21
Zastosowania opisywanej technologii są bardzo szerokie – począwszy od produktów
służących do resetowania hasła, zakupów przez telefon a skończywszy na weryfikacji osób
dzwoniących do centrów wsparcia.
2.7. Biometria twarzy
Adrian Kapczyński
AutoID Polska SA
Kluczowym elementem systemów bazujących na geometrii twarzy jest detekcja oraz
lokalizacja twarzy w obrazie otrzymywanym z kamery. Wycinek obrazu zawierający
zlokalizowaną twarz, jest traktowany jako wektor elementów o tym samym poziomie
ważności. W drodze wykorzystania metod statystycznych, eliminowane są elementy silnie
skorelowane, a elementy które pozostają tworzą wektor cech twarzy. Wykorzystywana jest
najczęściej analiza składowej głównej (ang. Principal Component Analysis). Wśród metod
weryfikujących obraz twarzy istnieje również podejście wyznaczające punkty
charakterystyczne twarzy (tj. oczu, nosa, kącików ust i innych) oraz obliczające geometryczne
zależności między tymi punktami, przykładowo metoda dopasowania grafu (ang. Elastic
Graph Matching).
Omawiana technologia jest intensywnie rozwijana m.in. na Politechnice Szczecińskiej, gdzie
tworzone jest środowisko projektowo badawcze FaReS-Mod.
Biometria geometrii twarzy jest jedną z najmniej skutecznych metod biometrycznych. Jest
podatna na zniekształcenia obrazu spowodowane czynnikami zewnętrznymi lub związanymi z
osobą uwierzytelnianą. Wśród zalet metody wymienić należy nieinwazyjność oraz możliwość
jej zastosowania bez współpracy identyfikowanej osoby.
Opisywana biometria została wykorzystana m.in. w celu monitorowania ulic Londynu,
kontroli dostępu na lotniskach (projekt SmartGate) czy też kontroli dostępu do Ogrodu
zoologicznego w Hanowerze.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
22
3. Bezpieczeństwo w biometrii
Adam Czajka, Andrzej Pacut
NASK
3.1. Przechowywane danych biometrycznych
Terminale i czytniki biometryczne
Aby wzorce biometryczne spełniały właściwie swoje zadania, muszą być bezpiecznie
przechowywane przez cały czas działania systemu biometrycznego. Przechowywanie
wzorców w pamięci terminala biometrycznego jest rozwiązaniem pozwalającym na
budowanie rozproszonych systemów biometrycznych o dużym stopniu autonomii elementów
składowych. W takim rozwiązaniu terminal wyposażony jest dodatkowo w oprogramowanie
niezbędne do przetworzenia i weryfikacji danych pochodzących z czytnika biometrycznego
znajdującego się w terminalu. Dodatkową zaletą takiego rozwiązania, oprócz wspomnianej
autonomii, jest bezpieczeństwo. Dane biometryczne nie muszą opuszczać urządzenia podczas
każdej transakcji, a dodatkowe fizyczne zabezpieczenia urządzeń powodują, iż próby
nieautoryzowanego dostępu do wnętrza urządzenia (np. w wyniku kradzieży) kończą się np.
skasowaniem danych biometrycznych.
Systemy takie wymagają jednak bardziej zaawansowanych (a więc często droższych)
urządzeń, gdyż oprócz rejestracji danych biometrycznych muszą one zapewnić ich pełne
przetwarzanie. Sprawą niebagatelną również jest administracja w systemie rozproszonym,
odpowiednie zarządzanie wzorcami biometrycznymi i synchronizacja praw dostępu.
Wspomniana autonomia takich terminali jest jednak ważną zaletą w systemach kontroli
dostępu o podwyższonych wymaganiach dotyczących niezawodności całego rozwiązania –
awaria jednego miejsca przechowywania danych biometrycznych nie ma wpływu na działanie
pozostałej kontroli dostępu.
Centralne bazy danych
Klasyczne podejście do zarządzania informacją uwierzytelniającą lub danymi osobowymi
zakłada istnienie centralnej bazy tych danych. W wielu przypadkach takie podejście jest
uzasadnione lub wręcz niezbędne (przykładem może być ewidencja obywateli kraju lub
ewidencja osób, którym powinno się odmówić dostępu do chronionych zasobów). Należy
jednak pamiętać, iż dowolne dane biometryczne są danymi osobowymi (pozwalają na
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
23
rozpoznanie osoby). Przechowywanie danych biometrycznych w centralnym repozytorium to
rozwiązanie budzące najwięcej zastrzeżeń użytkowników. Ochrona biometrycznych baz
danych powinna być zatem realizowana przynajmniej w taki sposób jak realizowana jest
ochrona baz zawierających typowe dane osobowe, z uwzględnieniem dodatkowych
mechanizmów zabezpieczeń dotyczących transmisji danych biometrycznych, aby
zminimalizować ryzyko ponownego wykorzystania nielegalnie zdobytych danych
biometrycznych.
Karty mikroprocesorowe
Współcześnie produkowane karty mikroprocesorowe (zwane także kartami elektronicznymi,
lub kartami inteligentnymi), mimo swoich małych rozmiarów są układami z własnym
procesorem, pamięcią, systemem operacyjnym oraz często modułami do obliczeń
kryptograficznych oraz generacji kluczy, które skutecznie wypierają zastosowania kart z
paskiem magnetycznym. Karty takie gwarantują bezpieczeństwo na styku z terminalem
poprzez wykorzystanie szyfrowania symetrycznego i podpisywania przesyłanych danych
(reguluje to m.in. standard ISO 7816-4). W zależności od wymaganego poziomu
bezpieczeństwa i stopnia zaawansowania technologicznego, w kartach mogą być używane
słabsze algorytmy takie jak DES czy MD5, mocniejsze takie jak: 3DES, AES, RSA 1024 i
SHA-1, albo najmocniejsze, np.: RSA 2048, EC 224 i wyższe oraz SHA-2.
Karty Java
Wyposażenie kart
mikroprocesorowych w wirtualną
maszynę języka Java (tzw. JCVM – Java
Card Virtual Machine, rys. 3.1)
znakomicie ułatwiło pisanie aplikacji
dedykowanych dla kart inteligentnych
oraz, jeśli nie użyto w nich
niestandardowych rozszerzeń, pozwoliło
na stosowanie raz napisanych aplikacji w
kartach różnych producentów. Największą organizacją zajmującą się tworzeniem standardów
dotyczących infrastruktury kart elektronicznych jest GlobalPlatform, która zrzesza ponad 50
Rys. 3.1 Architektura karty mikroprocesorowej typu
JavaCard
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
24
instytucji z różnych gałęzi przemysłu, od bankowości poprzez telekomunikację, transport aż
do jednostek rządowych. Współpraca z wieloma innymi organizacjami standaryzacyjnymi
pozwala na tworzenie systemów, w których jedną z najistotniejszych kwestii jest
bezpieczeństwo.
Karty MULTOS
Wprowadzenie platformy operacyjnej
MULTOS na karty inteligentne pozwoliło
na produkcję wielozadaniowych kart
spełniających najwyższe poziomy
bezpieczeństwa. MULTOS jest otwartym,
multi-aplikacyjnym systemem
operacyjnym na karty inteligentne.
Rozwój systemu i aplikacji jest ściśle
nadzorowany przez konsorcjum MULTOS, zrzeszające największych wydawców kart.
MULTOS umożliwia karcie inteligentnej przechowywanie różnego rodzaju aplikacji,
począwszy od aplikacji typu chip&pin wykorzystywanych w płatnościach do
zaawansowanych aplikacji porównujących dane biometryczne (ang. match-on-card) w celu
bezpiecznej identyfikacji elektronicznej. Karty MULTOS są wykorzystywane w Japonii w
największym biometrycznym projekcie w bankowości, gdzie na karty płatnicze wgrywane są
dane biometryczne klienta banku i aplikacja match-on-card.
Można wskazać zastosowania, w których stosowanie centralnych baz danych nie jest
konieczne. Dane biometryczne można wtedy powierzyć ich właścicielom – użytkownikom
systemu. Karty inteligentne, z racji dobrze opracowanych metod bezpieczeństwa, wydają się
być idealnym nośnikiem takich danych, pozwalającym również na rozproszenie informacji.
Oznacza to eliminację centralnego, newralgicznego repozytorium a jednostkowa kradzież
karty nie osłabi systemu i nie jest groźna dla właściciela tych danych za sprawą
mechanizmów uniemożliwiających nielegalny odczyt danych z karty inteligentnej.
Rys. 3.2 Architektura karty mikroprocesorowej typu
MULTOS z aplikacją match-on-card
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
25
3.2. Porównywanie danych biometrycznych
Porównywanie przez procesor karty mikroprocesorowej (match-on-card)
W transakcjach z użyciem karty elektronicznej można wyodrębnić trzy strony: karta, jej
użytkownik (niekoniecznie właściciel) oraz terminal (np. bankomat). Transakcję
przeprowadzoną przy wykorzystaniu karty mikroprocesorowej można uznać za bezpieczną
tylko wówczas, gdy każdy z tych podmiotów jest w stanie udowodnić pozostałym swoją
autentyczność. Należy wymienić trzy etapy wzajemnego uwierzytelniania:
- karta uwierzytelnia terminal oraz terminal uwierzytelnia kartę,
- użytkownik uwierzytelnia terminal oraz terminal uwierzytelnia użytkownika,
- karta uwierzytelnia użytkownika oraz użytkownik uwierzytelnia kartę.
Wzajemne uwierzytelnianie karty i terminala odbywa się poprzez zastosowanie
mechanizmów kryptografii symetrycznej. Karta która uwierzytelniła terminal nie ma jednak
możliwości bezpośredniego poinformowania o tym użytkownika. Proste rozwiązanie tego
problemu polega na ujawnieniu użytkownikowi (po udanym uwierzytelnieniu) poprzez
interfejs terminala prywatnego komunikatu zapisanego na karcie. Takie uwierzytelnienie
terminala przez użytkownika jest bardzo ważne, i pozwala uniknąć dalszej konwersacji
użytkownika z fałszywym terminalem mającym na celu kradzież danych.
Proces uwierzytelniania użytkownika przez kartę, obecnie polegający na prezentacji numeru
identyfikacyjnego, może zostać zastąpiony poprzez weryfikację biometryczną, która odbywa
się całkowicie na pokładzie karty inteligentnej (ang. match-on-card). W systemie takim dane
biometryczne nigdy nie opuszczają karty, a w przypadku jej utraty nie mogą zostać ponownie
wykorzystane (wbudowane mechanizmy karty umożliwiają jedynie zapis wzorca z zewnątrz,
odczyt możliwy jest tylko przez wewnętrzne mechanizmy karty).
Karty inteligentne nakładają też pewne ograniczenia, które muszą być brane pod uwagę przy
tworzeniu kart wspierających biometrię, szczególnie kart dokonujących weryfikacji
biometrycznej. Dla przykładu, ze względu na ograniczenia platformy sprzętowej (mało
pamięci RAM, prosty mikroprocesor) karty JavaCards często nie posiadają wsparcia dla wielu
fundamentalnych dla języka Java elementów m.in. wielowątkowości, typów danych
zmiennoprzecinkowych i całkowitych 32-bitowych czy automatycznego zarządzania pamięcią
(tzw. garbage collector).
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
26
Jednakże ciągły rozwój technologii powoduje, że połączenie kart mikroprocesorowych i
biometrii już dziś skutkuje działającymi systemami typu match-on-card8.
Porównywanie poza środowiskiem karty mikroprocesorowej (match-off-card)
Istnieje możliwość zaprojektowania struktury danych karty w taki sposób, aby możliwy był
odczyt danych w celu ich dalszego przetwarzania, np. porównania (ang. match-off-card).
Wadą takiego rozwiązania jest zagrożenie wynikające z możliwości skopiowania wzorca
biometrycznego odczytanego z bezpiecznego środowiska karty. Takie rozwiązanie jest
stosowane, gdy możliwości obliczeniowe karty są nieadekwatne do potrzeb niektórych
technik biometrycznych, np. istnieje konieczność wykorzystania klasyfikatorów
wymagających obliczeń zmiennopozycyjnych, których implementacja w środowisku 8-
bitowej lub 16-bitowej karty byłaby niemożliwa lub skutkowałaby nieakceptowalnie dużym
czasem weryfikacji.
3.3. Testowanie autentyczności danych biometrycznych
Większość komercyjnych systemów biometrycznych nie dokonuje analizy autentyczności
(tzw. żywotności) mierzonych obiektów, na co wskazują testy przeprowadzone dla
popularnych systemów biometrii odcisku i tęczówki 9. Dla przykładu, wykorzystane we
wspomnianych wyżej testach kamery fotografujące tęczówkę zaakceptowały nawet 85%
fałszerstw dokonanych przy użyciu papierowego wydruku obrazu oka w rozdzielczości około
600 dpi. Wydruk zdjęcia oka jest najprostszą metodą fałszerstwa. Można się bowiem
spodziewać wykorzystania specjalnie przygotowanego sztucznego oka, sztucznej tęczówki
(np. przy pomocy odpowiednich szkieł kontaktowych), czy wręcz zmuszania osoby do
poddania się biometrycznej identyfikacji. Uzmysławia to jak ważnym zagadnieniem jest
testowanie żywotności, szczególnie w systemach weryfikujących tożsamość bez nadzoru
8 Marcin Chochowski, Adam Czajka, Andrzej Pacut, Przemek Strzelczyk, „Biometryczne karty inteligentne”,
SECURE 2005, Bezpieczeństwo - kto ponosi odpowiedzialność, 25-26 października 2005, Warszawa, Tom 2, str.
134-143, 2005 9 Lisa Thalheim, Jan Krissler, and Peter-Michael Ziegler, "Biometric Access Protection Devices and their
Programs Put to the Test", c't 11/2002, str. 114, 2002;
Tsutomu Matsumoto, “Artificial Fingers and Irises: importance of Vulnerability Analysis”, 7th International
Biometrics 2004 Conference and Exhibition, London, UK, 2004;
Andrzej Pacut, Adam Czajka, “Aliveness detection for iris biometrics”, 2006 IEEE International Carnahan
Conference on Security Technology, 40th Annual Conference, October 17-19, Lexington, Kentucky, IEEE 2006
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
27
człowieka. Znane są już skuteczne metody testu żywotności zarówno dla biometrii tęczówki10
,
jak i odcisku palca11
. Najprostsze metody badania żywotności tęczówki polegają na
wykorzystaniu widma częstotliwości przestrzennych rejestrowanego obrazu w celu detekcji
dodatkowych częstotliwości wynikających z użycia urządzenia drukującego zdjęcie
fałszywego oka. Lepszą dokładność oferują metody analizujące dynamiczne własności oka,
np. zmiany średnicy źrenicy pod wpływem zmiennych warunków oświetleniowych12
. Metoda
ta, oceniając stopień zgodności pomiarów reakcji źrenicy z modelem kurczenia się źrenicy,
jest najbardziej wrażliwa na nietypowe zachowanie się fotografowanego oka. Wśród metod
testujących żywotność palca wymienić należy techniki analizujące elastyczność opuszka
palca oraz zapach skóry13
.
Od pierwszych publikacji poddających w wątpliwość bezpieczeństwo systemów
biometrycznych upłynęło kilka lat. Projektowanie testów żywotności znajduje się wśród
kluczowych kierunków działań ośrodków tworzących systemy biometryczne. Systemy
biometryczne są sukcesywnie wyposażane w wyżej opisane techniki zabezpieczeń.
3.4. Przeciwdziałanie nielegalnemu wykorzystaniu wzorców biometrycznych
Surowe dane, przetworzone cechy biometryczne, wzorce biometryczne, a nawet wyniki
weryfikacji mogą zostać zamienione lub skradzione i wykorzystane ponownie w celu
uwierzytelnienia. Z tego powodu konieczne jest stosowanie dodatkowych zabezpieczeń
wzorców biometrycznych. W tym celu najczęściej wykorzystuje się typowe techniki
kryptograficzne.
Natura danych biometrycznych daje jednak dodatkowe możliwości zabezpieczeń, wynikające
ze zmienności danych biometrycznych. Zmienność ta jest wadą z punktu widzenia
dokładności rozpoznawania, ale zaletą z punktu widzenia bezpieczeństwa. Ze względu na to,
że każdy pomiar tego samego obiektu daje nieco inny wektor cech biometrycznych, można
zastosować ideę podwójnego progowania wyniku weryfikacji: wzorce nie mogą być „zbyt
różne” i jednocześnie nie mogą być „zbyt podobne” aby weryfikacja przebiegła pomyślnie.
Bardziej zaawansowanym sposobem przeciwdziałania metodom powtórnego użycia danych
10 Andrzej Pacut, Adam Czajka, “Aliveness detection for iris biometrics”, 2006 IEEE International Carnahan
Conference on Security Technology, 40th Annual Conference, October 17-19, Lexington, Kentucky, IEEE 2006 11
Wiesław Bicz, „ The Impossibility Of Faking Optel's Ultrasonic Fingerprint Scanners”, www.optel.pl 12
Andrzej Pacut, Adam Czajka, Marcin Chochowski, “Method of Eye Aliveness Testing and Device for Eye
Aliveness Testing”, zgłoszenie patentowe nr PCT/PL2007/000063, publ. nr WO/2008030127, 7 września 2006 13
Heikki Alisto et al., “Biometric Modalities and Technology”, BioSec 4nd
Workshop, Bruksela, 28-29 listopada
2005
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
28
weryfikacyjnych jest stosowanie parametrycznych metod uwierzytelniania. Parametryzacja
może dotyczyć selekcji podwzorca (jednego z wielu wzorców danej osoby dla tej samej
biometrii, np. innego palca w przypadku korzystania z biometrii linii papilarnych).
Najlepszym jednak rozwiązaniem jest zwielokrotnienie wzorca na podstawie dynamicznie
zmieniających się żądań systemu weryfikującego. Przykładowo, w systemie rozpoznawania
mówiącego, użytkownik może być proszony o wypowiadanie różnych zdań przekazywanych
przez system. Innym przykładem jest odpowiednia modyfikacja surowych danych
biometrycznych, przy zastosowaniu jednokierunkowych technik kodowania danych,
powodująca diametralną zmianę wzorca nie ujawniającą autentycznych danych
biometrycznych14
.
14
Adam Czajka, Andrzej Pacut, “Replay attack prevention for iris biometrics”, IEEE International Carnahan
Conference on Security Technology, 42nd Annual Conference, Czech Republic, October 13-16, 2008
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
29
4. Standaryzacja biometrii
Andrzej Pacut, Adam Czajka
NASK
Standaryzacja jest wskaźnikiem dojrzałości technologicznej dyscypliny technicznej,
wynikającym z potrzeby zagwarantowania wymienności algorytmów i sprzętu
(interchangeability, interoperability). Standaryzacja pozwala na doskonalenie elementów
technicznych, upraszcza integrację systemów, umożliwia zamianę i unowocześnianie
technologii i zapobiega uzależnieniu się użytkownika od technologii jednego dostawcy.
Pierwsze standardy biometryczne powstały w dziedzinie odcisków palca dla zastosowaniach
kryminalistycznych (US National Bureau of Standards, 1986). Od tego czasu standardy
biometryczne opracowywane są zarówno przez oficjalne krajowe organizacje standaryzacyjne,
takie jak American National Standards Institute (ANSI) czy British Standards Institute (BSI),
jak i międzynarodowe ciała standaryzacyjne: International Organization for Standardization
(ISO), International Electro-Technical Commission (IEC), Institute of Electrical and
Electronics Engineers (IEEE) i International Telecommunications Union (ITU).
Zagadnieniami biometrii zajmuje się Focus Group on Biometrics działająca w ramach
Europejskiego Komitetu Normalizacyjnego CEN/INNS (Comité Européen de Normalisation /
Information Society Statndardization System). Powstają standardy tworzone przez
nieformalne organizacje związane z przemysłem, jak Organization for the Advancement of
Structured Information Standards (OASIS), BioAPI Consortium, IETF, W3C. Pojawiają się
także "standardy przemysłowe", będące specyfikacjami technicznymi rozwiązań dużych
konsorcjów przemysłowych. W niniejszej publikacji zostanie przeprowadzona analiza
działalności normatywnej w dziedzinie biometrii prowadzoną przez ISO.
Współpraca między ISO i IEC doprowadziła do utworzenia Joint Technical Committee for
Information Technology JTC1. W ramach JTC1 działa szereg podkomitetów (SC)
zajmujących się różnymi aspektami technologii informacyjnych, a wśród nich SC37 ds.
Biometrii wyodrębniony w r. 2002. SC37 złożony jest z 6 grup roboczych:
• WG1 – Słownictwo biometryczne (Harmonized Biometric Vocabulary)
• WG2 – Biometryczne Interfejsy Techniczne (Biometric Technical Interfaces)
• WG3 – Formaty wymiany danych biometrycznych (Biometric Data Interchange
Formats)
• WG4 – Profile biometryczne (Biometric Profiles)
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
30
• WG5 – Testowanie i raportowanie jakości biometrii (Biometric Performance
Testing and Reporting)
• WG6 – Prawne i społeczne aspekty biometrii (Cross-Jurisdictional and Societal
Aspects of Biometrics)
Członkami ISO są państwa reprezentowane przez krajowe organizacje normalizacyjne. Polskę
reprezentuje Polski Komitet Normalizacyjny, którego komitety techniczne (KT)
odzwierciedlają komitety techniczne ISO. W chwili obecnej Polska jest tylko członkiem-
obserwatorem SC37 (O-member), jednak trwają prace nad przejściem do statusu członka
uczestniczącego (P-member). W ramach PKN zagadnieniami biometrii zajmuje się obecnie
KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych.
Szereg istotnych standardów dotyczy warunków otrzymywania danych biometrycznych i
formatów ich przechowywania. Niezwykle istotna w tym zakresie jest grupa norm ISO/IEC
JTC1 19794 "Technologie informacyjne - Format Wymiany Danych Biometrycznych" na
którą składają się:
• Część 1: Struktura danych (ISO/IEC 19794-1:2006, Information technology –
Biometric Data Interchange Format – Part 1: Framework),
• Część 2: Minucje odcisku palca (ISO/IEC 19794-2:2005, Information technology –
Biometric Data Interchange Format – Part 2: Finger minutiae data),
• Część 3: Dane spektralne odcisku palca (ISO/IEC 19794-3:2006, Information
technology – Biometric Data Interchange Format – Part 3: Finger pattern spectral
data),
• Część 4: Dane obrazu odcisku palca (ISO/IEC 19794-4:2005, Information
technology – Biometric Data Interchange Format – Part 4: Finger image data),
• Część 5: Dane obrazu twarzy (ISO/IEC 19794-5:2005, Information technology –
Biometric Data Interchange Format – Part 5: Face image data) wraz z Uzupełnieniem
1: Warunki Fotografowania (ISO/IEC 19794-5 AMD 1:2007, Information
technology - Biometric Data Interchange Formats - Part 5: Face Image Data
Amendment 1: Face Image Data on Conditions for Taking Photographs),
• Część 6: Dane obrazu tęczówki (ISO/IEC 19794-6:2005, Information technology –
Biometric Data Interchange Format – Part 6: Iris Image Data),
• Część 7: Szeregi czasowe danych dla podpisu (ISO/IEC 19794-7:2007, Information
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
31
technology – Biometric Data Interchange Format – Part 7: Signature/sign time series
data),
• Część 8: Dane szkieletowe wzoru palca (ISO/IEC 19794-8:2006, Information
technology – Biometric Data Interchange Format – Part 8: Finger pattern skeletal data),
• Część 9: Dane obrazu naczyń krwionośnych (ISO/IEC 19794-9:2007, Information
technology – Biometric Data Interchange Format – Part 9: Vascular image data),
• Część 10: Dane geometrii dłoni ISO/IEC 19794-10:2007, Information technology –
Biometric Data Interchange Format – Part 10: Hand geometry silhouette data).
Należy wspomnieć, że Międzynarodowa Organizacja Lotnictwa Cywilnego (International
Civil Aviation Organization ICAO) ONZ wymaga, by informacja biometryczna (obraz twarzy,
odciski palca, obraz tęczówki) na dokumentach podróży czytanych maszynowo spełniała
wymagania tego standardu. Podobnie, Międzynarodowa Organizacja Pracy (International
Labour Organization ILO) ONZ wydaje dokumenty identyfikacyjne dla żeglarzy stosując
odciski palców spełniające wymagania tego standardu.
Testowaniu biometrii poświęcone są standardy z grupy ISO/IEC 19795. W szczególności,
normami objęte są:
• Część 1: Podstawowe zasady testowania w biometrii (ISO/IEC 19795-1:2006,
Information Technology – Biometric performance testing and reporting – Part 1:
Principles and framework),
• Część 2: Metodologia oceny technologii i scenariuszy (ISO/IEC 19795-2:2007,
Information Technology – Biometric performance testing and reporting – Part 2:
Testing methodologies for technology and scenario evaluation).
Standard utworzony przez BioAPI Consortium dotyczący interfejsu komunikacyjnego
pomiędzy technologiami biometrycznymi powstały w 2001 został przyjęty jako standardy
ANSI i ISO. Poświęcony jest mu zespół norm ISO/IEC 19784 "Technologie informacyjne -
Interfejsy Programowania Aplikacji Biometrycznych", a w szczególności:
• Część 1: Specyfikacja BioAPI (ISO/IEC 19784-1:2006, Information technology –
Biometric Application Programming Interface – Part 1: BioAPI Specification),
• Część 1, Dodatek 1: Specyfikacja BioGUI (ISO/IEC 19784-1 AMD1: 2007, BioGUI
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
32
Specification),
• Część 2: Interfejs dostarczania biometrycznych funkcji archiwalnych (ISO/IEC
19784-2:2007, Information technology – Biometric Application Programming
Interface – Part 2: Biometric archive function provider interface).
Kolejna grupa norm ISO/IEC 24709 dotyczy zgodności z BioAPI (ISO/IEC 24709,
Information technology – Conformance testing for the biometric application programming
interface BioAPI), a mianowicie
• Część 1: Metody i procedury (ISO/IEC 24709-1:2007, Information technology –
Conformance testing for the biometric application programming interface (BioAPI) –
Part 1: Methods and procedures),
• Część 2: Założenia testowania dla dostarczycieli usług biometrycznych (ISO/IEC
24709-2:2007, Information technology – Conformance testing for the biometric
application programming interface (BioAPI) – Part 2: Test assertions for biometric
service providers).
Standaryzacją ISO/IEC objęta jest wymiana danych biometrycznych (ISO/IEC 19785:
Information technology - Common Biometric Exchange Formats Framework). Kolejne części
tego standardu obejmują:
• Część 1: Specyfikacja elementów danych (ISO/IEC 19785-1:2006, Information
technology - Common Biometric Exchange Formats Framework – Part 1: Data
element specification)
• Część 2: Procedury działania ośrodka rejestracji biometrycznej (ISO/IEC 19785-
2:2006, Information technology – Common Biometric Exchange Formats Framework
– Part 2: Procedures for the operation of the biometric registration authority)
• Część 3: Specyfikacje formatu patronackiego (ISO/IEC 19785-3:2007, Information
technology – Common Biometric Exchange Formats Framework – Part 3: Patron
format specifications)
Charakter porządkujący i normatywny maja również raporty techniczne ISO/IEC dotyczące
biometrii, w tym podstaw biometrii (ISO/IEC TR 24741:2007, Information technology –
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
33
Biometrics Tutorial) i technik biometrii wielokrotnej (ISO/IEC TR 24722:2007,
Information technology – Biometrics – Multimodal and other multibiometric fusion).
Problemami standaryzacji biometrii zajmują się również inne niż SC37 komitety techniczne
ISO/IEC. Komitet ISO/IEC JTC1 SC17, specjalizujący się w kartach mikroprocesorowych i
identyfikacji osób opracował normy dotyczące:
• weryfikacji osób metodami biometrycznymi (ISO/IEC 7816-11:2004 -
Identification cards – Integrated circuit cards – Part 11: Personal verification through
biometric methods) ,
• porównywania w środowisku karty mikroprocesorowej (ISO/IEC 24787 –
Information technology – Identification cards – On-Card matching ).
Komitet ISO/IEC JTC1 SC27, specjalizujący się w metodach i technikach bezpieczeństwa
technologii informacyjnych opracował normy dotyczące:
• oceny bezpieczeństwa i testowania technologi biometrycznych (ISO/IEC 19792,
Information technology – Security techniques - A framework for security evaluation
and testing of biometric technology),
• ochrony wzorców biometrycznych (ISO/IEC 24745 - Information technology –
Security techniques – Biometric template protection) oraz
• kontekstu uwierzytelniania dla biometrii (ISO/IEC 24761, Information technology
– Security techniques – Authentication context for biometrics).
Komitet ISO TC68, koncentrujący się na standaryzacji w bankowości, papierów
wartościowych i innych usług finansowych opracował również normę dotyczącą
bezpieczeństwa użytkowania biometrii w zadaniach uwierzytelniania tożsamości w
usługach bankowych (ISO 19092-1:2006, Financial Services – Biometrics – Part 1: Security
Framework).
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
34
5. Społeczne i prawne aspekty biometrii
Dr hab. Remigiusz Kaszubski
WPiA UW i Związek Banków Polskich
Analizując zjawisko biometrii można odnieść wrażenie, że jest to nowa dziedzina nauki. Tak
jednak nie jest. Według odkryć naukowych biometrię stosowali już starożytni Asyryjczycy,
Grecy i Rzymianie, ale największy wpływ na wykorzystanie biometrii mieli Chińczycy.
Wszystkie te kultury, jako element identyfikacji, wykorzystywały odcisk palca lub dłoni na
glinianej tabliczce.
W XIV w. Chińczycy wykorzystywali biometrię do odróżniania rówieśników wśród dzieci.
Weryfikacja polegała na zamoczeniu stopy dziecka w atramencie i odciśnięciu jej na papierze.
Postawiony ślad na papierze był następnie wykorzystywany do porównania z innymi śladami
i odróżnieniu konkretnego dziecka od innych na podstawie pozostawionego kształtu stopy.
W Europie biometria zaczęła się rozwijać we Francji, gdzie Alphonse Bertillon promował
wykorzystywanie indywidualnych cech człowieka do jego identyfikacji. Wprowadził
antropometrię, fotografię śledczą oraz portret pamięciowy.
Warto podkreślić, że to właśnie antropometrię wykorzystali badacze z Instytutu Antropologii
i Archeologii WHS w Pułtusku, we współpracy z ekspertami KGP, identyfikując i
rekonstruując czaszkę Mikołaja Kopernika.
Biometria, w ujęciu społecznym, to nauka zajmująca się mierzalnymi cechami biologicznymi.
Jest nauką interdyscyplinarną, gdyż wykorzystuje, m.in.: statystykę, matematykę, biologię,
probabilistykę, inżynierię.
Wyniki badań tej nauki, najefektowniej wykorzystywali do tej pory producenci filmów,
wielokrotnie budując poczucie strachu, w związku z przestępczym wykorzystaniem odciętego
lub wyrwanego, jakieś ofierze fragmentu ciała, który następnie posłużył przestępcom lub
kosmitom, do uzyskania danych nieosiągalnych w inny sposób.
Takie wykorzystanie biometrii musiało wzbudzić społeczne uczucie lęku, przed
wykorzystaniem biometrii. Wiedza na temat tej nauki staje się jednak coraz bardziej
powszechna, a jej zalety powoli eliminują stereotypy. Zwolennicy biometrii wykorzystują do
jej promocji wdzięczną tezę: „Biometria, czyli jestem swoim hasłem” i pokazują w jaki
sposób biometria, odciąża naszą pamięć, podnosi poziom bezpieczeństwa ochrony
wrażliwych danych, ułatwia wykonywanie codziennych i powszechnych czynności.
Te działania powodują, że coraz więcej ludzi akceptuje nowoczesne metody identyfikacji z
wykorzystaniem biometrii.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
35
Badania z raportu Unisys wskazują, że największą przychylność do zastosowania biometrii
wykazali mieszkańcy Ameryki Północnej (71% respondentów), następnie Europy (69%) oraz
Azji i Pacyfiku (68%). Co ciekawe co 10 respondent wyraził zgodę na wszczepienie
specjalnych układów scalonych do swojego organizmu.
Dla 83% badanych, główną zaletą identyfikacji biometrycznej jest niezawodność technologii
oraz jednoznaczność jej wyników. 75% respondentów jako praktyczną zaletę biometrii
wskazało szybkość autoryzacji konkretnej osoby i uproszczenie procedur.
Badania te wykazują, że coraz mniej respondentów obawia się utraty części swojej
prywatności na skutek wdrożenia rozwiązań biometrycznych.
Coraz większa społeczna akceptacji dla biometrii, nie rozwiązuje jednak wszystkich
problemów. Biometria to zaufanie, którego utrata może doprowadzić do zaprzestania prac w
tej dziedzinie na długi okres czasu.
Biometria wymaga odpowiedniego prawa, które w zależności od sposobu przechowywania i
przetwarzania danych określi właściwe procedury.
Dotyczy to w szczególności tych metod i technologii biometrycznych, które wymuszają
gromadzenie danych niezbędnych do identyfikacji ludzi w informatycznych bazach danych.
Przetwarzanie danych, a nade wszystko dostęp do tych danych, osób nieuprawnionych
generuje ryzyko ich utraty i wykorzystania do celów, na które osoba która dane pozostawia
nie wyraża zgody. Konieczne jest więc przygotowanie przepisów i restrykcyjne
przestrzegania prawa w zakresie przechowywania i przetwarzania danych biometrycznych. W
szczególności wykreowanie restrykcyjnego systemu dostępu do danych, w szczególności w
zakresie wyboru osób uprawnionych do dostępu i sprawowania nadzoru nad centralnym
repozytorium danych biometrycznych.
Mniej wątpliwości budzą te systemy biometryczne, w których dane nie są przechowywane w
centrach informatycznych, lecz są przetwarzane i zapisywane na kartach mikroprocesorowych,
a danymi tymi zarządza wyłącznie ich posiadacz. Ryzyko tego rozwiązania jest istotnie
mniejsze, gdyż przykładowo utrata karty z danymi biometrycznymi nie musi skutkować utratą
tożsamości po jej zastrzeżeniu, utrata danych przez jedną osobę nie podważa funkcjonowania
systemu jako całości (co nastąpiłoby w przypadku przejęcia danych z repozytorium danych
biometrycznych).
Dane biometryczne są danymi osobowymi, gdyż pozwalają na zidentyfikowanie tożsamości
konkretnej osoby. Zgodnie z ustawą o ochronie danych osobowych stosuje się do nich
określone rygory dotyczące ich pozyskiwania, utrwalania, przechowywania i
przechowywania. Jednym z podstawowych wymogów prawnych dotyczących przetwarzania
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
36
danych osobowych jest obowiązek uzyskania zgody osoby, której dane dotyczą i
zabezpieczenia tych danych w systemie informatycznym, w sposób uniemożliwiający
przetwarzanie tych danych w sposób nieuprawniony.
Analizując przepisy dotyczące przetwarzania danych należy zauważyć, że są one
skonstruowane w sposób, który umożliwia wykorzystywanie biometrii w Polsce. Celem
niniejszej publikacji nie jest przedstawienie gruntownej i pogłębionej analizy w tym zakresie.
Nie mniej jednak podkreślić należy, że prawo i praktyka w zakresie ochrony danych
osobowych jest na satysfakcjonującym poziomie. Czasami prawo jest rozumiane i
interpretowane zbyt restrykcyjnie, ale analiza poszczególnych przepisów nie daje podstaw do
podważenia możliwości legalnego wykorzystywania biometrii, przy założeniu przestrzegania
odpowiednich norm prawnych.
Biometria może być wykorzystywane do różnych celów, ale nie bez przyczyny jest
przedmiotem szczególnego zainteresowania administracji i bankowości. Te dwa obszary mają
szczególne doświadczenia w zakresie wykorzystywania danych osobowych i restrykcyjnym
podejściu do ich ochrony. Postrzegają biometrię, jako sposób na podniesienie bezpieczeństwa,
także w zakresie ochrony danych osobowych i uniemożliwieniu wykorzystania danych
wrażliwych przez osoby do tego nieuprawnione.
Zagadnienia dotyczące przepisów w zakresie wdrażania paszportów biometrycznych
zasygnalizowane są w dalszej części publikacji. Dlatego też w tym miejscu poruszone zostaną
zagadnienia, które pozwalają wykorzystywać biometrię w bankowości na podstawie ustawy
Prawo bankowe.
Dotychczasowa praktyka bankowa w zakresie ochrony danych osobowych opiera się na
zdecydowanie bardziej restrykcyjnych, niż w ustawie o ochronie danych osobowych,
przepisach dotyczących tajemnicy bankowej.
Zgodnie z art. 104 Prawa bankowego bank, osoby w nim zatrudnione oraz osoby, za których
pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę
bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w
czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę
czynność wykonuje.
Ochrona tajemnicą bankową powierzonych bankowi przez klientów (także potencjalnych
klientów) danych należy do uniwersalnych, a zarazem podstawowych powinności banków,
instytucji kredytowych i oddziałów banków zagranicznych (w rozumieniu ustawy Prawo
bankowe). Powstaje ona bowiem, w zasadzie, na tle wszystkich stosunków prawnych
(umownych) wiążących bank z beneficjentem tajemnicy, a nie tylko w zakresie określonego
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
37
stosunku obligacyjnego15
. Należy podkreślić, że powstaje ona także w przypadku negocjacji
banku z potencjalnym klientem nie zakończonych zawarciem stosunku obligacyjnego.
Niektóre dane objęte tajemnicą bankową mają charakter danych osobowych. W stosunku do
tych danych należy rozważyć, czy do ich ochrony należy stosować przepisy ustawy o
ochronie danych osobowych.
W kontekście tego pytania szczególnie istotne jest gruntowne zapoznanie się z ustawą o
ochronie danych osobowych. Odpowiedź na nie, czego czasami niezauważaną niektórzy
konserwatywni obrońcy ochrony danych osobowych, znajduje się w art. 5 ustawy o ochronie
danych osobowych. Zgodnie z jego brzmieniem, gdy przepisy odrębnych ustaw, które
odnoszą się do przetwarzania danych, przewidują dalej idącą ochronę, niż wynika to z ustawy
o ochronie danych osobowych, stosuje się przepisy tych ustaw.
W tym kontekście następuje więc odesłanie do analizy innych aktów prawnych. W przypadku
czynności bankowych ustawą, którą należy prześledzić, w celu weryfikacji czy daje ona
większą, czy też mniejszą niż ustawa o ochronie danych osobowych, ochronę danych
osobowych jest właśnie ustawa Prawo bankowe.
Zasady ujawniania oraz przetwarzania danych objętych tajemnicą bankowa regulują przepisy
art. 104-105a Prawa bankowego. Dostęp do danych chronionych tajemnicą bankową jest
reglamentowany przez ustawodawcę zarówno w zakresie przedmiotowym, jak i
podmiotowym. Oznacza to, że tylko konkretne podmioty i to tylko w konkretnej sytuacji
przewidzianej przez ustawodawcę mogą otrzymać konkretne informacje chronione tajemnicą
bankową. Ta kazuistyka oraz sankcje za ujawnienie danych chronionych tajemnicą bankową
osobom nieuprawnionym powoduje, że tajemnica bankowa jest jednym z najważniejszych
elementów zarządzania ryzykiem utraty reputacji w bankach. Ryzyko to jest uznawane za
najbardziej wrażliwe dla prawidłowego funkcjonowania banków.
Brzmienie przepisów regulujących tajemnicę bankową doprowadziło do przyjęcia w
orzecznictwie i doktrynie poglądu, że dane osobowe osób fizycznych i ich udostępnianie w
zakresie objętym tajemnicą bankową są chronione przede wszystkim przepisami ustawy –
Prawo bankowe16
. Ta ustawa daje bowiem dalej idącą ochronę niż ustawa o ochronie danych
osobowych.
Obowiązek zachowania tajemnicy bankowej nie oznacza jednak, że banki obciąża
bezwzględny nakaz milczenia. Taką praktykę obserwuje się jednak w polskim sektorze
15
M.Bączyk, Komentarz do art. 104 ustawy – Prawo bankowe, LexPolonica 2008r. 16 por. wyrok NSA z dnia 04.04.2003 r. IISA 2935/2002, Palestra 2004/7-8 str. 251; Pismo NBP z dnia
02.06.2000 r. NB/BPN/I/237/00; A. Zygadło, Cel przetwarzania informacji stanowiących tajemnicę bankową a
ustawa o ochronie danych osobowych, PB 2006, nr 1, s. 85.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
38
bankowym17
. Tymczasem w opinii niektórych komentatorów należałoby bronić uprawnienia
banków do udzielania informacji o charakterze ogólnym, gdyż udzielanie takich informacji
wymaga szczególna misja banków w każdej gospodarce wolnorynkowej (misja podmiotów
zaufania publicznego)18
.
Problem udostępniania informacji objętych tajemnicą bankową podmiotom uprawnionym ex
lege był wielokrotnie omawiany w literaturze19
. Zgodnie z art. 105 Prawa bankowego bank
ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie podmiotom
dokładnie określonym w tymże przepisie. Jak stwierdził NSA w wyroku z 04.04.2003 r.
katalog ten jest bardziej rygorystyczny niż możliwości przetwarzania danych osobowych,
przewidziane w art. 23 ustawy o ochronie danych osobowych. Regulacja art. 105 Prawa
bankowego powinna więc być stosowana zamiast przepisów ustawy o ochronie danych
osobowych. Analogicznie należy uznać, iż art. 105a określa również bardziej rygorystyczne
zasady przetwarzania danych osobowych niż te określone w ustawie o ochronie danych
osobowych - dane przetwarzane wyłącznie w celu oceny zdolności kredytowej i analizy
ryzyka kredytowego oraz w związku ze stosowaniem metod statystycznych.
Analiza obowiązujących obecnie przepisów prawa wskazuje, iż generalną zasadą jest, że
przepisy ustanawiające tajemnice zawodowe, służbowe przewidują dalej idącą ochronę niż ta
wynikająca z ustawy o ochronie danych osobowych20
. Dla przykładu - zgodnie z wyrokiem
Sądu Administracyjnego w Warszawie z dnia 5 sierpnia 2004 r21
, cel polegający na
zapewnieniu bezpieczeństwa obrotu finansowego usprawiedliwia dopuszczalność kserowania
dowodów osobistych przy zawieraniu umów kredytowych, pomimo zarzutów podnoszonych
w tym zakresie na gruncie przepisów ustawy o ochronie danych osobowych22
.
Orzecznictwo i doktryna wprost więc wskazują, że zarówno zakres ochrony danych
osobowych powierzonych bankowi, że zasadny jest pogląd, aby do ich ochrony nie stosować
ustawy o ochronie danych osobowych lecz przepisy ustawy Prawo bankowe.
Przewidują one bowiem bardziej rygorystyczne wymogi w zakresie udostępniania informacji
bankowej (składającej się z informacji dotyczących czynności bankowych oraz wiadomości
17
M.Bączyk, Komentarz – op.cit. 18
M.Bączyk, Komentarz – op.cit. 19
zob. np. J. Majewski, Uprawnienie do żądania od banku informacji objętych tajemnicą bankową, PB 1999, nr
6, s. 79–87; R. Kosmalski, Dostęp do tajemnicy bankowej organów podatkowych oraz kontroli skarbowej, PB
1999, nr 3, s. 67–80; E. Fojcik-Mastalska, Biegli rewidenci a tajemnica bankowa, PB 2000, nr 9, s. 67–72 20
A.Drozd, Komentarz do art. 5 ustawy o ochronie danych osobowych, LexPoloonica 2008 21
II SA/Wa 521/2004 22 Analogiczna sytuacja dotycząca zakresu stosowania ochrony wynikającej z ustawy o ochronie danych
osobowych miała miejsce przy wydawaniu wyroku z dnia 19 grudnia 2001 r. przez Naczelny Sad
Administracyjny, II SA 2869/2000,
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
39
podmiotu będącego stroną umowy) niż przepisy ustawy o ochronie danych osobowych.
Argumentem potwierdzającym tę tezę są także rygorystyczne sankcje przewidziane przez
ustawę Prawo bankowe w przypadku nieuprawnionego ujawnienia informacji objętych
tajemnicą bankową (art. 171 ust. 5).
Dotychczasowe doświadczenia w zakresie ochrony danych objętych tajemnicą bankową, w
tym danych osobowych, dają wystarczającą podstawę do tego by wnioskować, że
wykorzystanie danych biometrycznych przez banki jest możliwe. Prawo bankowe umożliwia
wykorzystanie tych danych do celów weryfikacji klienta i podniesienia poziomu
bezpieczeństwa transakcji, a przez to także całego obrotu gospodarczego.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
40
6. Uwierzytelnianie tożsamości w bankach
Antoni Hanusik
Rada Bankowości Elektronicznej ZBP
Dynamiczny rozwój bankowości elektronicznej w Polsce stawia przed polskim sektorem
bankowym nowe wyzwania związane z koniecznością podejmowania działań
ukierunkowanych na ograniczenie ryzyka związanego z przestępczością. Opracowanie
odpowiednich kanonów regulujących dokonywanie transakcji stanowić będzie skuteczną
przesłankę wzmacniającą ochronę zarówno przed zjawiskami mogącymi skutkować
powstaniem ryzyka utraty reputacji (np. w przypadku wystąpienia zjawisk przestępczych).
Będzie też skuteczne jako narzędzie ograniczające ryzyko technologiczne. W pierwszej
kolejności konieczne jest jasne określenie i stosowanie w praktyce zasad dokonywania
transakcji a także zasad wskazujących na obowiązki i uprawnienia, które spoczywają zarówno
po stronie banku - usługodawcy, jak i na kliencie (konsumencie usług).
Zagadnienie uwierzytelniania klienta jest bezpośrednio związane z charakterystyką usługi
bankowości elektronicznej traktowanej jako usługa świadczona na odległość bez obecności w
jednym miejscu obu stron. Proces uwierzytelniania klienta powinien składać się z dwóch
poziomów, które w sposób jasny i precyzyjny określają:
- zasady dokonywania transakcji;
- rozstrzygają w jakich sytuacjach można uznać transakcję dokonaną, jako
niezaprzeczalną.
Kluczowa w tym zakresie jest konieczność wdrożenia mechanizmów związanych z
uwierzytelnianiem klientów dokonujących transakcji. Zasadniczo wyróżnić można dwie
metody uwierzytelniania konsumenta: jedno i wieloczynnikową. Jako przykład
jednoczynnikowej metody uwierzytelniania należy wskazać np. użycie jedynie hasła jako
„klucza dostępu” do bankowości elektronicznej. Analogicznie uwierzytelnianie
wieloczynnikowe bazować będzie na wykorzystaniu w procesie dwóch lub więcej czynników.
Metoda jednoczynnikowa jest wskazywana jako nieadekwatna do transakcji wysokiego ryzyka.
Uwierzytelnianie może być dokonywane przy wykorzystaniu jednej z trzech kategorii
czynników:
- czegoś, o czym konsument wie (np. hasło, PIN)
- czegoś, co konsument posiada (np. karta mikroprocesorowa, karta SIM)
- czegoś, czym konsument się identyfikuje (metody biometryczne)
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
41
Należy podkreślić fakt, iż uwierzytelnianie jednoczynnikowe jest częstokroć powodem
kradzieży tożsamości bądź innego rodzaju przestępstw bezpośrednio związanych z
„internetowym” rachunkiem bankowym. Ryzyko leżące po stronie banku powinno być
oceniane z punktu widzenia rodzaju klienta (indywidualny lub instytucjonalny), jego
przyzwyczajeń transakcyjnych (rodzajów operacji, których dokonuje) oraz wrażliwości
informacji o kliencie, które przekazywane są pomiędzy bankiem i klientem. Odpowiednie
podejście do problemu uwierzytelniania wymaga rozwoju wewnątrzbankowych standardów
ochrony informacji, integracji procesów uwierzytelniania z określonymi w danej instytucji
zasadami ochrony informacji oraz skorelowaniem z zasadami i procedurami nadzoru i
monitorowania ryzyka. Wybór metody uwierzytelniania użytej w aplikacji internetowej
powinien być uzasadniony również z perspektywy biznesowej. Przy jego dokonywaniu
konieczne jest uwzględnienie możliwości wprowadzania zmian aplikacji wynikających z
rozwoju technologii i zapewniających adekwatność aplikacji w przyszłości.
Ważnym zagadnieniem związanym z problematyką identyfikacji i uwierzytelniania
konsumenta usług bankowości elektronicznej jest zagadnienie weryfikacji danych klienta w
sytuacji zakładania rachunku. Odpowiednie rozwiązanie tej kwestii ma podstawowe
znaczenie z punktu widzenia ograniczenia ryzyka związanego z kradzieżą tożsamości,
fałszywymi wnioskami o otwarcie rachunku i innego rodzaju przestępstwami, które mogą
powstawać w związku z nieodpowiednią procedurą weryfikacji tożsamości klienta
składającego wniosek o założenie rachunku. Podkreślenia wymaga, iż znaczące ryzyko
generowane jest w bankach, które pozyskują nowych klientów jedynie za pośrednictwem
kanałów elektronicznych. W związku z tym, iż w sytuacji wykorzystania jedynie tych
kanałów do identyfikacji tożsamości klienta i z zasady wyłącza to fizyczną możliwość
weryfikacji dokumentów tożsamości, banki oferujące usługi bankowości elektronicznej
powinny stosować inne niezawodne metody weryfikacji klientów. Należy wskazać, iż istnieją
trzy sposoby przeprowadzania tego procesu:
1. Pozytywna weryfikacja tożsamości - w sytuacji, gdy dane podawane przez klienta
porównywane są z informacjami pochodzącymi z baz danych, prowadzonych
przez zaufane strony trzecie
2. Logiczna weryfikacja tożsamości - polegająca na porównaniu podanych danych
pod kątem ich logicznej spójności (np. zgodność podanego kodu z podanym
adresem oraz telefonem)
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
42
3. Negatywna weryfikacja tożsamości - polegająca na sprawdzeniu, czy otrzymane
informacje nie były wcześniej związane z działalnością przestępczą
Szczególny nacisk należy położyć w tym zakresie na weryfikację prawdziwości i ważności
dokumentów przekazywanych przez klientów poprzez wykorzystywanie baz danych tak jak
MIG Dokumenty Zastrzeżone, jak również zgłaszanie konieczności wprowadzania
dodatkowych modułów i rozszerzania ich funkcjonalności w celu ograniczania ryzyk
związanych z problematyką uwierzytelniania klienta.
Banki świadczące usługi bankowości internetowej powinny badać adekwatność stosowanych
metod uwierzytelniania i identyfikacji Klienta z punktu widzenia pojawiających się na rynku
ryzyk związanych z phishingiem, pharmingiem oraz oprogramowaniem stosowanym do
zbierania danych o kliencie. W sytuacji wykazania, w procesie oceny ryzyka,
nieadekwatności stosowania uwierzytelniania jednoczynnikowego, bank świadczący usługi
bankowości elektronicznej powinien wdrożyć mechanizmy uwierzytelniania
wieloczynnikowego, zabezpieczenia wielokanałowe i ewentualnie inne metody zabezpieczeń,
które w sposób racjonalny ograniczają zidentyfikowane zagrożenia.
Banki świadczące usługi z wykorzystaniem Internetu powinny rozwijać usługi tak, aby
zapewnić implementację odpowiednich zmian zachodzących wraz z rozwojem technologii,
zmian w otoczeniu rynkowym oraz wzrostem wymagań ze strony rozwijającego się
społeczeństwa informacyjnego23
.
Dlatego właśnie biometria staje się obszarem zintensyfikowanego zainteresowania banków.
Daje ona bowiem nadzieję na zwiększenie wygody i jakości obsługi klientów, przy
zachowaniu najwyższych standardów bezpieczeństwa.
23 Opracowano na podstawie: Zasady dobrej praktyki w zakresie uwierzytelniania i identyfikacji w bankowości
elektronicznej, Rekomendacje Zarządu ZBP z dnia 13.02.2007
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
43
7. Wybrane praktyczne zastosowania biometrii na przykładzie bankowości
Tadeusz Woszczyński
Hitachi Europe Ltd.
Dr hab. Remigiusz W. Kaszubski
WPiA UW i ZBP
Sektor bankowy był jednym z pierwszych, który dostrzegł i docenił korzyści związane z
użyciem systemów biometrycznych. Na początku biometria była wykorzystywana głównie w
wewnętrznej infrastrukturze bezpieczeństwa, w celu:
- kontroli dostępu do krytycznych obszarów banków (np. skarbca, centrum danych)
- kontroli czasu pracy użytkowników banków
Wykorzystanie biometrii tylko w infrastrukturze wewnętrznej wiązało się z wysokimi
kosztami urządzeń biometrycznych, a także wąską gamą technik i urządzeń biometrycznych.
Wraz z rozwojem biometrii pojawiły się kolejne sposoby jej zastosowania w wewnętrznej
strukturze banku tzn.: w autoryzacji transakcji i operacji, logowaniu do zasobów
systemowych lub w przeciwdziałaniu wyciekowi danych.
Przyszłością biometrii jest wykorzystanie biometrii przez klienta banku. Na świecie istnieją
wdrożenia systemów biometrycznych wykorzystywanych do uwierzytelniania klientów
banków i autoryzacji transakcji. Do najbardziej interesujących zastosowań biometrii przez
klienta banku można zaliczyć:
- uwierzytelnianie transakcji bankomatowych i płatności w terminalach POS (ang.
point of sale – punkt akceptacji karty, punkt handlowy)
- uwierzytelnianie klientów banków w okienkach kasowych
- uwierzytelnianie klientów i transakcji w bankowości internetowej
- uwierzytelnianie klientów i transakcji płatności mobilnych
- kontrola dostępu do skrytek depozytowych
- realizacja czeków
Według badań społecznych
[4.1], klienci banków są otwarci na przyjęcie rozwiązań
biometrycznych, co będzie miało wpływ na rozwój biometrii w bankowości w najbliższych
latach.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
44
Przykładowo według przeprowadzonych badań:
- 51% ankietowanych Europejczyków boi się nielegalnego wykorzystania ich kont
bankowych lub kart kredytowych przez osoby niepowołane.
- 33% ankietowanych jest w stanie zapłacić bankowi wyższą prowizję w zamian za
lepszą ochronę konta osobistego.
- 66% badanych jest zdania, że najlepszą metodą walki z przestępstwami
wyłudzenia i kradzieży środków pieniężnych jest stosowanie przez banki
identyfikacji biometrycznej i aż 82% uważa, że jest to metoda bardziej
bezpieczna od klasycznych kart wykorzystujących PIN
- 98% ankietowanych jest zadowolonych z wprowadzenia technologii
biometrycznych.
- 78% badanych potwierdza, że zastosowanie biometrii jest prostsze w użyciu niż
użycie klasycznych kart + PIN
Dane te aktywizują określone środowiska do zintensyfikowania prac nad wykorzystaniem
biometrii.
7.1. Strona klienta banku
7.1.1 Autoryzacja transakcji w bankomatach
Z perspektywy analizy wdrażania biometrii na świecie podkreślenia wymaga fakt, iż coraz
więcej banków angażuje się we wdrażanie metod biometrycznych. Niektóre z nich,
szczególnie w Japonii i Ameryce Południowej wprowadzają uwierzytelnianie biometryczne
do swoich oddziałów i bankomatów.
Zastosowanie biometrii w znaczący sposób zwiększa bezpieczeństwo przeprowadzania
transakcji bankomatowych, tzn. wypłat i wpłat gotówki z/na konta. Uwierzytelnienie klienta
realizującego transakcję bankomatową. Autoryzacja transakcji bankomatowych przy pomocy
kodu PIN nie jest metodą w pełni gwarantującą bezpieczeństwo, gdyż w żaden sposób nie
udowadnia tożsamości wprowadzającej go do systemu osoby.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
45
Klienci banków w Europie coraz bardziej obawiają
się nielegalnego użycia swoich kart płatniczych i
pobrania ich środków finansowych z bankomatów
przez osoby do tego nieupoważnione. Wyrażają też
swoją dezaprobatę dla konieczności zapamiętania i
używania coraz większej ilości kodów i haseł.
Dlatego właśnie coraz częściej prowadzi się prace
nad systemami biometrycznymi, które są przyjazne
dla klientów banków. Przykładowo, w praktyce
potwierdzono, że zastosowanie biometrii pozwala
bankowi sprawdzić tożsamość osoby dokonującej
transakcji polegającej na wypłacie środków z bankomatu.
Zastosowanie biometrii oprócz zwiększenia bezpieczeństwa, pozwala również klientowi
banku na rezygnację ze stosowania kodu PIN, a w niektórych przypadkach nawet ze
stosowania kart płatniczych w celu wypłaty środków z bankomatu.
W bankomatach wykorzystujący do weryfikacji klienta technologię biometryczną stosuje się
dwa typy uwierzytelniania transakcji:
- PIN + biometria
- tylko biometria
W pierwszym przypadku biometria stanowi drugi po kodzie PIN stopień zabezpieczenia
transakcji bankomatowych. W drugim przypadku zastosowanie biometrii całkowicie wyłącza
potrzebę wykorzystania kodu PIN.
W biometrycznych systemach bankomatowych wykorzystuje się przeważnie dwa modele tych
systemów: model „kartowy”, w którym dane biometryczne są przechowywane na karcie
wydanej przez bank oraz model „bezkartowy”, w którym dane klienta przechowywane są w
centralnej, zabezpieczonej bazie danych.
� Model „kartowy”
Model „kartowy” (rys. 4.2) w biometrycznych systemach bankomatowych jest rozwiązaniem
najbardziej naturalnym, gdyż wykorzystuje płatnicze karty mikroprocesorowe wydawane
przez bank. Na karcie mikroprocesorowej oprócz aplikacji bankowych (EMV) umieszczane
są aplikacje do przechowywania danych biometrycznych, a także aplikacja porównująca dane
biometryczne na karcie (z ang. match-on-card). Technologia match-on-card umożliwia
Rys. 4.1 Przykład bankomatu wykorzystującego
biometrię
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
46
zastąpienie lub uzupełnienie numeru PIN przez cechę biometryczną wykorzystywaną do
uwierzytelnienia. Karty mogą wykorzystywać platformę systemową Java lub MULTOS.
MULTOS wydaje się w tym przypadku dobrym rozwiązaniem gdyż jest to otwarty,
multiaplikacyjny standard, zapewniający najwyższe bezpieczeństwo danych. Klient banku
może wykorzystać swoją kartę płatniczą zawierającą dane biometryczne zarówno w
bankomatach, jak i oddziałach banku. Karta taka może zostać wykorzystana także do innych
celów wymagających weryfikacji posiadacza. Może być ona „kluczem dostępu” do transakcji
płatniczych w terminalach POS i w Internecie. Może także umożliwiać dostęp do
całodobowych i bezobsługowych oddziałów banków.
Model „kartowy” posiada wiele zalet zarówno dla banku, jak i klienta. Klient nie ma obaw
dotyczących zarządzania jego danymi biometrycznymi, gdyż sam nimi zarządza. Dane
wzorcowe zapisane na karcie mikroprocesorowej nie wpływają do wewnętrznego systemu
bankowego (bankomatowego). Dana biometryczna pobierana w bankomacie podczas
uwierzytelniania klienta jest transmitowana na kartę, gdzie zostaje ona porównana z daną
wzorcową (zapisaną podczas rejestracji). Model „kartowy” spełnia wymogi Generalnego
Inspektora Ochrony Danych Osobowych (GIODO). Zastosowanie modelu „kartowego”
rozwiązuje także problem szybkości procesu uwierzytelniania. Dane biometryczne są bowiem
porównane w trybie 1:1 (lub 1 do kilku), co zapewnia najszybsze możliwe porównanie.
Model „kartowy” jest perspektywicznym rozwiązaniem dla polskiej bankowości. Zgodnie z
założeniami SEPA (Jednolity obszar płatności w euro), na podstawie przyjętego przez polskie
banki Sepa Cards Framework (Standardu SEPA dla kart płatniczych), do końca 2010
planowane jest ukończenie migracji kart wyposażonych w pasek magnetyczny na karty
wyposażone w mikroprocesor zgodny ze standardem EMV. Polskie banki, zgodnie z
przyjętymi założeniami, będą przede wszystkim wydawały karty płatnicze hybrydowe –
wyposażone zarówno w pasek magnetyczny jak i mikroprocesor. Założenie to uwzględnia
oczekiwania klientów banków, którzy oczekują karty płatniczej umożliwiającej im także
dokonywanie transakcji płatniczych w krajach, w których nie obowiązuje standard EMV.
Jednakże w innych krajach, np. Holandii, banki zaczęły wydawać karty płatnicze wyposażone
wyłącznie w mikroprocesor. Również w Polsce, niektóre banki, na niewielką skalę wydają już
karty płatnicze wyposażone wyłącznie w mikroprocesor. Wadą tego rozwiązania jest
ograniczenie geograficznego obszaru akceptacji tych kart płatniczych. Klienci banków
wydających karty wyłącznie z mikroprocesorem, w przypadku planowanej podróży do krajów
spoza strefy SEPA, otrzymują od banku drugą kartę wyposażoną w pasek magnetyczny.
Mikroprocesory są masowo wykorzystywane w telefonach komórkowych. Zarówno ilość
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
47
telefonów komórkowych na rynku, jak i wygoda posługiwania się nimi doprowadziła do
wykorzystania telefonu, jako nośnika aplikacji płatniczych. Płatności mobilne stały się
jednym z obszarów zainteresowania banków. Także w Polsce wdrażane są rozwiązania na
bazie aplikacji w mikroprocesorze telefonu komórkowego. Telefon w polskim rozwiązaniu
działa w sposób analogiczny do karty płatniczej.
Kierunek rozwoju wdrażanej technologii i jej rozwoju jest jednak jednoznaczny. Karty
płatnicze będą wyposażone w mikroprocesor. A już wkrótce będzie to dominujące
rozwiązanie. Pasek magnetyczny ze względu na swoje wady zostanie wycofany.
Ta tendencja stanowi też podstawę do rozważań na temat sposobów i kosztów wdrożenia
rozwiązań biometrycznych z wykorzystaniem płatniczej karty mikroprocesorowej wydawanej
przez polskie banki i telefonu komórkowego z aplikacją płatniczą.
� Model „bezkartowy”
Model „bezkartowy (rys. 4.3) w biometrycznych systemach bankomatowych jest
wygodniejszy dla klienta banku. Nie wymaga bowiem korzystania z karty płatniczej, co
eliminuje zagrożenie utraty (np. kradzieży) karty. Klient banku może korzystać z bankomatu
lub innego urządzenia i uwierzytelniać się wyłączenie za pomocą swojej cechy fizycznej.
W przypadku tego systemu, po wykonaniu procesu rejestracji danych biometrycznych
Rys. 4.2 Koncepcja modelu „kartowego” systemu wykorzystującego biometrię w realizacji transakcji
bankomatowych i „over the counter”.
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
48
(najczęściej w siedzibie banku podczas zakładania konta), są one następnie zapisywanej w
centralnej bazie danych. Baza ta zawiera rejestr klientów banków wraz z przypisanymi im
danymi biometrycznymi. Baza zawierająca dane biometryczne klientów musi jednak spełniać
najbardziej rygorystyczne normy bezpieczeństwa i być szyfrowana. Dane biometryczne
pozostają więc w systemie informatycznym.
Model „bezkartowy” w systemach bankomatowych przy użyciu biometrii wiąże się z bardzo
trudnym wdrożeniem. Głównym problemem jest czas potrzebny do uwierzytelnienia klienta.
Metoda „bezkartowa” stanowi bowiem podstawę procesu identyfikacji klienta. Czytnik
biometryczny wbudowany w bankomat musi odczytaną daną biometryczną przekazać do
systemu centralnego, w którym zostanie ona porównana z całą bazą klientów. Aby to
osiągnąć należy zapewnić najszybsze łączą komunikacyjne, a także najszybsze algorytmy
porównujące dane biometryczne. Dotychczas największym wdrożeniem modelu
„bezkartowego” w systemach bankomatowych było wdrożenie w Kolumbii (BanCafe)
obejmujące ok. 250 tysięcy pracowników.
Model „bezkartowy” zapewnia dużą wygodę klientowi banku, ale może się spotkać z ich
sprzeciwem (klienci nie mają możliwości zarządzania własną tożsamością).
Podstawowym problemem prawnym, w przypadku modelu „bezkartowego”, na gruncie prawa
europejskiego, w tym polskiego, jest aspekt dotyczący pozyskiwania i przetwarzania danych
osobowych.
W 2007 francuska organizacja CNIL (francuski odpowiednik GIODO) po raz pierwszy w
historii pozwoliła na użycie biometrii z wykorzystaniem modelu „bezkartowego”. Dotyczyło
to technologii biometrycznej naczyń krwionośnych uznaną przez CNIL jako technologię
wykorzystującą „nieprzechwytywalne” dane biometryczne (z ang. non-traceble biometrics).
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
49
W bankomatach mogą być zastosowane czytniki biometryczne wykorzystujące jedną z
poniższych technologii:
- biometria odcisku palca
- biometria naczyń krwionośnych palca
- biometria naczyń krwionośnych dłoni
- biometria tęczówki oka
Dotychczas na świecie największy sukces we wdrożeniach biometrycznych w systemach
samoobsługowych odniosły technologie biometrii naczyniowej: biometria naczyń
krwionośnych palca (ponad 33 tys. bankomatów w Japonii) i naczyń krwionośnych dłoni (ok.
7 tys. bankomatów w Japonii). Przewaga tych technologii wynika z faktu, że zostały one
opracowane specjalnie na potrzeby biometrycznej autoryzacji transakcji bankomatowych.
Spełniają one wygórowane metody bezpieczeństwa w połączeniu z szybkością, wygodą
użytkowania oraz małym rozmiarem czytników.
Inna technologią, która była szeroko testowana w światowej bankowości była biometria
odcisku palca, którą wdrażano głównie w krajach Ameryki Południowej (Kolumbia, Chile,
Brazylia). Głównym napotkanym problemem tej technologii okazał się bardzo duży
współczynnik błędnych odrzuceń (od 8-30%), szczególnie wśród osób starszych i narażonych
Rys. 4.3 Koncepcja modelu „bezkartowego” systemu wykorzystującego biometrię w realizacji
transakcji bankomatowychi „over the counter”.
Źródło: Hitachi
Oddziały banku:
• Identyfikacja biometryczna
• Systemy bezkartowe
• Ograniczenia w liczbie użytkowników
Bankomaty/Kioski interaktywne:
Centralna baza danych
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
50
na zniszczenie naskórka dłoni.
Na świecie testowano również bankomaty wykorzystujące biometrię tęczówki oka (m.in.
USA i Wielka Brytania) i biometrię kształtu twarzy (np. USA). Zainteresowanie biometrią
tęczówki oka wynika z wysokiego poziomu bezpieczeństwa. Główną barierą dla masowego
wykorzystania tego rozwiązania okazała się cena kamer biometrycznych i wygoda
użytkowania tego rozwiązania.
Po analizie stosowanych na świecie rozwiązań biometrycznych, można wyciągnąć wniosek,
że do autoryzacji transakcji bankomatowych należy wybrać takie które spełniają następujące
kryteria:
- zapewniają najwyższe możliwe bezpieczeństwo (najmniejsze możliwe FAR)
- zapewniają szybkie uwierzytelnianie
- są wygodne w użyciu
- gwarantują niezawodny odczyt
- mają rozmiar umożliwiający integrację z bankomatem
- nie wzbudzają sprzeciwu użytkowników
7.1.2 Autoryzacja transakcji typu „over the counter” (w kasach/okienkach bankowych)
Systemy biometryczne mogą mieć również szerokie
zastosowanie przy uwierzytelnianiu w okienkach
kas lub punktach obsługi klienta w oddziałach
banku. Obecnie tożsamość klientów jest
weryfikowana na podstawie dowodu osobistego
(zdjęcie) i podpisu odręcznego. Nie gwarantuje to
jednak właściwego poziomu bezpieczeństwa dla
banków jak i ich klientów. Zastosowanie biometrii
do uwierzytelniania klienta podczas transakcji w
oddziałach banku gwarantuje najwyższe potwierdzenie jego tożsamości. Bank może
wykorzystać uwierzytelnianie biometryczne nie tylko podczas wypłat, wpłat na konto ale
także przy innych operacjach w oddziałach banku (np. potwierdzenie zmiany danych klienta,
złożenie wniosków kredytowych itd.).
Rys. 4.4 Przykład czytnika biometrycznego
służącego do rejestracji danych
biometrycznych, a także uwierzytelniania
klienta w oddziale banku
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
51
Podobnie jak w biometrycznych systemach samoobsługowych stosuje się 2 rodzaje modeli
systemowych:
- model „kartowy”
- model „bezkartowy”
W modelu „kartowym” w oddziałach banków znajdują się czytniki biometryczne połączone z
czytnikiem kart stykowych. Klient podczas swojej wizyty w oddziale banku używa swojej
karty płatniczej (lub innej karty wydanej przez bank, np. karty identyfikacyjnej klienta) na
której zapisana jest wzorcowa dana biometryczna klienta (pobrana podczas rejestracji). Po
włożeniu karty do czytnika następuje weryfikacja tożsamości klienta. Proces porównywania
danych biometrycznych może się odbyć na karcie (match-on-card) lub w bankowym systemie
IT. Ze względów bezpieczeństwa poleca się stosowanie aplikacji match-on-card. W wyniku
przeprowadzenia uwierzytelniania biometrycznego, pracownik banku uzyskuje informacje o
jej pozytywnym lub negatywnym wyniku, na podstawie którego może wykonać dalsze
operacje (np. wypłatę środków finansowych). Pracownik banku nie ma możliwości ingerencji
w dane biometryczne klienta.
Czytnik hybrydowy umożliwiający odczyt danych biometrycznych i danych zapisanych na
karcie płatniczej może być stosowany do rejestracji danych biometrycznych klienta (np. przy
otwieraniu rachunku bankowego).
W modelu „bezkartowym” w oddziałach banku znajdują się czytniki biometryczne
podłączone do systemu bankowego. Klient podczas swojej wizyty w banku zostaje
weryfikowany biometrycznie. Pobrana dana biometryczna jest wtedy porównywana z daną
zapisaną w centralnej bazie danych. Proces porównywania odbywa się w samym czytniku lub
na serwerze uwierzytelniania. Stosowane są specjalnie zintegrowane z biometrią systemy
informatyczne banku, które po poprawnej identyfikacji klienta, dostarczają pracownikowi
banku informacje o kliencie (np. historię transakcji, dane konta, dane klienta ze zdjęciem itd.).
Wśród technologii biometrycznych, które mogą być wykorzystywane do uwierzytelniania i
identyfikacji klientów w oddziałach banku, należy wskazać:
- biometrię podpisu odręcznego
- biometrię naczyń krwionośnych palca
- biometrię naczyń krwionośnych dłoni
- biometrię odcisku palca
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
52
Ze względów psychologicznych i niskiego komfortu pobierania danych (negatywne
nastawienie klientów), co do zasady nie stosuje się w oddziałach banków systemu
uwierzytelnienia opartego na technologii biometrii tęczówki oka.
7.1.3 Autoryzacja transakcji w bankowości internetowej
Usługi bankowości internetowej stały się dostępne
i wykorzystywane przez dla kilkanaście milionów
klientów w Polsce. W krajach wysokorozwiniętych
są usługami masowymi. Klienci banków cenią
sobie ogromną wygodę korzystania z bankowości
internetowej. Jednakże część klientów bankowości
internetowej, a także klientów banków którzy
jeszcze z niej nie korzystają, odczuwa dyskomfort
związany z poczuciem zagrożenia danych i
środków znajdujących się na kontach bankowych
w trakcie przeprowadzanych internetowo
transakcji. Do uwierzytelniania transakcji banki stosują powszechnie kody jednorazowe,
dostarczając klientom zdrapki z kodami, tokeny generujące kody jednorazowe lub wysyłając
kody poprzez specjalne sms-y na numery telefonu komórkowego podanego przez klienta.
Żadna z tych metod nie sprawdza jednak tożsamości osoby wykonującej daną operację
finansową na koncie elektronicznym. Zarówno karta ze zdrapką, token, a przede wszystkim
telefony komórkowe mogą zostać pozyskane przez osoby nieupoważnione do korzystania z
nich. Ryzyko to może zostać wyeliminowanie poprzez zastosowanie czytników
biometrycznych. Według przeprowadzonych badań, właśnie ten obszar bankowości może w
niedługim czasie stać się głównym miejscem wdrożeń systemów biometrycznych. Dostawcy
rozwiązań biometrycznych, dostarczają kompaktowe skanery, które mogą być
wykorzystywane w bankowości internetowej.
Rys. 4.5 Przykład czytnika biometrycznego
służącego do uwierzytelniania transakcji w
bankowości internetowej
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
53
W bankowości internetowej stosuje się różne koncepcje systemów biometrycznych.
Zróżnicowanie polega przede wszystkim na sposobie przechowywania danych
biometrycznych.
Na rys. 4.6 przedstawiono najczęściej stosowany model, wykorzystujący centralny serwer
uwierzytelniania danych biometrycznych klientów. Szyfrowana dana biometryczna pobrana
podczas operacji od klienta jest wysyłana do aplikacji bankowości internetowej, która
następnie komunikuje się z serwerem uwierzytelniania. Serwer uwierzytelniania w
odpowiedzi na zapytanie e-aplikacji wysyła rezultat porównania biometrycznego (dane
wzorcowe nie wypływają poza serwer uwierzytelniania). Obecnie są już dostarczane serwery
autoryzacji biometrycznej które pozwalają na szybkie i bezpieczne uwierzytelnianie między
0,5 – 1 miliona użytkowników.
Kolejną koncepcją jest zastosowanie systemu z mikroprocesorową kartą płatniczą.
Użytkownik oprócz czytnika biometrycznego otrzymuje (lub kupuje) czytnik kart
mikroprocesorowych. Dane mogą być porównywane za pomocą specjalnej aplikacji na
komputerze użytkownika (wtedy dana wzorcowa pobierana jest z karty), bądź też na samej
karcie płatniczej przy pomocy aplikacji match-on-card. Rezultat porównania jest wtedy
wysyłany do aplikacji internetowej banku.
Rys. 4.6 Koncepcja systemu bankowości internetowej wykorzystującego uwierzytelnianie
biometryczne na przykładzie biometrii naczyń krwionośnych palca (Finger Vein – FV)
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
54
Ze względów bezpieczeństwa najrzadziej stosowaną metodą jest przechowywanie danych
wzorcowych na komputerze i porównywanie ich za pomocą specjalnej aplikacji. Rezultat
porównania jest wtedy wysyłany do aplikacji internetowej banku.
W bankowości internetowej mogą być zastosowane kompaktowe czytniki biometryczne
wykorzystujące jedną z poniższych technologii:
- biometria podpisu odręcznego
- biometria naczyń krwionośnych palca
- biometria odcisku palca
Miniaturyzacja kamer biometrycznych i obniżenie kosztów ich produkcji może również
pozwolić w najbliższych latach na zastosowanie biometrii tęczówki oka.
Z powodu kosztów czytników biometrycznych najwięcej wdrożeń w bankowości
elektronicznej można spotkać przede wszystkim w bankowości korporacyjnej. Wydaje się
jednak, że koszty czytników będą spadać co spowoduje wzrost jej popularności dla klientów
detalicznych.
7.1.4 Kontrola dostępu do skrzynek depozytowych
Na świecie coraz częściej wykorzystuje się
biometrię do zabezpieczenia dostępu do skrytek
depozytowych i sejfów. W Ameryce Północnej
technologię tą stosuje już ponad 350 banków.
Biometryczne zabezpieczenie skrytek
depozytowych stało się powszechne w Japonii i
innych regionach Azji (Chiny, Singapur).
Przeważnie czytniki biometryczne są instalowane
w klamkach do skrzynek depozytowych lub w
innym miejscu drzwiczek. Istnieją również
systemy, w których czytnik biometryczny znajduje
się w jednym, centralnym miejscu pomieszczenia
ze skrytkami depozytowymi. Po przeprowadzeniu
identyfikacji/uwierzytelnienia klienta banku,
odpowiednia skrytka zostaje automatycznie
otworzona przez system.
Rys. 4.7 Przykład czytnika biometrycznego
umieszczonego w klamce służącego do kontroli
dostępu do skrzynki depozytowej
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
55
Wśród technologii biometrycznych stosowanych w skrytkach depozytowych banków, można
zastosować:
- biometrię odcisku palca
- biometrie tęczówki oka
- biometrię kształtu dłoni
- biometrię naczyń krwionośnych palca
Biometria tęczówki oka i kształtu dłoni stosowana jest przeważnie w czytnikach
podłączonych do scentralizowanego systemu zarządzania skrytkami depozytowymi. Czytniki
biometryczne wykorzystujące odcisk palca montuje się przeważnie w drzwiczki każdej ze
skrytek. Natomiast czytniki naczyń krwionośnych montowane są w klamkach skrytek, w celu
zapewnienia komfortu jej użytkownikowi.
7.1.5 Uwierzytelnianie biometryczne w terminalach POS
Interesującym, z perspektywy praktycznego zastosowania biometrii jest uwierzytelnianie
transakcji w terminalach POS. Terminal POS (ang. point of sale – punkt akceptacji, punkt
handlowy) jest urządzeniem instalowanym w punktach handlowo-usługowych, w których
akceptowana jest płatność kartą płatniczą. Podmiot, który przyjmuje ten rodzaj płatności jest
akceptantem kart płatniczych. POS jest używany do kontaktu z bankiem za pośrednictwem
agenta rozliczeniowego (centrum autoryzacyjnego), w sytuacji gdy klient za nabywany towar
lub usługę płaci kartą płatniczą w celu rozliczenia transakcji.
Wykorzystanie terminali POS z wbudowanym czytnikiem biometrycznym daje możliwość
szybkiej i bezpiecznej autoryzacji wykonanej transakcji.
W USA bardzo sukcesem zakończyło się wprowadzenie rozwiązania Pay-By-Touch.
Polegało ono na tym, że z rachunkiem karty kredytowej lub np. kartą lojalnościową klienta
skojarzone były odciski palca posiadacza karty. Standardowe terminale POS wyposażone
były dodatkowo w moduł do odczytu linii papilarnych palca. Zapłata odbywała się po
złożeniu odcisku palca i wprowadzeniu identyfikatora (nie było wymagane przedstawienie
karty). Usługi płatności przy użyciu tego rozwiązania oferowane są przez firmy na całym
świecie, np. przez West Texas National Bank, sieci handlowe w Stanach Zjednoczonych, czy
Citibank Singapore.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
56
Wśród technologii biometrycznych stosowanych w
terminalach POS, można zastosować:
- biometrię odcisku palca
- biometrię naczyń krwionośnych palca
7.1.6 Uwierzytelnianie płatności mobilnych
Płatności mobilne stają się popularnym sposobem
dokonywania płatności. Pojawia się coraz więcej
serwisów rozwiązań umożliwiających tę formę
płatności. Według ekspertów, biometria jest także
rozwiązaniem dedykowanym płatnościom
mobilnym. Dostawcy rozwiązań biometrycznych
opracowują czytniki, które mogą być
wbudowywane do telefonów komórkowych.
Równocześnie toczą się rozmowy z czołowymi
producentami telefonów komórkowych, których
skutkiem ma być odpowiednia konstrukcja telefonu,
umożliwiająca wdrożenie rozwiązań
biometrycznych.
Płatności mobilne uwierzytelniane przy pomocy
biometrii podniosą poziom bezpieczeństwa
przeprowadzanych transakcji. Zagwarantują
bowiem, że osoba wykonująca daną transakcje przy
pomocy telefonu jest jego właścicielem.
Wśród technologii biometrycznych, które są
dostosowywane na potrzeby uwierzytelniania
transakcji mobilnych można wymienić:
- biometrię odcisku palca
- biometrię naczyń krwionośnych palca
Rys. 4.8 Przykład wykorzystania biometrii w
terminalach POS – biometria linii papilarnych
(firmy Pay by Touch)
Źródło: Business Week
Rys. 4.9 Koncepcja telefonu komórkowego z
wbudowanym czytnikiem biometrycznym
Żródło: Business Week
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
57
7.2 Bezpieczeństwo wewnętrzne banku
7.2.1 Fizyczna kontrola dostępu do krytycznej infrastruktury
Fizyczna kontrola dostępu (KD) do pomieszczeń od
początku była głównym zastosowaniem biometrii na
świecie. W bankowości, mimo rosnącej liczby
wdrożeń biometrycznych po stronie klienta, biometria
jest nadal najczęściej stosowana do kontroli dostępu do
pomieszczeń.
W banku istnieją krytyczne strefy, które muszą
posiadać ścisłą kontrolę dostępu: skarbiec, centrum
danych itd. W przeciwieństwie do powszechnie
stosowanych systemów KD wykorzystujących karty
bezstykowe, systemy biometryczne gwarantują
najwyższy poziom zabezpieczeń stref krytycznych.
Stosując systemy kartowe lub kontrolę dostępu
poprzez kod PIN, nie jesteśmy bowiem w stanie z
pewnością określić tożsamości osoby wprowadzającej
dane.
W światowych wdrożeniach można znaleźć następujące rodzaje czytników w systemach KD:
- biometria
- biometria + karta bezstykowa
- biometria + PIN
- podwójna biometria
Zastosowanie wyłącznie biometrii (np. czytnika tęczówki oka) daje dużą wygodę
pracownikom. W przypadku zastosowania tego rozwiązania, pracownik banku nie musi
przechowywać karty lub w pamiętać kolejnego kodu dostępu.
Najczęściej spotyka się jednak połączenie biometrii z kartą bezstykową. Systemy kontroli
dostępu wykorzystujące karty bezstykowe są już powszechne. Dlatego też banki
wprowadzając czytniki biometryczne do pewnych stref zachowują także istniejącą
infrastrukturę kartową. Obecne już czytniki kart są wtedy integrowane z czytnikami
biometrycznymi. W tym przypadku, odczytany numer ID karty bezstykowej jest
przekazywany do czytnika, który znajduje daną biometryczną wzorcową przypisaną do tego
numeru identyfikacyjnego pracownika. Następująca po odczytaniu ID karty weryfikacja
Rys. 4.10 Przykład czytnika
biometrycznego służącego do fizycznej
kontroli dostępu do pomieszczeń przy
pomocy biometrii tęczówki oka
Źródło: Panasonic
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
58
biometryczna pracownika przebiega w bardzo szybki sposób (1:1 lub 1:kilku). W ofertach
producentów czytników biometrycznych bardzo często można spotkać także czytniki kart
bezstykowych wbudowane w same czytniki biometryczne. Inna koncepcją wykorzystującą
metodę karta + biometria, jest wykorzystanie kart bezstykowych, na których zapisane są dane
biometryczne. Podczas weryfikacji dana biometryczna wzorcowa z karty jest transmitowana
do czytnika gdzie następuje procedura porównania z daną pobraną w tym przez czytnik.
Przy wykorzystaniu metody biometria + PIN, dane biometryczne podczas rejestracji są
najczęściej przypisane do danego kodu dostępu. W ten sposób po podaniu PIN-u , odczytana
dana biometryczna jest porównywana z daną wzorcową przypisaną do tego kodu dostępu
(zapisana na czytniku lub centralnej bazie danych).
W bardzo krytycznych obszarach jest możliwe zastosowanie podwójnego biometrycznego
uwierzytelniania. Pracownik banku po pomyślnej próbie pierwszego stopnia uwierzytelniania
musi poddać się kolejnej weryfikacji. Taka metoda całkowicie wyklucza ewentualne oszustwa,
chociaż niewątpliwie jest drogim rozwiązaniem. W światowych wdrożeniach można spotkać
systemy kontroli dostępu wykorzystujące uwierzytelnianie przy pomocy dwóch cech
biometrycznych np.:
- tęczówka oka + odcisk palca
- tęczówka oka + naczynia krwionośne palca
- tęczówka oka + kształt dłoni
Wśród technologii biometrycznych, które są wykorzystywane do fizycznej kontroli dostępu
do pomieszczeń wymienić należy:
- biometrię tęczówki oka
- biometrię odcisku palca
- biometrię naczyń krwionośnych palca
- biometrię kształtu dłoni
- biometrię kształtu twarzy
- biometrię głosu
7.2.2 Rejestracja czasu pracy (RCP)
Systemy Rejestracji Czasu Pracy (RCP) są obok systemów Kontroli Dostępu (KD)
najczęstszym zastosowaniem biometrii. Coraz częściej są także połączone w jeden spójny
system.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
59
Ewidencja czasu pracy w oparciu o najnowsze technologie (RFID, biometria) daje firmom
możliwość przeprowadzenia pewnej weryfikacji przepracowanych roboczogodzin.
Zegary czasu pracy zarówno na karty zbliżeniowe (czytniki RFID) jak i na czytniki
biometryczne spełniają najwyższe standardy bezpieczeństwa (certyfikaty ISC,CE,FCC,RoHS)
i sprawdzają się jako niezawodne i bezawaryjne.
Bez odpowiedniego wsparcia technologicznego ani pracodawca, ani pracownik nie jest w
stanie stwierdzić ile czasu faktycznie spędził w siedzibie miejsca pracy i ewentualnie jak dużo
pracownik wypracował godzin nadliczbowych. Rozwiązaniem umożliwiającym weryfikacje
czasu pracy jest biometryczny system rejestracji. System ewidencji czasu pracy rejestruje
każdorazowe przejście przez bramkę kontrolną i oblicza czas pracy każdego pracownika.
Zestawienie w dowolnym momencie można eksportować do powszechnych formatów
(plik.xls) w formie tabel przedstawiających szczegółowy raport z czasu pracy konkretnej
osoby.
W przeciwieństwie do RFID, biometryczna kontrola w sposób pewny sposób weryfikuje
tożsamość. Eliminujemy w ten sposób oszustwa pracowników.
Ważnym aspektem wprowadzenia biometrycznej weryfikacji czasu pracy jest cena wdrożenia
takiego systemu. Czytniki biometryczne - w perspektywie czasu okazują się tańsze od
terminali zbliżeniowych.
Rys. 4.11 Przykład czytników biometrycznych zainstalowanych przy bramkach wejściowych do
budynku, zintegrowanych z systemem rejestracji czasu pracy
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
60
7.2.3 Zabezpieczenie przed utratą danych
Utrata danych wrażliwych stanowi obecnie jeden z największych problemów. Według
światowych badań, większość przypadków utraty danych (70%) nie jest wynikiem ataków z
zewnątrz na systemy IT, a z wewnątrz firm. Jest to wynik świadomych jak i zupełnie
przypadkowych działań użytkowników.
Systemy informatyczne stanowią podstawę ich funkcjonowania jednostek organizacyjnych.
Dlatego też znaczenie krytyczne dla firmy ma logiczna kontrola dostępu do systemów IT i
aplikacji. Nieuprawniony dostęp może spowodować straty. W wielu jednostkach
organizacyjnych stosuje się zabezpieczenia nowszej generacji, np. tokeny (generatory haseł
jednorazowych) lub karty identyfikacyjne zawierające bezpieczny certyfikat. Systemy te nie
gwarantują jednak, że osoba logująca się do krytycznych systemów jest do tego uprawniona
(ryzyko wykorzystania danych i/lub nośników pozyskanych w sposób nieuprawniony).
Czytniki biometrycznej do
logicznej kontroli dostępu są przeważnie wyposażone
w zestaw SDK (Software Development Kit), dzięki
czemu są integrowane z dowolnym oprogramowaniem,
szczególnie pod systemem Windows. Umożliwia to
wybór aplikacji, do której ma być dodane
uwierzytelnianie biometryczne. Biometryczne
logowanie powinno być stosowane przede wszystkim
w systemach bezpieczeństwa i kluczowych
aplikacjach, a w przypadku banku, w szczególności,
systemach transakcyjnych i kontroli.
Wśród rozwiązań biometrycznych, które są
wykorzystywane do logicznej kontroli dostępu do
systemów informatycznych i aplikacji należy
wymienić w szczególności:
- biometrię odcisku palca
- biometrię naczyń krwionośnych palca
Biometria odcisku palca jest najczęściej wykorzystywanym rozwiązaniem w analizowanym
obszarze. Kluczowym czynnikiem upowszechniającym omawiane rozwiązanie jest cena
czytników do komputerów jak i ich dostępność. Wielu producentów wbudowuje już czytniki
Rys. 4.12 Przykład czytnika
biometrycznego służącego do
uwierzytelniania operacji w systemach IT
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
61
linii papilarnych np. w laptopy. W krytycznych aplikacjach stosuje się technologie
bezpieczniejsze jak np. czytniki naczyń krwionośnych palca, które zapewniają szybką i
bezpieczną weryfikację tożsamości. W przyszłości do tego grona może dołączyć biometria
tęczówki oka.
7.2.4 Logowanie do systemów informatycznych
Systemy informatyczne w firmach stanowią podstawę ich funkcjonowania. Dlatego też
krytyczna dla firmy jest logiczna kontrola dostępu do systemów IT i aplikacji biznesowych.
Nieuprawniony dostęp mógłby bowiem spowodować dotkliwe dla firmy straty. Sposób
logowania do zasobów IT przy pomocy loginu (nazwy użytkownika) i hasła jest uznawany za
niewystarczająco bezpieczny. Wielu przedsiębiorców stosuje już zabezpieczenia nowej
generacji jak np. tokeny (generatory haseł jednorazowych) lub
karty identyfikacyjne zawierające bezpieczny
certyfikat. I choć filozofia bazująca na tym „co masz”
(karta, token) zapewnia wyższe zabezpieczenie
systemów IT dalej nie daje gwarancji władzom firmy,
że osoba logująca się do krytycznych systemów
biznesowych jest do tego uprawniona (mogła przecież
wykorzystać czyjąś kartę lub token). Z tego powodu
otwiera się kolejny obszar zastosowania biometrii.
Skorzystanie bowiem z filozofii bazującej na tym
„kim jesteś” daje maksymalne bezpieczeństwo dla
firmy. Czytniki biometrycznej do logicznej kontroli
dostępu są przeważnie wyposażone w zestaw SDK
(Software Development Kit), dzięki czemu są łatwo integrowane z dowolnym
oprogramowaniem, szczególnie pod systemem Windows. Daje to przedsiębiorcy pole
manewru, do której aplikacji ma dodać uwierzytelnianie biometryczne a przy których
pozostać przy tradycyjnej metodzie typu login i hasło. Biometryczne logowanie powinno być
stosowane przede wszystkim w krytycznych systemach, jakimi na pewno są systemy
bezpieczeństwa i kluczowe aplikacje biznesowe, jak w przypadku banku systemy
transakcyjne i kontroli.
Rys. 4.13 Przykład wbudowanego czytnika
biometrycznego służącego do logowania do
systemów IT
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
62
Wśród technologii biometrycznych, które są mogą być wykorzystywane do logicznej kontroli
dostępu do systemów informatycznych i aplikacji biznesowych należy wymienić w
szczególności:
- biometrię odcisku palca
- biometrię naczyń krwionośnych palca
Biometria odcisku palca jest w przedmiotowym obszarze najczęściej wykorzystywanym
rozwiązaniem. W szczególnie ważnych obszarach stosuje się technologie bezpieczniejsze jak
np. czytniki naczyń krwionośnych palca, które zapewniają szybką i bezpieczną weryfikację
tożsamości. W przyszłości do tego grona może dołączyć biometria tęczówki oka (warunkiem
w tym obszarze jest skonstruowanie kamer biometrycznych w taki sposób, aby były wygodne
dla użytkownika).
7.2.5 Cash-less catering: „biometryczna stołówka”
Rozwiązaniem, które mogą zaoferować banki, jak również wprowadzić samodzielnie
jednostki organizacyjne przedsiębiorców i administracji jest wykorzystanie czytników
biometrycznych, jako formy płatności w punktach świadczących usługi pracownikom.
Jednym z takich przykładów jest tzw. „biometryczna stołówka”. System jest prosty i
funkcjonalny. Polega on na tym, że pracownik potwierdza zakup wybranego produktu w
stołówce przy pomocy swojej danej biometrycznej (np. odcisku lub naczyń krwionośnych
palca). Dzięki zastosowaniu biometrii czas oczekiwania w kolejce jest krótszy, gdyż zbędne
jest dokonanie zapłaty. System „biometrycznej stołówki” może być zintegrowany z systemem
kadrowo-płacowym lub zestawieniem operacji przysyłanych przez bank. Pracownik firmy
pod koniec danego miesiąca otrzymuje miesięczne zestawienie zakupów na stołówce, a ich
koszty odliczane są od miesięcznego wynagrodzenia lub dokonuje płatności na podstawie
zestawienia operacji na wskazany w zestawieniu rachunek bankowy.
Systemy biometrycznych płatności za usługi i produkty nabywane w ramach jednostki
organizacyjnej nie wymagają ponoszenia wysokich kosztów. Do ich wprowadzenia niezbędny
jest zakup kilku czytników biometrycznych współpracujących z komputerem.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
63
8. Wybrane wdrożenia biometrii w Polsce i na świecie
Jerzy Cichowicz, Elkart Systemy Kart Elektronicznych Sp. z.o.o.
Dr hab. Remigiusz W. Kaszubski
WPiA UW i ZBP
W dynamicznie rozwijających się dziedzinach, a w szczególności opartych na
wyrafinowanych technologiach, konieczność częstej aktualizacji i wymiany informacji jest
czynnikiem krytycznym. Dla dziedzin stosunkowo nowych i nie posiadających
ugruntowanych przez lata doświadczeń metodologii wdrożeń, dużego znaczenia nabierają
wdrożenia referencyjne. Niezastąpionym źródłem informacji o najnowszych, realnych i
przeprowadzonych z sukcesem wdrożeniach technologicznych, są tzw. „case study” (analizy
przypadku), opracowywane zazwyczaj przez dostawców technologii oraz specjalistyczne
konferencje24
. Istotnym ograniczeniem w wymianie wiedzy praktycznej jest powszechna
niechęć podmiotów uczestniczących we wdrożeniach do dzielenia się wiedzą na ich temat. W
przypadkach prezentacji doświadczeń, przedstawiane są zazwyczaj projekty zakończone
sukcesem, bez omówienia powstających w czasie wdrożeń problemów. Główne punkty takich
opracowań i konferencyjnych wystąpień (typu: Case Studies, Lessons Learnt, Business Case,
Business Model, itp.) zazwyczaj pisane są językiem marketingowo-promocyjnym, a nie
językiem obiektywnej analizy. W ramach dokonywanej samodzielnie gruntownej analizy
pozwalają jednak poznać krytyczne aspekty tego rodzaju wdrożeń. Najważniejszą zaletą tego
typu prezentacji i analiz jest możliwość nawiązania kontaktów z praktykami.
Pomimo różnej formy jej dostarczania, wiedza prezentowana w ramach spotkań ma charakter
unikatowy. Pozwala na zapoznanie się z nowymi rozwiązaniami, których znaczenie dla
przyszłości wdrożeń jest bardzo duże. Szczególną wartość mają prezentacje pokazujące drogę,
jaką przechodzą innowacje naukowe do etapu pojawienia się na rynku konkretnego produktu
lub usługi i wykorzystanie ich przez odbiorcę końcowego.
24
Spośród bogatej konferencyjnej oferty, godne polecenia są te, które poświęcone są tylko biometrii i pretendują do roli takiego forum, na którym prezentowane są zarówno oferowane na rynku technologie i rozwiązania, ale
także na których ma miejsce wymiana doświadczeń. Z tego punktu widzenia polecić można następujące konferencje:
1. BIOMETRICS – Exhibition and Conference.
Doroczna konferencja odbywająca się w Londynie, zazwyczaj w końcu października. Jej organizatorem jest
firma ELSEVIER i posiada ona rekomendację Komisji Europejskiej.
2. BIOMETRICS SUMMIT.
Organizowana dwa razy w roku, w różnych miastach amerykańskich. Jej wydanie jesienne – The Fall Biometrics
Summit, odbywa się na przełomie października i listopada. Wydanie zimowe – The Winter Biometrics Summit,
odbywa się na przełomie lutego i marca. Jej organizatorem jest od 1997 roku chicagowska firma The Advanced
Learning Institute.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
64
Warte podkreślenia jest, że środowisko naukowe nie jest w stanie samodzielnie doprowadzić
do wykorzystania odkryć. W proces ten muszą włączyć się przedsiębiorcy i administracja.
Nowoczesne rozwiązania nie mają prostej drogi do praktycznego zastosowania. Niektóre z
nich z przyczyn ekonomicznych lub prawnych pozostają w fazie projektu. Inne, których
wartość odkrywają praktycy są wdrażane, przyspieszając rozwój cywilizacyjny świata.
Na podstawie informacji otrzymanych w trakcie międzynarodowych konferencji i seminariów,
jak również spotkań z osobami wdrażającymi projekty biometryczne na świecie i w Polsce
oraz wiedzy autorów, poniżej przedstawiono informacje referencyjne dotyczące wybranych
projektów biometrycznych w Kolumbii, Japonii, USA, Kanadzie i w Polsce.
W ostatnim podrozdziale przedstawiono propozycję zastosowania biometrii w ramach
organizacji imprez masowych na przykładzie potencjału, jaki oferuje biometria w kontekście
Euro 2012.
8.1. Wzrost zapotrzebowania na rozwiązania biometryczne
Peter Jones
Hitachi Europe Ltd.
Organizacje, które świadczą usługi masowe w tym banki, linie lotnicze czy biura podróży
oraz administracja rządowa, podnoszą wymagania dotyczące poziomu zgodności. Wzrost ten
jest wprost proporcjonalny do wzrostu zagrożeń dotyczących nadużywania systemów i usług.
Nastąpił wzrost koncentracji uwagi, na tzw. „prawdziwej znajomości klienta" lub kontrahenta
transakcji, w celu zminimalizowania możliwości nieuczciwych działań. Na przykład w
sektorze bankowym, odbywa się wiele kontroli w celu zapobiegania praniu pieniędzy.
Wraz ze wzrostem zagrożenia ze strony światowego terroryzmu i przestępczości
zorganizowanej, a także wymagań dotyczących zachowania prywatności danych i ochrony
praw poszczególnych obywateli, wyzwanie, jakim jest zapewnienie efektywnego zarządzania
tożsamością i uwierzytelniania stało się bardzo ważne. W tym kontekście, zdolność do
wdrażania praktycznych rozwiązań dla auto-identyfikacji i uwierzytelniania użytkownika
staje się istotnym wyzwaniem dla przedsiębiorców i rządów na całym świecie.
8.1.2 Biometria a problem prywatności
Chociaż rozwiązania biometryczne mogą mieć do odegrania ważną rolę w wielu typach
aplikacji informatycznych, zwłaszcza na poziomie krajowym, organizacje wprowadzające
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
65
systemy biometryczne muszą zwrócić szczególną uwagę na zasady i regulacje dotyczące
poufności danych i prawa obywateli. W niektórych krajach istnieją ścisłe reguły dotyczące
sposobu wdrażania systemów biometrycznych i zarządzania danymi biometrycznymi.
Większość wyzwań wynika z faktu, że wszystkie główne modalności biometryczne można
uznać w pewnym sensie się za odtwarzalne z powrotem do jednostki, tzn. dają się wyśledzić
(z ang. traceable biometrics). Cechę tą można przypisać zarówno do odcisku palca,
rozpoznawania twarzy, skanowania tęczówki czy rozpoznawania głosu.
Mając to na uwadze, kilka wiodących firm technologicznych rozważa w ostatnich latach rolę
biometrii we wdrożeniach o dużej skali w odniesieniu do problemu prywatności. Jednym z
przykładów jest Japonia, gdzie pojawił się nowy typ modalności biometrycznej oparty na
wzorze naczyń krwionośnych.
Bezpieczne dla poszczególnych osób, oparte na braku możliwości śledzenia, z wysokim
stopniem trudności do odtworzenia wzorca, łącznie z bardzo wysoką efektywnością w
praktycznym wdrożeniu – biometria naczyniowa jest obecnie powszechnie stosowana w
Japonii uwierzytelniania transakcji kartowych i związanych z nimi transakcji bankowych
Jednym z najważniejszych kryteriów wprowadzenia biometrii przez banki w Japonii było
bezpieczeństwo obywateli. Uznano, że rozwiązanie biometrii naczyń krwionośnych w
połączeniu z bezpieczną kartą inteligentną, mogłyby zapewnić pełną możliwość
"porównywania danych na karcie" , zapewniając w ten sposób ochronę biometrycznych
tożsamości danej osoby.
We Francji, biometria naczyniowa jest już oficjalnie zatwierdzona przez Rządową Komisję ds.
Prywatności Danych Osobowych (CNIL) jako non-traceable biometrics, tzn. biometria która
nie daje się wyśledzić i odtworzyć. CNIL zatwierdziło także szereg projektów we Francji z
wykorzystaniem tej technologii. We Francji jest zwykle niezbędne jest przechowywanie
danych wykorzystywanych przez systemy informatyczne na bezpiecznych kart inteligentnych
w celu zachowania prywatności praw jednostki. W CNIL zatwierdził w listopadzie 2007, że
technologie oparte na wzorcach naczyń krwionośnych oparte mogłyby być wykorzystane do
zastosowań biometrycznych bez potrzeby stosowania kart chipowych. To utorowało drogę do
całej gamy nowych aplikacji biznesowych, gdzie dopasowanie "na urządzeniu" lub "po
stronie serwera" mogą być teraz wykonywane dla pozarządowych transakcji.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
66
8.1.3. Najczęściej stosowane technologie biometryczne i ich ograniczenia
Biometria odcisku palca jest najstarszą i najbardziej znaną technologią biometryczną.
Porównywanie odcisków palców przez Policję i agencje rządowe jest wykorzystywane już od
ponad 100 lat. Użycie biometrii odcisku palca jako narzędzia do identyfikacji jest dalej
głównym mechanizmem do identyfikowania przestępców dla analizy sądowej. Nowoczesne
technologie, w tym profilowanie DNA mogą dostarczyć więcej możliwości odwzorowania
osób bazując na informacjach z miejsca zbrodni. Jednakże bazy danych DNA są nadal bardzo
małe w stosunku do tych, które są dostępne do porównywania odcisków palców.
Jest wiele rodzajów powszechnie dostępnych czytników, algorytmów porównujących i
systemów, które zapewniają elektroniczne znaczenie porównania odcisków palców.
Począwszy od prostych rozwiązań do uwierzytelniania, jak czytniki w laptopach PC,
skończywszy na szybkich i dokładnych rozwiązań typu AFIS [Automatic Fingerprint
Identification Systems] używanych w programach państwowych.
Użycie systemów biometrycznych może być w prosty sposób podzielona na dwa obszary,
porównanie „1 do 1” zwanym „uwierzytelnianiem” oraz „1 do wielu” zwanym
„identyfikacją”.
Podczas gdy kompleksowość i szybkość algorytmów porównywania odcisków palców i
systemów AFIS rozwinęły się znacząco w ostatnich latach, głównym wyzwaniem pozostają
próby użycia systemów identyfikacji na podstawie odcisków palców w środowiska „jeden do
wielu” do transakcji typu „on-line”. Dla dużych populacji użytkowników użycie biometrii
odcisku palca do identyfikacji jest ograniczone poprzez problematyczne wskaźniki fałszywej
akceptacji (FAR) i fałszywego odrzucenia (FRR). Godny uwagi jest fakt wpływu kondycji
naskórka na wynik porównania. Jeśli skóra ulegnie uszkodzeniu, bardzo trudnym staje się
pobranie wzorca biometrycznego. Użytkownicy stają się sfrustrowani brakiem efektywności
systemu, maleje zaufanie do technologii, a systemy nie osiągają swoich głównych założeń.
Wraz z nadejściem zwiększania bezpieczeństwa podróży międzynarodowych i włączenia
danych biometrycznych do dokumentów podróży do odczytu maszynowego [MRTD],
technologia rozpoznawania twarzy [FRT] zastała powszechnie wprowadzona jako idealne
cecha biometryczna dla sektora turystycznego. FRT bazuje w oparciu o nagrania kilku
geometrycznych cechy twarzy i zazwyczaj musi zostać zastosowane w starannie
kontrolowanych warunkach, które mogą niekiedy ograniczać praktyczne stosowanie tej
technologii. Poza turystyką i niektórymi zastosowaniami w przedsiębiorstwach, FRT nie jest
postrzegana jako główne rozwiązanie do uwierzytelnienia lub identyfikacji.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
67
Rozwiązania biometryczne bazujące na skanowaniu tęczówki oka, zostały wykorzystane do
wielu zastosowań. Mimo że biometria tęczówki oka zapewnia dosyć wiarygodną biometrię i
może być ona szybko przetwarzana, pozostają kwestie które sprawiają, że skanowanie
tęczówki staje się niepraktyczne dla zastosowań masowych.
8.2 Świat
8.2.1. Projekt biometryczny w Kolumbii – Bank BanCafe
Tadeusz Woszczyński
Hitachi Europe Ltd
W roku 2002, piąty co do wielkości kapitałów bank w Kolumbii – BanCafe, zdecydował się
na wprowadzenie uwierzytelniania biometrycznego dla
swoich klientów. W tym celu bank rozpoczął współpracę z
firmą NCR, która od czasu rozpoczęcia projektu dostarczyła
ponad 400 bankomatów wyposażonych w biometryczne
czytniki odcisków palca. Zastosowanie technologii
biometrycznej umożliwiło klientom wykonywanie transakcji
skanowania odcisku palca poprzez wbudowany w bankomacie
czytnik i podanie swojego numeru identyfikacyjnego klienta.
Rozwiązanie to umożliwiło klientom BanCafe rezygnacje z
używania kart umożliwiających wypłatę pieniędzy z
bankomatów. BanCafe zdecydował się bowiem na
zainstalowanie bankomatów biometrycznych na obszarach
wiejskich, w celu zapewnienia dostępu do usług finansowych
plantatorom kawy. Plantatorzy do tego czasu byli niechętni do zakładania kont bankowych,
gdyż obawiali się kradzieży karty płatniczej.
W systemie używanym przez BanCafe, dane biometryczne klientów przechowywane są w
centralnej bazie danych. Podczas użycia bankomatu, odciski palców użytkownika są
porównywane z obrazem przechowywanym w centralnej bazie danych w celu weryfikacji
tożsamości i autoryzacji transakcji.
BanCafe początkowo wprowadził na rynek 170 bankomatów biometrycznych. Ponieważ
projekt wzbudził zainteresowanie klientów, liczba ta wzrosła do ponad 400. W 2008 r. ponad
230 tysięcy klientów BanCafe (z miliona) zarejestrowało się jako użytkownicy usług
Rys. 5.1: Biometryczny czytnik
linii papilarnych używany w
bankomatach banku BanCafe w
Kolumbii
Źródło: Associated Press
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
68
biometrycznej autoryzacji. Ponad 15% transakcji banku BanCafe autoryzowanych jest
biometrycznie. Obecnie BanCafe prowadzi rozmowy z rządem Kolumbii w zakresie
umożliwienia poboru rent i emerytur przy pomocy bankomatów biometrycznych BanCafe.
Projekt biometryczny w Kolumbii odniósł sukces, jednakże napotkał też problemy, w
szczególności technologiczne. Początkowo współczynnik błędnych odrzuceń wynosił aż 30%
i dotyczył ludzi starszych i pracowników wykonujących fizyczną pracę. Tak wysoki
współczynnik wiązał się bowiem ze zniszczeniami naskórka. Jest to powszechny problem
biometrii odcisku palca. Obecnie poziom błędnych odrzuceń w bankomatach BanCafe
obniżył się do 8% co jest rezultatem udoskonaleń czytników biometrycznych.
8.2.2. Projekt biometryczny w Japonii – największy projekt biometryczny na świecie
Tadeusz Woszczyński
Hitachi Europe Ltd
W 2005 roku rozpoczął się w Japonii największy projekt biometryczny w światowej
bankowości. Biometria została wykorzystana do uwierzytelniania detalicznych transakcji
finansowych, w tym wypłat gotówkowych z bankomatów oraz operacji w okienkach kas
banków.
Japoński sektor bankowy zmagał się wtedy od kilku lat z drastycznym wzrostem liczby
przestępstw kartowych i nielegalnymi wypłatami gotówki z kont swoich klientów. W
większości przypadków klienci banków składali pozwy przeciwko bankom domagając się
wysokich odszkodowań. Stało się to motorem napędowym do wprowadzenia najnowszej
generacji technologii uwierzytelniania transakcji.
Projekt uzyskał status ogólnonarodowego i był efektem doskonałej współpracy organów
państwowych i bankowych. W 2004 roku Policja japońska (Japanese National Police Agency)
zaproponowała wprowadzenie biometrii jako zabezpieczenia przed przestępstwami
finansowymi. Podobnie w 2005 Związek Banków Japońskich (JBA) rekomendowało użycie
biometrii do zabezpieczenie systemu płatniczego zrzeszonym w niej członkom. Japanese
Financial Services Agency (FSA) nakazał wręcz bankom znalezienie rozwiązania przeciwko
wzrastającej nagle liczbie przestępstw kartowych.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
69
W międzyczasie Rząd Japonii wprowadził prawo pozwalające na użycie biometrii do
autoryzacji transakcji. Dzięki tak silnej współpracy wszystkich organizacji i zdecydowanym
działaniom, rozpoczęto wprowadzenie biometrii już w 2005 roku.
Kluczowym czynnikiem tego procesu był wybór odpowiedniej technologii biometrycznej.
Związek Banków Japońskich już wiele lat wcześniej
rozpoczął rozmowy z największymi firmami
technologicznymi w Japonii w celu wybrania odpowiedniej
technologii biometrycznej. Około roku 2000 rezultaty badań
wskazały biometrię naczyń krwionośnych jako rokującą
największe nadzieje na stworzenie nowego i w pełni
bezpiecznego systemu uwierzytelniania dla bankowości. Wzór
naczyń krwionośnych jest bowiem unikatowy dla każdej z
osób, więc dopóki jest ukryty pod powierzchnią skóry, jego
fałszerstwo jest wręcz niemożliwe. W projekcie zdecydowano
się na wybór biometrii naczyń krwionośnych, gdyż jako
jedyna łączyła w sobie takie cechy jak: wysokie
bezpieczeństwo (tzw. non-traceable-biometrics),
kompaktowy rozkład czytników, szybkość i wygodę
użytkowania. W projekcie wzięło udział dwóch dostawców
technologii – Hitachi i Fujitsu. Firma Fujitsu dostarczyła
technologię biometryczną wykorzystującą wzór naczyń
krwionośnych dłoni, natomiast technologia przygotowana
przez firmę Hitachi wykorzystała wzór naczyń krwionośnych
palca. Hitachi opracowywało swoją technologię od 1997 roku,
kiedy podczas badań nad ludzkim mózgiem odkryto, że każdy
człowiek posiada inne wzory naczyń krwionośnych.
Technologię tę wykorzystano po raz pierwszy w 2002 roku do
zabezpieczenia krytycznej infrastruktury w japońskich
elektrowniach jądrowych.
W japońskim projekcie biometrycznym dane biometryczne
były przechowywane i porównywane na kartach płatniczych klientów. Zapewniało to
klientom samodzielne zarządzanie swoją tożsamością i dawało poczucie bezpieczeństwa. Na
mikroprocesorze stykowym umieszczano specjalną aplikację do przechowywania
A
B
Rys. 5.2: Przykłady bankomatów
biometrycznych w Japonii,
wykorzystujących A – biometrię
naczyń krwionośnych palca, B –
biometrię naczyń krwionośnych
dłoni
Źródło: The Japan Times
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
70
szyfrowanych danych biometrycznych, a także aplikację porównującą (match-on-card). W
tym przypadku dane wzorcowe nie wpływały do systemu bankowego. Na kartach
wykorzystywano głównie bezpieczną, multiaplikacyjną platformę MULTOS. Niektóre banki
zdecydowały się też na wprowadzenie kart z platformą Java.
Skutkiem wdrożenia rozwiązań biometrycznych w Japonii był radykalny spadek liczby
przestępstw kartowych (rys. 5.3).
Z kolei efektem spadku przestępstw z wykorzystaniem kart płatniczych było zredukowanie
start wynikających bezpośrednio z transakcji oszukańczych, jak i z tytułu wypłacanych
klientom odszkodowań.
Banki dzięki zastosowaniu biometrii uatrakcyjniły swoją ofertę, poprzez wprowadzenie tzw.
„bezpiecznych kont”. Wprowadzenie innowacyjnej technologii biometrycznej pozytywnie
wpłynęło także na wizerunek banków.
Analizując zjawisko wykorzystania biometrii w japońskich bankomatach, warto podkreślić,
że Japończycy nadal korzystają z gotówki. Przeciętny Japończyk po całym tygodniu pracy ma
zwyczaj w weekendy wypłacać duże ilości gotówki, a następnie wpłacać pozostałą gotówkę,
poprzez wpłatomaty, na swój rachunek bankowy. Po wprowadzeniu zabezpieczeń
biometrycznych klient banku miał możliwość pozostania przy normalnym koncie lub
Rys. 5.3. Statystyki dot. przestępstw finansowych w Japonii
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
71
zmianę/założenie tzw. „konta bezpiecznego”, które wykorzystywało biometrię do
uwierzytelniania transakcji w bankomatach i oddziałach banków. Po specjalnym procesie
rejestracji dane klienta były zapisywane na karcie. Jeśli klient zdecydował się na „konto
bezpieczne” miał możliwość wypłacania dużej ilości gotówki z bankomatów, a także jej
wpłacania na konto poprzez zabezpieczone wpłatomaty. Mimo, że konto bezpieczne było
opcjonalne, spotkało się bardzo popularną usługą.
W 2008 r. ponad 123 banki (m.in. 5 największych banków japońskich, Poczta Japońska, 64
banki regionalne, 46 banków lokalnych itd.) w Japonii wprowadziły biometrię do swoich
systemów bankowych. Juz ponad 34 tysiące oddziałów i bankomatów posiadało czytniki
biometryczne do uwierzytelniania transakcji. 81% banków zdecydowało się na wykorzystanie
technologii biometrycznej wykorzystującej wzór naczyń krwionośnych palca. Wśród nich
znalazł się jeden z największych banków świata – Bank Mizuho oraz największa instytucja
finansowa Japonii – Poczta Japońska. Technologię biometrii naczyń krwionośnych dłoni
wykorzystało ok. 7% banków w tym Bank of Tokyo Mitsubishi. 10 milionów Japończyków
korzysta z „konta bezpiecznego” wykorzystując biometrię.
8.2.3. Projekty biometryczne w USA i Kanadzie
Jerzy Cichowicz
Elkart Systemy Kart Elektronicznych Sp. z.o.o.
8.2.3.1. Projekty małe, których głównym celem była nowa funkcjonalność, duża wygoda
dla użytkownika oraz redukcja kosztów eksploatacji
Cechą charakterystyczną projektów realizowanych na niewielką skalę bezpieczeństwo nie
było czynnikiem decydującym o wyborze i zastosowaniu konkretnego rozwiązania
technologicznego.
Przykład Nr 1.
Projekt zrealizowany przez Departament ds. rozrywki miasta Las Vegas.
Wdrożenie polegało na zastąpieniu systemu kontroli dostępu do obiektów sportowych i
rekreacyjnych, opartego na kartach plastikowych z nadrukowanym kodem kreskowym, na
system oparty na czytnikach linii papilarnych palców. Można dodatkowo powiedzieć, że ta
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
72
zamiana była przejściem od weryfikacji karty w systemie do identyfikacji uprawnionego
użytkownika systemu.
Nowy system identyfikacji użytkowników centrów sportu i rekreacji w Las Vegas umożliwia
korzystanie z przysługujących im uprawnień bez konieczności pamiętania o zabraniu karty i
dokumentu identyfikacyjnego (np. prawa jazdy). Jego eksploatacja okazała się także tańsza
już w pierwszym roku od uruchomienia.
- organizacja wdrażająca: City of Las Vegas, Department of Leisure Services.
- adres strony internetowej: http://www.lasvegasnevada.gov
- zastosowane technologie biometryczne: linie papilarne palców (Finger Print).
- kontakt referencyjny projektu:
Oscar Sida (email: [email protected]).
Przykład Nr 2.
Projekt zrealizowany przez Departament Policji w Miami. Policjantów pracujących przy
patrolowaniu miasta zaopatrzono w przenośne skanery linii papilarnych palców – AFIS oraz
specjalne cyfrowe aparaty fotograficzne, które pozwalają na sprawdzenie legitymowanych
osób bez potrzeby ich zatrzymywania i przewożenia do najbliższego posterunku policji.
Porównanie zeskanowanych linii papilarnych palców oraz fotografii twarzy ze zbiorami w
centralnej bazie danych odbywa się zdalnie za pośrednictwem specjalnej sieci łączności.
Wdrożenie ułatwiło pracę policjantów w patrolach, przyspieszyło prowadzone sprawdzenia
osób podejrzanych oraz znacznie obniżyło koszty wynikające uprzednio z konieczności
przewożenia sprawdzanych osób.
- organizacja wdrażająca: Dade Police Departament (Miami).
- zastosowane technologie biometryczne: linie papilarne palców (Finger Print) i
rozpoznawanie twarzy (Face Recognition).
- kontakt referencyjny projektu:
Robert Horton (email: [email protected]).
Scott F. Banas (email: [email protected]).
Przykład Nr 3.
Projekt zrealizowany przez firmę zarządzającą kilkoma dużymi kasynami w USA, m.in.
zlokalizowanymi w Las Vegas. Celem projektu było umożliwienie szybkiego rozpoznawania
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
73
gości kasyna, na których twarze zwrócili uwagę pracownicy specjalnej sekcji poufnej
obserwacji (wykorzystując do tego celu specjalne kamery CCTV), poprzez porównanie
obrazu z kamery z fotografiami znajdującymi się już w bazie danych firmy. Podstawowa
trudność i tym samym potrzeba zastosowania wyrafinowanego oprogramowania wynika z
tego, że goście będący w zainteresowaniu służby ochrony kasyna starają się utrudnić ich
rozpoznanie zmieniając swój wygląd poprzez charakteryzację, zarost, fryzurę itp. Często więc
obraz twarzy z kamery musi być porównany nie tyle z bardzo dużą ilością fotografii
zgromadzonych w bazie danych, ale ze zbiorem, w którym ten sam człowiek figuruje pod
różnymi fałszywymi nazwiskami i w którym znajduje się po kilka jego fotografii z różnych
„wcieleń”. Problem z tego rodzaju przeszukiwaniem zbiorów można było rozwiązać tylko
wykorzystując biometryczną analizę geometrii twarzy.
Dla podejmowania działań zapobiegających próbom oszustwa w kasynach czas jest
czynnikiem krytycznym i dlatego sięgnięto do wyrafinowanych metod.
- organizacja wdrażająca: American Casino & Entertainment Properties LLC.
- zastosowane technologie biometryczne: rozpoznawanie twarzy (Face Recognition).
- kontakt referencyjny projektu:
Derk J. Boss (email: [email protected]).
8.2.3.2. Projekty o większej skali, w których technologie biometryczne pozwoliły
udoskonalić już funkcjonujące systemy, a nawet wyeliminować powstałe w nich
ograniczenia
Przykład Nr 1.
Projekt zrealizowany przez kanadyjskiego operatora telekomunikacyjnego BELL CANADA.
Celem projektu było wprowadzenie identyfikacji dzwoniących do Centrum Obsługi Klienta
za pomocą ich głosu. Funkcjonujący już system IVR (Interactive Voice Response), znacznie
zmniejszający potrzebę bezpośredniej rozmowy dzwoniącego z doradcą klienta, został w
istotny sposób usprawniony. Biometryczna identyfikacja klienta z wykorzystaniem
biometrycznej analizy i rozpoznawania jego głosu znacząco skróciła długość połączeń, co z
kolei usprawniło obsługę dzwoniących i zmniejszyło jej koszty.
- organizacja wdrażająca: BELL CANADA.
- zastosowane technologie biometryczne: rozpoznawanie głosu (Voice Recognition).
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
74
- kontakt referencyjny projektu:
Fred MacKenzie (email: [email protected]).
Charles Giordano (email: [email protected]).
Przykład Nr 2.
Projekt zrealizowany przez Departament Rejestracji Pojazdów stanu Illinois w USA. Celem
projektu było wykorzystanie biometrii rozpoznawania twarzy do wykrycia, a następnie do
przeciwdziałania podawaniu fałszywych danych osobowych przy wydawaniu praw jazdy.
Wykorzystanie biometrii do wychwycenia powtarzających się fotografii tych samych osób w
dużej stanowej bazie, która służy do wydania praw jazdy, pozwoliło wykryć wiele nadużyć
związanych z danymi osobowymi i ich fałszerstwa. Aktualnie system ten pełni już rolę
prewencyjną, umożliwiając sprawdzenie, czy nie zachodzi próba uzyskania prawa jazdy dla
tej samej osoby ale na inne, fałszywe nazwisko. Służy temu biometryczna analiza geometrii
twarzy z przekazywanej urzędnikowi fotografii i porównanie wyników tej analizy z danymi
znajdującymi się w bazie.
- organizacja wdrażająca: Illinois’ Motor Vehicles Department.
- zastosowane technologie biometryczne: rozpoznawanie twarzy (Face Recognition).
- kontakt referencyjny projektu:
Beth Langen (email: [email protected]).
8.2.3.3. Projekty duże, których podstawowym celem jest podniesienie bezpieczeństwa
systemów kontroli dostępu w złożonej infrastrukturze
Najciekawsze wdrożenia z tej kategorii można spotkać na dużych międzynarodowych
lotniskach i portach morskich. Wdrożenia te służą przede wszystkim podniesieniu
bezpieczeństwa podróżnych w ruchu międzynarodowym, jak również integracji różnych
systemów kontroli dostępu funkcjonujących w infrastrukturze portów lotniczych i morskich.
Ale też nie są one najlepszym materiałem referencyjnym, ponieważ ze względu na ich wagę
oraz uzależnienie od wielu międzynarodowych regulacji – wdrożenia te rządzą się
odmiennymi prawami. Trudno też oczekiwać aby informacje dotyczące tych wdrożeń były
powszechnie dostępne.
Z tych też powodów zaprezentowany został poniżej projekt szczególny, który może jednak
pełnić rolę referencyjną dla tej kategorii.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
75
Przykład Nr 1.
Projekt zrealizowany 10 lat temu i nadal rozwijany w dużym amerykańskim szpitalu. Celem
tego projektu była poprawa bezpieczeństwa funkcjonującego w szpitalu systemu kontroli
dostępu i przejście od weryfikacji do identyfikacji w miejscach, gdzie są przechowywane lub
stosowane narkotyki, leki je zawierające oraz ich substytuty. W celu zróżnicowania poziomu
zabezpieczeń oraz osiągnięcia adekwatnej do warunków pracy personelu medycznego
funkcjonalności rozwiązań technicznych, zastosowano tam biometrię linii papilarnych
kciuków oraz biometrię geometrii dłoni. Tę ostatnią technologię połączono w niektórych
miejscach dodatkowo ze stosowaniem kart mikroprocesorowych wraz z kodem PIN.
Dotyczyło to miejsc szczególnych w tym systemie kontroli dostępu.
- organizacja wdrażająca: William Beaumont Hospital.
- zastosowane technologie biometryczne: linie papilarne kciuków (Tumb Print) oraz
geometria dłoni (Hand Geometry).
- kontakt referencyjny projektu:
Christopher Hengstebeck (email: [email protected]).
Projekt ten zasługuje na szczególną uwagę, ponieważ zastosowano w nim aż dwie
zaawansowane technologicznie biometryczne w połączeniu z kartą mikroprocesorową
zaopatrzoną w indywidualny dla każdego użytkownika systemu PIN.
8.2.4. Biometria w europejskich systemach Eurodac, SIS II i VIS
Franciszek Wołowski
PWPW SA
Komisja Europejska, która konsekwentnie doprowadziła do stworzenia paszportów
(dokumentów podróży) z biometrią, oraz dokumentu pozwolenia na pobyt, jest
zainteresowania wykorzystaniem tej technologii we wszystkich obszarach gdzie potrzebna
jest identyfikacja i uwierzytelnienie osób. Obecnie dotyczy to zwłaszcza takich osób jak
azylanci, imigranci, osoby ubiegające się o wizy lub karty pobytu, Od 2003 roku
wykorzystywany jest Eurodac - (ang. European Dactiloscopie) - Europejska Daktyloskopia,
od dłuższego czasu prowadzone są prace nad systemem VIS (Wizowy System Informacyjny),
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
76
który ma być eksploatowany od roku 2010 oraz systemem SIS II (System Informacyjny
Schengen drugiej generacji), dla którego nie wyznaczono jeszcze terminu uruchomienia.
Eurodac - (ang. European Dactiloscopie) - Europejska Daktyloskopia
System identyfikacji odcisków palców azylantów i nielegalnych imigrantów na obszarze Unii
Europejskiej ustanowiony na mocy rozporządzenia Rady Unii Europejskiej z 11 grudnia
2000.
W ramach Eurodac istnieje centralna komputerowa baza danych, do której dostęp mają
pracownicy odpowiednich służb we wszystkich krajach członkowskich.
Eurodac, czyli Europejski Zautomatyzowany System Identyfikacji Odcisków Palców to baza
opracowana na potrzeby Konwencji Dublińskiej o azylu z 1990 r. Konwencja ta wprowadziła
zasadę, że każdy wniosek azylowy jest rozpatrywany tylko w jednym kraju UE.
Na mocy rozporządzenia Rady w sprawie Eurodacu państwa członkowskie zostały
zobowiązane do pobierania odcisków palców każdego obywatela powyżej 14 roku życia
pochodzącego z kraju trzeciego, który złożył wniosek o azyl lub został zatrzymany w związku
z nielegalnym przekroczeniem granicy. Porównanie ich z danymi przechowywanymi w bazie
„Eurodac” pomaga w określeniu, które państwo jest właściwe do rozpatrzenia wniosku o azyl,
zgodnie z ustalonymi kryteriami. Dane osoby, która uzyska obywatelstwo lub prawo pobytu
w jednym z krajów UE, bądź też opięci terytorium Unii zostają usunięte z systemu.
System ten uruchomiono oficjalnie 15 stycznia 2003 r. i obecnie aktywnie uczestniczą w nim
wszystkie kraje UE a także Islandia, Norwegia i Szwajcaria. Eurodac obejmuje zatem więcej
państw, niż strefa Schengen, gdyż obowiązuje on również w Irlandii i Wielkiej Brytanii.
VIS (Wizowy System Informacyjny)
System VIS wspiera proces realizacji wniosków o wizy wjazdowe do krajów europejskich
strefy Schengen. Umożliwi organom państw członkowskich wgląd do wszystkich wniosków o
wizę wjazdową do krajów z obszaru Schengen. Szacuje się, że rocznie będzie składanych
ponad 20 mln takich wniosków, a dodatkowo ponad 45 mln zapytań o sprawdzenie ważności
wizy.
Ma on być oparty na architekturze scentralizowanej oraz składać się z centralnego systemu
informacyjnego (C-VIS), z interfejsów krajowych w każdym kraju UE (zapewniających
połączenie z odpowiednimi centralnymi organami danego państwa członkowskiego, N-VIS)
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
77
oraz z infrastruktury komunikacyjnej pomiędzy nimi. Pojemność VIS przewidywana jest na
około 70-100 mln odcisków palców zebranych w ciągu pierwszych pięciu lat funkcjonowania
systemu, przy założeniu, że rocznie składanych będzie około 20-25 mln wniosków wizowych.
Obecnie prowadzone są wdrożenia pilotowe systemu centralnego, którego uczestnikami są
kraje basenu Morza Śródziemnego. Przewiduje się wdrożenie systemu począwszy od stycznia
2010.
Istotnym problemem jest organizacja i koszty punktów pobierających dane biometryczne.
Rozważa się następujące metody organizacji punktów pobierających dane biometryczne:
„In House Method” – każdy z aplikantów musi osobiście stawić się w urzędzie
konsularnym danego państwa (daje to możliwość zachowania całkowitej kontroli
przez państwo członkowskie nad procesem, ale powoduje zagęszczenie ruchu w
danych punkcie); Problemem jest koszt utrzymywania przez państwo członkowskie
placówki w przypadku punktów, gdzie wydawane są niewielkie ilości dokumentów.
„In House Commercial Method” – w tej metodzie komercyjny partner przejmuje
organizację procesu pobierania biometrii. Może to pomóc w przypadku „małych”
posterunków. Pozostaje tu bardzo istotny problem nieautoryzowanego użycia
zbieranych danych.
„Dominant Post Method” – w miejscach gdzie brak jest reprezentacji danego
państwa procesy powyższe realizuje przedstawiciel innego państwa członkowskiego
UE – w danym regionie ma być wyłoniony dominujący jeden lub klika punktów, które
mają realizować proces pobierania biometrii.
“Joint Enrolment Centre – In House Method” oraz “Joint Enrolment Centre –
Commercial Method”. Zorganizowanie centralnego ośrodka (w danym regionie) dla
wszystkich państw członkowskich zajmującego się ww. procesami, gdzie wskazano
Najbardziej prawdopodobnym rozwiązaniem wydaje się być opcja “Dominant Post”.
SIS II (System Informacyjny Schengen drugiej generacji)
SIS II umożliwia właściwym organom krajów Schengen, poprzez procedurę automatycznego
wyszukiwania danych, dostępu do informacji dotyczących osób i mienia oraz – tym samym –
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
78
sprawniejsze realizowanie zadań związanych z kontrolą graniczną, celną, policyjną i
ewentualną współpraca sadów w sprawach karnych, przy jednoczesnym umożliwieniu
pełniejszej realizacji zasady swobody przepływu osób.
System zawiera dane dotyczące przedmiotów (skradzionych pojazdów, broni, gotówki,
dokumentów tożsamości i dokumentów in blanco) i osób (np. poszukiwanych, zaginionych
lub podlegających niejawnemu nadzorowi), wobec których mogły być zastosowane takie
środki, jak areszt w celu ekstradycji; odmowa wjazdu w stosunku do osób, które nie mają
prawa do wjazdu na teren Schengen z powodu zagrożenia dla porządku publicznego i
bezpieczeństwa wewnętrznego; zatrzymanie osób zaginionych, nieletnich oraz podlegających
nakazowi sądowemu; zatrzymanie osób, Świadków i podejrzanych, w celu złożenia
wyjaśnień w procesie sądowym; prowadzenie nadzoru niejawnego; przechwycenie
zaginionych lub skradzionych pojazdów samochodowych, broni, dokumentów i banknotów89.
W SIS II przewidziano wykorzystanie dwu cech biometrycznych wizerunku twarzy i
odcisków palców,.
SIS II i VIS
Oba systemy wykorzystują biometrię, przy czym w odniesieniu od zastosowania w
dokumentach podróży diametralnie różni się jej wykorzystanie. Mianowicie o ile w
dokumentach podróży cechy biometryczne są zapisane tylko w samym dokumencie o tyle
systemach SIS II i VIS utrzymywana jest centralna baza danych. W trakcie aplikacji o wizę
(lub podczas kontroli tożsamości np. granicznej) pobierane są dane petenta i wysyłane do
systemu centralnego w celu sprawdzenia.
Co do zasady – SIS II i VIS mają być systemami odrębnymi, chociaż ściśle ze sobą
współpracującymi i z czasem staną się one podstawą dla sieci powiązanych ze sobą różnych
baz danych, do czego Komisja Europejska otwarcie zmierza.
Poprzez Narodowy Interfejs NI-SIS będzie następowała komunikacja z Centralnym
Systemem SIS CS-SIS.
Rząd Polski zatwierdził MasterPlan SIS II i VIS PL (wersja 5.0)
W dniu 25 listopada 2008 roku Rada Ministrów zatwierdziła Program dostosowania Organów
Administracji Państwowej do współpracy z Systemem Informacyjnym Schengen (SIS) i
Systemem Informacji Wizowej (VIS) wersja 5.0 (MasterPlan SIS i VIS PL), przedłożony
przez Ministra Spraw Wewnętrznych i Administracji.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
79
Dokument przedstawia sposób realizacji Programu umożliwiający terminowe wywiązanie się
Polski ze zobowiązań międzynarodowych w zakresie gotowości do pełnej współpracy z
Systemem Informacyjnym Schengen II generacji (SIS II) oraz Systemem Informacji Wizowej
(VIS).
Dokument MasterPlan w wersji 5.0 zawiera plan działań niezbędnych do zrealizowania
powyższych wymogów. Dokument ten wskazuje:
- cel strategiczny, cele operacyjne i związane z nimi zbiory zadań
- organy administracji państwowej odpowiedzialne za realizację ww. zadań Terminy, w
których zadania powinny być zrealizowane
- mechanizmy zarządzania Programem
- zobowiązania Użytkowników Instytucjonalnych
Dostosowanie organów administracji państwowej do współpracy z SIS II i VIS zapewni
efektywniejsze zwalczanie przestępczości i terroryzmu.
8.2.5. Paszport biometryczny
Franciszek Wołowski
PWPW SA
Paszport biometryczny posiada tą samą formę i cechy jak paszport tradycyjny a ponadto
w paszport ten wbudowany jest Chip RFID (RF Radio Frequency,ID Identification).
Najczęściej chip montowany jest w okładce paszportu. Chip RFID jest to odpowiednik
bezstykowej karty elektronicznej inaczej mikroprocesor połączony z anteną, poprzez którą
kontaktuje się z czytnikiem. Ponadto antena po umieszczeniu w zmiennym polu
elektromagnetycznym wytwarzanym przez czytnik generuje prąd wystarczający aby zasilać
ten mikroprocesor. Chip jest wyposażony w koprocesor kryptograficzny umożliwiający
wykonywanie wszystkich niezbędnych operacji kryptograficznych a to z kolei zapewnia
wysoki poziom bezpieczeństwa.
8.2.5.1. Od Paszportu do biometrycznego e-Paszportu
Międzynarodowa organizacja lotnictwa cywilnego ICAO (International Civil Aviation
Organization) rozpoczęła już w 1997 prace nad paszportem biometrycznym. Przełomową datą
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
80
okazał się 11 września 2001, kiedy to wystąpiła duża presja na zastosowanie technologii
biometrycznych. Podstawowym argumentem była konieczność wdrożenia lepszych metod
identyfikacji i uwierzytelnienia. Biometria dla wielu rządów stała się istotnym środkiem walki
z terroryzmem, nielegalną emigracją, oszustwem i zorganizowaną przestępczością.
Rząd USA postawił wysokie wymagania krajom uprawnionym do ruchu bezwizowego
żądając wprowadzenia paszportów z jedną cechą biometryczną - wizerunkiem twarzy.
Najpierw przyjęto jako ostateczny termin wdrożenia październik 2004 r. Okazało się, że był
to termin nierealny. Następnie narzucono termin październik 2005 r. i tego terminu również
nie dotrzymano. Dopiero w sierpniu 2006 r. większość krajów UE rozpoczęła wydawanie
paszportów biometrycznych.
W wyniku prowadzonych przez ICAO TAG-MRTD/NTWG (International Civil Aviation
Organisation Technical Advisory Group-Machine Readable Travel Document/ New
Technologies Working Group) prac normalizacyjnych dotyczących MRTD (w tym
paszportów i wiz) powstają raporty techniczne zawierające zalecenia, które powinny być
brane pod uwagę przez kraje wydające takie dokumenty25
.
Rada Europejska na posiedzeniu w Salonikach w dniach 19 i 20 czerwca 2003 r. potwierdziła,
że niezbędne jest spójne podejście w odniesieniu do identyfikatorów biometrycznych lub
danych biometrycznych do dokumentów obywateli państw trzecich, paszportów obywateli
Unii Europejskiej i systemów informacyjnych (VIS i SIS26
II) i wydała ROZPORZĄDZENIE
RADY (WE) NR 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm dotyczących
zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży
wydawanych przez Państwa Członkowskie. Rozporządzenie reguluje zagadnienia ogólne.
Szczegółowe zasady są ujmowane w specyfikacjach i standardach.
Tworzone są ujednolicone techniczne specyfikacje dla elektronicznych paszportów i wiz,
które obowiązują w krajach członkowskich Unii Europejskiej. Opracowano specyfikacje
techniczne dla norm dotycząca zabezpieczeń i danych biometrycznych w paszportach i
dokumentach podróży wydawanych przez państwa członkowskie”.. Wdrożono je mocą
Decyzji Komisji Europejskiej, której załącznikiem jest Zastosowanie biometrii w paszportach
25
ICAO NTWG, Development of a Logical Data Structure – LDS for optional capacity expansion technologies,
Technical Report, Revision 1.7, 18 May 2004
ICAO NTWG, PKI for Machine Readable Travel Documents Offering ICC Read-Only Access, Technical
Report, Version 1.1, 1 October 2004 26
system informatyczny SIS II, rozwijany na mocy Rozporządzenia Nr 2424/2001 Rady Unii Europejskiej w
sprawie rozwoju Systemu Informatycznego Schengen drugiej generacji (SIS II) z dnia 6 grudnia 2001 r.,
pozwala na przesyłanie danych biometrycznych osób podejrzanych i poszukiwanych, przy wykorzystaniu
najnowszej technologii. Komisja Europejska opracowuje projekty aktów prawnych legitymizujących
gromadzenie danych biometrycznych w SIS II i projektowanym systemie informacji wizowej VIS.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
81
UE. UE – Specyfikacje dla paszportu 27. Główny nacisk w tych dokumentach jest położony na
bezpieczną implementację biometrycznych metod identyfikacji osób posługujących się tymi
dokumentami.
Istotne rozstrzygnięcia dotyczą wyboru technologii dla układów scalonych, które mają
stanowić integralną część dokumentu – mają to być procesorowe, bezstykowe układy
zbliżeniowe o „plikowej” architekturze zasobów pamięciowych i logicznym protokole
komunikacji ze „światem zewnętrznym” zgodnymi z odpowiednimi normami ISO/IEC28
.
Dokument podróżny czyli MRTD składa się więc z „klasycznej” część dokumentu, która
umożliwia stwierdzenie tożsamości na podstawie oceny wzrokowej, zaś układ scalony ma
dodatkowo zwiększać wiarygodność tego procesu.
8.2.5.2. Biometria w dokumentach podróżnych
Biometria została wybrana jako metoda identyfikacji i uwierzytelnienia z uwagi na
następujące zalety:
- bardzo trudno wykonać duplikat dokumentu, aby dokonać sfałszowania trzeba
zarówno pokonać zabezpieczenia dokumentu klasycznego jak i cały system
zabezpieczeń informatycznych w tym mikroprocesor
- występuje bardzo silne powiązanie pomiędzy dokumentem a jego posiadaczem
- paszport elektroniczny stwarza możliwości do prowadzenia automatycznej kontroli
granicznej co może usprawnić przepływ osób
- paszport elektroniczny umożliwia zidentyfikowanie podróżnych i imigrantów którzy
zagubili swoje dokumenty podróżne (jeśli przeszli oficjalną kontrolę graniczną)
Wdrożenie biometrii jest promowane przez rządy, które chcą mieć większą możliwość
weryfikacji ludzi, którzy wjeżdżają lub wyjeżdżają z terytorium ich kraju.
27
Ang. wersja: Biometric Deployment of EU-Passports, EU-Passport Specification (working document),
Advanced Security Mechanisms for MRTD, Technical Report (Technical Report version0.85).Biometric
Deployment of EU-Visa and EU Residence Permits, EU-Visa Specification (w przygotowaniu) 28
ISO/IEC 14443, części 1-4, Identification Cards – Contactless Integrated Circuit(s) Cards – Proximity Cards
ISO/IEC 7816, części 4, 5, 8, 9 i 15, Identification Cards –Integrated Circuit(s) Cards with Contacts
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
82
8.2.5.3. Weryfikacja autentyczności dokumentów, ochrona dostępu do danych,
uwierzytelnienie podmiotów
Dla zapewnienia kompleksowego bezpieczeństwa wydawania i użytkowania dokumentów
zawierających dane biometryczne, należy kontrolować dostęp do danych, sprawdzać ich
autentyczność, ale również badać wiarygodność urządzeń czytających. Mechanizmy
zabezpieczające dostęp do danych, a także ich integralność, autentyczność i/lub wiarygodność
oraz poufność podzielono na 4 kategorie: uwierzytelnienie bierne, uwierzytelnienie aktywne
(mikroprocesora), podstawowa kontrola dostępu oraz rozszerzona kontrola dostępu
(terminala).
Uwierzytelnienie bierne jest wymagane dla wszystkich danych (obligatoryjny zakres
bezpieczeństwa dla sygnatariuszy ICAO). Polega ono na weryfikacji podpisu cyfrowego
złożonego przez wydawcę paszportu pod danymi zawartymi w strukturze danych
mikroprocesora. Zapewnia, że dane w nim zawarte są autentyczne i nie zmienione. Jednakże
nie chroni przed skopiowaniem lub podmianą mikroprocesora, nieupoważnionym dostępem
oraz przeglądaniem danych
Rys. 6. PKI - uwierzytelnienie mikroprocesora.
Źródło: Opracowanie własne
Kontrola praw dostępu
Weryfikator dokumentu Krajowe Centrum Certyfikacji
CVCA Kraj A
Weryfikator dokumentu Krajowe Centrum Certyfikacji
CVCA Kraj B Zaufanie
DS. -Podpisujący
dokument Kraj A
Weryfikator
dokumentu
DVCA
Kraj A
Paszport
DS. Podpisujący
dokument
Kraj B
Paszport
Weryfikator
dokumentu
DVCA
Kraj B
Systemy kontroli
paszportu
IS
Systemy kontroli paszportu
IS
Przypisanie praw dostępu
Wydawca
dokumentu
CSCA Kraj A
Wydawca
dokumentu
CSCA Kraj B
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
83
Uwierzytelnienie aktywne według specyfikacji ICAO umożliwia uwierzytelnienie układu
scalonego względem systemu kontroli za pomocą kryptografii asymetrycznej i protokołu
„wyzwanie-odpowiedź”, a zatem jest to metoda sprawdzenia, czy układ scalony nie został
podmieniony. Sporządzenie „klona” wydaje się więc praktycznie niemożliwe.
Uwierzytelnienie aktywne wymaga zastosowania mikroprocesora z kooprocesorem
kryptograficznym i wygenerowania kluczy kryptograficznych dla każdego mikroprocesora.
Specyfikacja UE wprowadziła alternatywną metodę uwierzytelnienie mikroprocesora (chip
authentication), która oprócz Rys. 6. PKI zabezpieczające wydawanie i użytkowanie
paszportów biometrycznych powyższych właściwości podnosi poziom bezpieczeństwa
przesyłanych danych.
Podstawowa kontrola dostępu wymagana jest dla wszystkich danych. Ma ona zapobiegać
odczytowi danych z układu scalonego przez podmioty nieuprawnione (np. nawiązując
komunikację z układem scalonym bez „otwierania” paszportu, bądź „podsłuchując” legalną
komunikację między MRTD a systemem sprawdzania paszportu). Zapobiega podsłuchiwaniu
komunikacji pomiędzy MRTD i systemem sprawdzania (w trakcie komunikacji ustalany jest
szyfrowany sesyjny kanał). Nie chroni przed skopiowaniem lub podmianą mikroprocesora.
Rozszerzona kontrola dostępu (Extended Access Control) jest wymagana dla dostępu do
odcisków palca – uznawanych za dane wrażliwe - jako ochrona dodatkowa. Jest to opcjonalne
wymaganie ICAO, jednakże UE przyjęła je jako obowiązkowe po wprowadzeniu do
paszportów odcisków palców. Zakłada się, że kontrola dostępu do tych danych powinna być
tak skuteczna, jak to możliwe. Prace ekspertów europejskich zaowocowały propozycją
alternatywnego aktywnego uwierzytelniania. Chodzi o uwierzytelnianie terminala (terminal
authentication) dzięki wykorzystaniu dodatkowej infrastruktury PKI, w której wydawane są
certyfikaty dla weryfikujących dokumenty.
Sposób ten podnosi poziom bezpieczeństwa, zapewnia lepszą poufność danych, a w
szczególności przeciwdziała odczytywaniu danych z mikroprocesora przez nieupoważniony
terminal. Najważniejszymi elementami tej struktury są krajowe centra certyfikacji. Istnieją
dwa rodzaje narodowych centrów certyfikacji. Pierwsze z nich to CSCA (Country Signing
Certificate Authority) czyli centrum, które obecnie wydaje certyfikaty dla wydawcy paszportu
(DS - Document Signer). Wydawca paszportu przy ich pomocy podpisuje z kolei dane
umieszczane w paszporcie w celu zapewnienia biernego uwierzytelnienia. Centrum to
przekazuje swój autocertyfikat (samopodpisany) wszystkim odpowiednikom z pozostałych
krajów. Drugie centrum to DVCA (Document Verifier Certificate Authority) czyli centrum,
które będzie wydawać certyfikaty krajowym weryfikator dokumentów (DV - Document
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
84
Verifier, np. Straży Granicznej). Krajowi weryfikatorzy będą wydawać certyfikaty dla
systemu sprawdzania (Inspection System, np. systemom zainstalowanym na przejściach
granicznych) ale również, a raczej przede wszystkim, wydawać będą certyfikaty wszystkim
zagranicznym weryfikatorom dokumentów. Procedura ta jest niezbędna do zamknięcia
ścieżki zaufania. Jest to niezbędne także do zrealizowania rozszerzonej kontroli dostępu
(nadawanie uprawnień zagranicznym służbom do czytania paszportów obywateli określonego
kraju).
Cały system wydawania i użytkowania paszportów biometrycznych jest więc skomplikowany.
Obejmuje gromadzenie danych, ich weryfikację, podsystem zabezpieczenia przed oszustwami
i nieuprawnionym dostępem, produkcję dokumentów, ich dystrybucję, weryfikację tych
dokumentów i tożsamości ich właścicieli (rys. 7).
Rys. 7. Struktury PKI dwu krajów i ich współdziałanie.
Źródło: Opracowanie własne na podstawie Implementing European e-passports and PKI reader infrastructure Bob Carter,
IPS Frank Smith, UKBA
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
85
Kontrola na granicy z zastosowaniem paszportu biometrycznego nie została jeszcze określona
w sposób dokładny, gdyż może być ona bardzo różnorodna, począwszy od np. wyświetlenia
na ekranie zawartości wizerunku twarzy zapisanego w mikroprocesorze paszportu,
porównanie go z zdjęciem w paszporcie oraz twarzą podróżnego do całkowicie
zautomatyzowanej kontroli z wykorzystaniem procesu dopasowywania wzorców. W kontroli
mogą być stosowane obie cechy biometryczne razem (podnosi to efektywność kontroli) lub
każda z nich oddzielnie. Sposób kontroli będzie również uzależniony od środowiska, w
którym będzie ona realizowana, inaczej będzie realizowana kontrola w portach lotniczych i
morskich a inaczej w zatłoczonym pociągu (np. jadącym z Lwowa do Medyki) lub na leśnym
przejściu w niekorzystnych warunkach atmosferycznych (deszcz, śnieg, wiatr, mróz). Od
narodowych ustaleń będzie zależało również czy na pierwszej linii kontroli będzie
realizowana tylko podstawowa kontrola dostępu czy również rozszerzona kontrola dostępu.
Extended Access Control (EAC) = BAC + CA + PA + TA
Kontrola na granicy
Prezentacja
Prezentacja dokumentu do
kontroli na granicy
5 Czytnik
Czytnik i stacja robocza na
granicy
13
BAC
Basic Access
Control
i
CA
Chip
Authentication
ii PA
Passive Authentication
iii
Czytanie 1
Czytanie danych mało
wrażliwych
iv
Dostęp zabezpieczony
Dostęp
nie zabezpieczany
TA
Terminal
Authentication
v
Czytanie 2
Czytanie danych
wrażliwych
vi
Rys. 8. Schemat weryfikacji paszportu na granicy z możliwością wariantowego wykorzystania wyżej opisanych
sposobów.
Źródło: Opracowanie własne na podstawie Implementing European e-passports and PKI reader infrastructure Bob Carter,
PS Frank Smith, UKBA
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
86
Podstawowym dokumentem zawierającym regulacje związane z działalnością tej struktury
jest raport techniczny. Dokument ten został opracowany przez grupę roboczą ds. PKI i EAC
Komitetu Artykułu 6. W chwili obecnej jest on uzupełniany i aktualizowany przez tą grupę
roboczą, której Komitet Artykułu 6 nadał już oficjalny status i która przyjęła nazwę Brussels
Interoperability Group (BIG). Jest ona odpowiedzialna za zapewnienie interoperacyjności
paszportów wszystkich państw członkowskich UE oraz za opracowanie niezbędnych
dokumentów, takich jak polityki certyfikacji, profilów ochrony, specyfikacji testów itp.
8.3. Polska
8.3.1. Porównanie regionalne
Na lata 2007 – 2013 przyjęto program zmian w zakresie rozbudowy i modernizacji
infrastruktury technicznej, zgodnie z warunkami określonymi przez Unię Europejską w tzw.
funduszach strukturalnych i funduszach spójności (rys. 9.).
Patrząc na tło inwestycji w UE, można wyciągnąć następujące wnioski:
• W roku 2004 wskaźnik poziomu inwestycji w Polsce w technologie informatyczne i
komunikacyjne na mieszkańca wyniósł 100, w porównaniu ze średnią 732 w krajach Europy
Zachodniej i 238 w Republice Czeskiej. Jednak w 2004 r. wzrost wydatków związanych z IT
Rys. 9. Fundusze Strukturalne i Fundusze Spójności Unii Europejskiej - Podsumowanie na lata 2007 - 2013
Źródło: Komisja Europejska
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
87
wyniósł - 13,2% i był najwyższy w krajach UE, a od 2004 r. tempo wzrostu utrzymuje się na
takim samym poziomie.
• Rozwój i modernizacja infrastruktury technicznej, ma podstawowe znaczenie dla wzrostu
konkurencyjności Polski i jej regionów.
• Infrastruktura techniczna jak i jakość jej funkcjonowania ma bardzo istotny wpływ na
decyzje lokalizacyjne inwestorów i koszty funkcjonowania gospodarki. Analizy jasno
wykazują, że stan i jakość w wielu dziedzinach w Polsce, w tym transportu i związanej z nimi
infrastruktury, urządzeń technicznych itp. mają negatywny wpływ na perspektywy rozwoju
polskiej gospodarki w kontekście europejskim, w przeciwieństwie do innych regionów.
• Rozwiązania IT i innowacje są postrzegane jako istotne elementy w realizacji celu
zwiększenia PKB per capita w Polsce, do około dwóch trzecich średniej w UE, do roku 2013
(przy mniej niż połowie średniej w 2006 roku).
Powyżej przedstawione powody wskazują dlaczego program rozwoju przebiega w ramach
planu Funduszy Strukturalnych i Spójności. Część opisanych powyżej funduszy będzie
wykorzystana w latach 2007 - 2013 w celu wzmocnienia zdolności administracji publicznej
poprzez poprawę procesów i infrastruktury IT. Programy te będą odgrywać znaczącą rolę w
dalszym rozwoju społeczeństwa informacyjnego w Polsce.
Równie ważny jak „plan finansowania” jest "plan absorpcji". Kluczowym elementem
programu finansowania jest zadanie polegające na wykorzystaniu środków, zgodnie z
harmonogramem, tak aby uniknąć w przyszłości "anulowania zobowiązań" (rys.9.1.)
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
88
8.3.1.1. Możliwości wykorzystania biometrii
Istnieje szereg różnych obszarów poprawiających wydajność operacyjną procesów i
efektywność bezpieczeństwa, w których rozwiązania biometryczne, spełniające kryteria
społeczne, mogą być wdrożone w Polsce.
Wdrożenia rozwiązań biometrycznych są możliwe w działalności polskich przedsiębiorców,
jak i administracji publicznej. Projekty i obszary, w których biometria może odgrywać
kluczową rolę obejmuje m.in.:
• Narodowy program PL ID
Prawdopodobne jest, że w oparciu o wymogi UE biometria odcisku palca będzie
obowiązkowa dla systemu europejskiego dokumentu tożsamości. Zawsze istnieje
jednak możliwość wdrożenia, na poziomie lokalnym, drugiej cechy biometrycznej na
karcie, która może być wykorzystana do uwierzytelniania tansakcji. Jedną z
Rys 9.1. Podsumowanie Wymaganych Poziomów Wykorzystania Funduszy Unii Europejskiej
Źródło: Komisja Europejska
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
89
możliwości dla opcji uwierzytelniania jest wykorzystanie biometrii naczyń
krwionośnych w oparciu o jej skuteczność w zakresie prywatność użytkownika
• Program Narodowej Karty Zdrowia
W Polsce planuje się wprowadzenie karty mikroprocesorowej, która ułatwiałaby
korzystanie z państwowego systemem opieki zdrowotnej. Rozważa się, aby do
uwierzytelniania posiadacza karty wykorzystać jego cechy biometryczne. Początkowo
zastanawiano się nad wykorzystaniem biometrii odcisku palca jako narzędzia do
uwierzytelniania, ale na podstawie negatywnych doświadczeń z nią związanych,
wydaje się to mało prawdopodobne. Biometria naczyń krwionośnych z możliwością
porównania danych biometrycznych na karcie ("match-on-card") może stanowić
bardzo interesującą alternatywę, bazującą na pozytywnych doświadczeniach (np. w
bankowości japońskiej).
Wykorzystanie biometrycznego uwierzytelniania programie narodowego systemu kart
zdrowia, pozwala poprawić poziom użyteczności i bezpieczeństwa systemu.
Zarządzanie danymi użytkownika i utrzymanie prywatności danych ma kluczowe
znaczenie we wszystkich zastosowaniach, ale jest szczególnie ważne w przypadku
danych dotyczących zdrowia.
• Zabezpieczenie krytycznej infrastruktury w tym dostępu do budynków i
systemów (szczególnie w sektorze wojskowym)
Dzięki większej świadomości w zakresie zagrożeń ze strony terroryzmu i ogólnych
wymagań dotyczących zwiększenia bezpieczeństwa krytycznej infrastruktury,
uwierzytelnianie biometryczne w kontroli dostępu będzie odgrywało coraz większą
rolę przy ochronie strategicznych elementów, takich jak centra danych, infrastruktura
energetyczna, lotniska i inne.
W połączeniu z odpowiednim oprogramowaniem końcowym jak i serwerami
uwierzytelniającymi w obszarze back-office, walidacja biometryczna może zostać
wprowadzona do zarządzania i użytkowników wszystkich rodzajów systemów IT, bez
potrzeby zmian w aplikacjach IT. Korzystanie z takiego podejścia może zapewnić
nowy poziom kontroli korporacyjnej i wydajności w miejscu pracy.
W proponowanych zastosowaniach rozważa się przede wszystkim technologie
zapewniające najwyższy poziom bezpieczeństwa (biometria tęczówki oka i biometria
naczyń krwionośnych).
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
90
• Tworzenie nowych poziomów bezpieczeństwa dla konsumentów w sektorze
bankowym i zróżnicowanych usług opartych na szybkim i skutecznym
uwierzytelnianiu klienta w miejscu użytkowania.
Niektóre zmiany dotyczące identyfikacji i uwierzytelnienia będzie można stosować w
ramach struktur wewnętrznych banków. Istnieje również potrzeba zwiększenia
nacisku na wykorzystanie nowych technologii w celu zapewnienia skutecznej
autoryzacji rozwiązań dla konsumentów. Zastosowanie biometrii w bankowości
detalicznej miało już miejsce w wielu regionach świata. Organizacje, które z
powodzeniem wprowadzają nowe technologie będą mogły wykorzystać rosnące
zaufanie odbiorców końcowych i wynikające z niego zwiększone udziały w rynku.
• Zaufane usługi e-Government
Dostarczenie i wykonanie większości rozwiązań w zakresie e-Government musi być
oparte na wymogu "zaufania" pomiędzy stronami uczestniczącymi w procesie
autoryzacji. Zwykle poziom zaufania jest zapewniony przez mechanizm infrastruktury
klucza publicznego PKI, który pozwala na wzajemne uwierzytelnianie z dwóch stron
transakcji. W ramach tego schematu każda ze stron może być wystarczająco pewna, że
ma do czynienia z jednostką, która może zapewnić przynajmniej minimalny poziom
posiadanych listów uwierzytelniających, które mogą być wykorzystane do
potwierdzania transakcji. Zazwyczaj taki zaufany system wymaga od stron posiadania
ważnych certyfikatów cyfrowych, wydawanych przez zaufane osoby trzecie (centra
certyfikujące) wraz ze zdolnością do zatwierdzania tych certyfikatów dla różnych
transakcji. Rozwiązanie PKI zapewnia coś, co użytkownik „posiada” (tj. Certyfikat) i
coś, co użytkownik „wie” (tj. PIN, który jest używany do cyfrowego podpisywania
transakcji, w których używany jest certyfikat). To czego nie ma w tym systemie to coś,
co "należy" do użytkownika, czyli element który zapewniłby „silne” powiązanie z
użytkownikiem – np. identyfikator biometryczny. Jeśli system biometryczny jest
wykorzystywany do podpisywania transakcji, wtedy poziom zaufania między
stronami w transakcji znacznie wzrasta. Dzięki temu promowanie przyjęcia transakcji
elektronicznych przez użytkowników końcowych stałoby się znacznie łatwiejsze dla
organizacji rządowych. Rząd w Polsce już stworzył środowisko PKI i obecnie
formułuje plany, aby rozszerzyć zakres i liczbę usług elektronicznych dostępnych dla
przedsiębiorstw i obywateli. Wykorzystania danych biometrycznych do
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
91
uwierzytelniania, wskazywałyby obywatelom intencje rządu, zmierzającego do
zapewnienia rozwiązań, które mogą zapewnić wysoki poziom zaufania zarówno dla
użytkowników i dostawców usług.
Uwzględnienie praktyczności i bezpieczeństwa wykorzystania biometrii w codziennych
transakcjach może przyczynić się do uproszczenia i usprawnienia nowych usług e-
Government. Może też pomóc rządowi w spełnieniu celów określonych na szczeblu UE, tj:
- upowszechnienie transakcji elektronicznych
- usuwanie procesów opartych na dokumentacji papierowej
- poprawa skuteczności systemów administracji publicznej
Ponieważ w najbliższych kilku latach rząd rozpocznie w Polsce kilka dużych projektów,
ważne jest aby uwzględnił ich wpływ na odbiór społeczny oraz zaproponował sposób, dzięki
któremu może być budowane społeczne zaufanie do wdrażanych systemów.
Ich realizacja jest niepowtarzalną okazją do wprowadzenia najlepszych technologii wraz z
zastosowaniem najlepszych praktyk (z ang. best practices) w architekturze i wdrożeniach tych
systemów.
8.3.2. Wdrożenie polskiego paszportu biometrycznego
Franciszek Wołowski
PWPW SA
Rozporządzenie Rady (WE) nr 2252/2004 nałożyło na kraje członkowskie obowiązek
wprowadzenia paszportów biometrycznych. W związku z tym, że rozporządzenie jest aktem
obligatoryjnym w roku 2005 rozpoczęto prace mające na celu wypełnienie obowiązków
naszego kraju w kwestii wydawania paszportów biometrycznych. Zgodnie z wymaganiami
unijnymi proces ten podzielono na dwa etapy. W pierwszym etapie – do sierpnia 2006 -
zobowiązanie dotyczyło wydawania paszportu z pierwszą cechą biometryczną czyli
wizerunkiem twarzy. Drugi etap do czerwca 2009 – dotyczy wydawania paszportów z dwoma
cechami biometrycznymi czyli wizerunkiem twarzy i odciskami palców.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
92
8.3.2.1. Pierwszy etap wdrożenia polskiego paszportu biometrycznego
Pierwszy etap wdrażania paszportu biometrycznego został w Polsce zakończony sukcesem.
Nadal jednak niewielu obywateli Polski jest świadomych tego, że wszystkie wydawane od
kilku lat paszporty w Polsce są paszportami biometrycznymi. Pełny sukces pierwszego etapu
wdrożenia będzie jednak dopiero w chwili gdy duża ilość paszportów będzie mogła zostać
zweryfikowana przez służby kontrolne wszystkich krajów. Obecnie ilość wydanych
paszportów biometrycznych w stosunku do tradycyjnych jest niewielka, a systemy kontroli
granicznej nie wykorzystują weryfikacji biometrycznej.
Proces wdrożenia polskiego paszportu biometrycznego był realizowany w czasie, gdy wiedza
i doświadczenie w tym zakresie były udziałem niewielkiego grona osób. Dokumenty
standaryzujące, wg których miały powstawać te paszporty były w tym czasie w fazie
dopracowywania. Ostateczna forma niektórych dokumentów ukazała się w dniu upłynięcia
wyznaczonego rozporządzeniem terminu rozpoczęcia wydawania paszportów. Dla uniknięcia
popełnienia błędów na dużą skalę, zdecydowano się na pilotażowe wdrożenie paszportów
dyplomatycznych i służbowych. Dla tej wybranej grupy stworzono system informatyczny
służący do przyjmowania wniosków, pozyskiwania danych, przesyłania wniosków
paszportowych w postaci elektronicznej do Centrum Personalizacji Dokumentów, przesyłania
informacji zwrotnej o etapie osiągniętym w procesie wydawania paszportu oraz rejestracji
danych o dokumencie w bazie danych, system personalizacji, infrastrukturę klucza
publicznego PKI, system komunikacji oraz system zarządzania bezpieczeństwem obejmujący
każdy z tych elementów i zabezpieczający komunikację pomiędzy wymienionymi elementami.
Przy pomocy tak stworzonego systemu na początku 2006 roku rozpoczęto wydawanie
paszportów.
Po zakończeniu pilotażu system bez większych zmian został przekształcony w system
produkcyjny do wydawania wszystkich rodzajów paszportów.
W trakcie całego okresu wdrożeniowego dużą wagę przywiązywano zarówno do jakości
samych paszportów jak również do uzyskania interoperacyjności. Dla uzyskania tych celów
zostały opracowane plany testów zgodności paszportów z standardami (ePassport Conformity
test), czytników (Reader Conformity test) jak również testów wzajemnych (Cross over test)
dla weryfikacji poprawności sprawdzania paszportów na różnorodnych urządzeniach. Według
tych planów zrealizowano kilka międzynarodowych sesji testowych. Po każdej z sesji
aktualizowano zarówno plany testów jak i same standardy. Pewnym problemem okazała się
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
93
niedrożność kanałów dyplomatycznych, poprzez które miała być dokonana wzajemna
wymiana certyfikatów CSCA.
Oprócz problemów merytorycznych musiano również uwzględnić protest stowarzyszenia
fotografów, którzy nie zgodzili się na instalację profesjonalnych kabin do pobierania
wizerunku twarzy. Spowodowało to również konieczność opracowania wymagań do
weryfikacji zdjęć dostarczanych przez petentów oraz wyposażenia punktów akwizycyjnych w
odpowiednie skanery.
Rys. 9.2. Schemat systemu wydawania i użytkowania polskiego paszportu biometrycznego
Źródło: Opracowanie własne
8.3.2.2. Drugi etap wdrożenia polskiego paszportu biometrycznego
Odciski palców są powszechnie uważane za znacznie bardziej wrażliwą cechę i o ile mało kto
odmawia udostępnienia swego zdjęcia o tyle prawie każdy niechętnie skłania się do
udostępniania odcisków palców. Z tego względu wprowadzenie tej cechy do paszportu
zostało obwarowane przez UE bardzo restrykcyjnymi zabezpieczeniami (część opcjonalnych
wymagań ICAO UE przyjęła za obligatoryjne). Zabezpieczenia te dotyczą zarówno ochrony
tych danych przed fałszerstwem, jak i przed nieuprawnionym dostępem do nich a w
Wydawca paszportu
System Lokalny Składanie wniosku
paszportowego, pobranie danych
biograficznych i biometrycznych.
Weryfikacja - Wydanie paszportu
Komunikacja Komunikacja
System
Centralny
PESEL
PKI
`1. CSCA, DVCA wg. ICAO i EU – certyfikaty, CRL
CSCA DS paszport
DVCA DV IS
2. CCPl - Centra Certykacji - kontrola dostępu do
systemu --Certyfikaty, CRL i znaczniki czasu
Ewidencja
Personalizacja paszportu Graficzna i elektroniczna
Stanowisko .
Specjalne
komunikacja
komunikacja
Weryfikacja z PESEL
Produkcja książeczek
paszportu biometrycznego
IS – systemy kontroli
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
94
szczególności nielegalnym ich gromadzeniem, gdyż wśród kilkudziesięciu tysięcy cech
można z wielkim prawdopodobieństwem znaleźć biometrycznego sobowtóra, a więc można
się podszyć pod jego dane biograficzne. Łatwo więc sobie wyobrazić jak atrakcyjnym dla
zorganizowanych grup przestępczych byłoby wejście w posiadanie dużych baz danych
biometrycznych.
Z tych względów zastosowane w pierwszym etapie metody zarządzania bezpieczeństwem
systemu (BAC i PA) należało rozwinąć i uzupełnić (CA i TA). Wiąże się to z koniecznością
uzupełnienia danych na mikroprocesorze o odciski palców, dodatkowe klucze oraz certyfikaty.
Konieczna też jest modyfikacja systemu operacyjnego w celu umożliwienia realizacji
dodatkowych protokołów. Przede wszystkim, niezbędne jest zbudowanie nowych struktur
PKI umożliwiających uwierzytelnienie podmiotów weryfikujących dokumenty i
zapewniających odpowiednią kontrolę dostępu do tych wrażliwych danych.
Wdrożenie drugiej cechy biometrycznej jest związane z dodatkową modyfikacją testów czyli
ePassport Conformity test, Reader Conformity test, Cross Over test, jak i opracowaniem
testów dla zapewnienia interoperacyjności krajowych struktur PKI. Do końca I kw 2009 r.
większość testów została przeprowadzona. Uzyskano poprawne wyniki.
8.4. Projekty w latach 2009-2012,
w których biometria może odnieść znaczącą rolę
8.4.1. Polski paszport biometryczny – dodanie drugiej cechy biometrycznej
Tomasz Sekutowicz
NXP Semiconductors
Wprowadzenie w sierpniu 2006 Paszportu z mikroprocesorem bezstykowym w technologii
RFID, było ważnym czynnikiem dla rozwoju szeroko rozumianej biometrii w Polsce.
Paszport z mikroprocesorem został wprowadzony w Polsce zgodnie z wytycznymi Unii
Europejskiej oraz Międzynarodowej organizacji ICAO a także po zaleceniach Departamentu
Stanu USA w sprawie ruchu bezwizowego tzw. VISA Vaiver.
Wprowadzony paszport z mikroprocesorem jest w istocie pierwszą próbą wprowadzania cech
biometrycznych na szeroką skalę poprzez rządy poszczególnych krajów. W pierwszym etapie
na mikroprocesorze zapisane są cechy biometryczne twarzy, co w istocie sprowadzało się do
zapisu skompilowanego zdjęcia w formacie JPEG.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
95
Jakkolwiek zastosowanie tak zwanej pierwszej cechy biometrycznej, czyli rysów twarzy
wydawać się może prymitywne przy znanych znacznie bardziej zaawansowanych metodach
to stanowi bardzo ważny czynnik przygotowujący do wprowadzania bardziej
wyrafinowanych metod biometrycznych, a także sposobów weryfikacji oraz kontroli.
Zastosowany każdorazowo mikroprocesor w paszporcie zawiera odpowiednie metody
szyfrowania, każdy zawiera koprocesor matematyczny, może generować klucze
kryptograficzne.
Pierwsza faza projektu paszportu biometrycznego często była zwana tylko projektem
paszportu z mikroprocesorem. Wprowadzenie odcisków palców do każdego paszportu
wprowadzanego do obiegu po 30 maja 2009 nie pozostawia wątpliwości, że zostanie
wdrożony projekt biometryczny o zakresie narodowym.
Z perspektywy nowości wdrożenia paszportu biometrycznego, trudno jest odpowiedzieć na
pytania o perspektywy rozwoju biometrii.
Podstawowe pytania to:
- Czy narzucone niejako rozwiązania zarówno dla procesora bezkontaktowego w
paszporcie jak również odwzorowanie biometryczne twarzy oraz odcisków palców
przyczynią się do rozwoju różnych metod uwierzytelnienia biometrycznego także w
codziennym życiu; w banku, w urzędzie w kontakcie obywatel urząd?
- Czy zaimplementowany mikroprocesor bezkontaktowy będzie w stanie unieść
dodatkowe aplikacje niezwiązane tylko z aplikacjami Paszportowymi?
- Czy nowe funkcjonalności staną się także standardem przy wprowadzaniu
narodowego projektu dowodu osobistego e-ID?
- Czy zaawansowane metody uwierzytelnienia biometrycznego będą stosowane
powszechnie w dowodzie osobistym czy wreszcie czy dowód ten będzie na tyle
narzędziem uniwersalnym, że może służyć do jednoznacznego i nie zaprzeczalnego
uwierzytelnienia obywatela w Internecie a także w kontaktach urząd – obywatel czy
bank-klient?
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
96
8.4.2. PL ID
Tomasz Sekutowicz
NXP Semiconductors
Projekt „pl.ID – polska ID karta” wynika bezpośrednio z planu działań Komisji Europejskiej
na rzecz wdrożenia ogólnoeuropejskiego systemu identyfikacji elektronicznej osób
fizycznych. Główne założenia planu, to stworzenie warunków technicznych i prawnych do
bezpiecznej identyfikacji elektronicznej osób oraz powszechnego stosowania
uwierzytelnionych dokumentów elektronicznych w skali całej Unii Europejskiej.
Opracowanie i wdrożenie biometrycznego dowodu osobistego jest kolejnym etapem
poprawiania ścisłej korelacji pomiędzy posiadaczem dokumentu a dokumentem.
Jest to szczególnie istotne w sytuacji systematycznego wzrostu ilości przestępstw będących
konsekwencją kradzieży tożsamości.
Należy postawić tezę, że zastosowanie dokumentu biometrycznego podniesie poziom
wiarygodności tożsamości posiadacza dokumentu, jako dokumentu wysoce wiarygodnego w
obrocie prawnym. Pozwoli też na pobudzenie rynku usług administracyjnych świadczonych
drogą elektroniczną, przy równoczesnym zwiększeniu poziomu bezpieczeństwa ograniczając
możliwości kradzieży tożsamości posiadacza dokumentu.
Przedmiotem projektu jest: wdrożenie wielofunkcyjnego, elektronicznego dowodu osobistego
(dowodu biometrycznego). Ma on być funkcjonalny i dawać możliwości potwierdzania
tożsamości posiadacza. Dowód biometryczny ma też zapewnić bezpieczne relacje obywatel –
administracja rządowa lub samorządowa, poprzez bezpieczny i łatwy dostęp do usług w
ramach systemu e-PUAP. Projekt realizowany będzie zgodnie z normami i wytycznymi Unii
Europejskiej regulującymi kwestie zabezpieczeń dokumentów elektronicznych, danych
biometrycznych w nich zawartych oraz systemu identyfikacji elektronicznej osób fizycznych.
Realizacja projektu wymusi przebudowę istniejących (PESEL, OEWiUDO) oraz stworzenie
nowych (CROASC) rejestrów, a następnie ich integracja. Projekt dowodu biometrycznego
stanowi kontynuację i rozwój prac realizowanych w ramach projektu PESEL2, z którego
rezultatów i doświadczeń będzie korzystał, bazował będzie również na rozwiązaniach
wypracowanych w trakcie budowy i wdrażania Paszportowego Systemu Informacyjnego.
Warto podkreślić, że modernizacja istniejących rejestrów (PESEL, OEWIUDO) powiązana z
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
97
budową nowych (CROASC) umożliwi zapewnienie pełnej referencyjności rejestrów
państwowych.
Realizacja projektu pozwoli na:
- identyfikację, autoryzację i uwierzytelnienie obywatela w oparciu o dokument
biometryczny (elektroniczne poświadczenie tożsamości),
- stworzenie możliwości obywatelowi i przedsiębiorcy posługiwania się w trakcie
realizacji czynności urzędowych certyfikowanym urzędowym podpisem
elektronicznym,
- stworzenie warunków do odmiejscowienia obsługi obywatela polegających na
umożliwieniu świadczenia szeregu czynności administracyjnych związanych m.in.
z aktami stanu cywilnego, ewidencją ludności i wydawaniem dowodów osobistych
oraz wydawaniem zaświadczeń i odpisów w dowolnym urzędzie gminnym, a nie
tylko właściwym dla miejsca zamieszkania danego obywatela,
- ograniczenie ilości wydawanych poświadczeń, odpisów, wypisów m.in. poprzez
zapewnienie dostępu do wiarygodnych i aktualnych danych gromadzonych w
bazach centralnych zainteresowanym samorządowym urzędom administracji
publicznej i innym upoważnionym instytucjom oraz podmiotom w ramach
obowiązującego prawa,
- stworzenie możliwości automatycznej aktualizacji i przekazywania określonych
danych bez potrzeby czynienia tego bezpośrednio przez obywatela; dane z rejestru
PESEL będą przekazywane do innych systemów informatycznych sektora
publicznego lub pobierane przez te systemy,
- dostosowanie się do ogólnoeuropejskich standardów eGovernment w takich
obszarach, jak: zamówienia publiczne, rejestracja działalności gospodarczej, usługi
podatkowe, migracja pomiędzy krajami EU, zabezpieczenia społeczne.
8.4.3. Narodowa karta zdrowia
Tadeusz Woszczyński
Hitachi Europe Ltd.
Wprowadzenie narodowej karty zdrowia dla polskich obywateli jest planowane już od wielu
lat. Na początku XXI wieku rozpoczęto pilotażowe wdrożenie mikroprocesorowej karty
zdrowia dla mieszkańców województwa śląskiego. Mimo pomyślnego wdrożenia tej karty i
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
98
pozytywnego odbioru przez użytkowników, projekt ten nie został rozszerzony o kolejne
województwa. W wyniku tego pacjenci w całej Polsce muszą stosować archaiczne narzędzia
do potwierdzenia ubezpieczenia zdrowotnego i zbierania historii chorób w formie papierowej
książeczki zdrowia.
Przez ostatnie lata odbyło się wiele debat dotyczących formy nowej, powszechnej karty
zdrowia. Mimo tego do dzisiaj nie jest sprecyzowana jej forma oraz sposób uwierzytelniania.
Bierze się pod uwagę zarówno karty mikroprocesorowe lub karty bezstykowe RFID, ale także
archaiczne karty plastikowe tylko z nadrukiem. Można także usłyszeć propozycje połączenia
projektu polskiej karty zdrowia z programem PL ID i stworzenie jednego rozwiązania, co
wydaje się w polskich warunkach trudne do zrealizowania.
Naturalnym wyborem karty w tym przypadku powinna być karta dualna, na której informacje
zapisywane byłyby bezpiecznie przy pomocy interfejsu stykowego, a odczytywane za pomocą
wygodnego interfejsu bezstykowego.
Kolejnym kluczowym wyborem jest wybór uwierzytelniania. Uwierzytelnianie karty zdrowia
przy pomocy dowodu osobistego wydaje się być niezbyt nowoczesne. Uwierzytelnianie za
pomocą kodu PIN może wzbudzić sprzeciw użytkowników, gdyż będą zmuszeni oni pamiętać
kolejną sekwencję znaków. Zmusi ich to do stosowania tego samego kodu PIN jak w kartach
płatniczych, co może zmniejszyć poziom bezpieczeństwa wielu transakcji.
Naturalnym wyborem dla uwierzytelniania karty wydaję się więc uwierzytelnianie
biometryczne. Dane biometryczne w tym przypadku byłyby rejestrowane na kartach zdrowia
podczaj jej wydawania. Podczas uwierzytelniania pacjenta można by wykorzystać interfejs
bezstykowy.
Wykorzystywanie biometrii w systemie kart zdrowia daje możliwość nie tylko
uwierzytelniania pacjenta, ale także autoryzację procesu leczenia i recept określonych przez
lekarza prowadzącego. Wykorzystanie biometrii zarówno po stronie pacjenta jak i lekarza
mogłoby otworzyć nową erą w polskiej medycynie i zapewnić pełną transparentność procesu
leczenia.
Bardzo ważny jest odpowiedni dobór technologii biometrycznej. W ostatnich latach polscy
integratorzy tworzyli rozwiązania prototypowe wykorzystując najbardziej naturalną cechę –
odcisk palca. Niestety mimo wielu starań technologia ta nie mogła spełnić następujących
wymagań:
- prywatności danych (biometria odcisku palca jest łatwa do podrobienia)
- higieny użytkowania (skanery biometryczne są dotykowe)
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
99
- technologii dobrze odbieranej społecznie (odciski palca kojarzą się z
przestępczością)
Daje to pole dla biometrii naczyń krwionośnych palca, która pozwalałaby spełnić powyższe
wymagania, zapewniając przy tym szybkość i bezpieczeństwo procesu uwierzytelniania.
Możliwe jest też zastosowanie, biometrii behawioralnych (np. biometria podpisu odręcznego).
Najważniejsze jest jednak przeprowadzenie odpowiednich projektów pilotażowych, które
umożliwiłyby dobór odpowiedniej technologii.
Rys 10. Czy do uwierzytelnia nowej karty zdrowia w Polsce będziemy wykorzystywać czytniki biometryczne?
Źródło: Hitachi
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
100
8.4.4. Zastosowanie biometrii w zakresie podniesienia bezpieczeństwo imprez
masowych – Euro 2012
Franciszek Wołowski
PWPW S.A.
W związku z tą tak ogromną imprezą pojawią się niewątpliwe problemy z identyfikacją i
uwierzytelnieniem osób, które będą aktywnie uczestniczyć w tym przedsięwzięciu,
przemieszczając się przez granice i wchodząc do szeregu obiektów, o dostępie uprawnionym.
Kolejny problem to sprawa biletów. Na ostatnich Mistrzostwach Europy w piłce nożnej
największym problemem, okazał się czarny rynek biletów. Pojawiło się na nim ponad półtora
miliona wejściówek, które zostały anulowane tuż przed rozpoczęciem imprezy.
Problemem może też być identyfikacja niepożądanych uczestników (kibiców- chuliganów,
terrorystów), którzy już w przeszłości wykazali się niewłaściwą postawą i są notowani w
kartotekach w swoich krajach.
W tych przypadkach biometria mogłaby stać się pomocną. Niestety do I kw. 2009r., nie
opracowano żadnej koncepcji w sprawie uruchomienia projektu w przedmiotowym zakresie.
EURO 2012 odbędzie się w dwu krajach – co już miało miejsce – lecz tym razem jeden z tych
krajów jest członkiem strefy Schengen (Polska), a drugi nie (Ukraina). W komunikacji
pomiędzy Polską i Ukrainą nadal obowiązuje system wizowy. W tym kontekście należy
przypomnieć, że w związku z Mistrzostwami Świata w piłce nożnej w Niemczech w 2006
roku, Niemcy zawiesiły czasowo układ Schengen na swoich granicach. Również w związku z
Mistrzostwami Europy w piłce nożnej Austria zawiesiła czasowo układ z Schengen,
przywracając tym samym kontrolę graniczną w okresie od 2 czerwca do 1 lipca 2008.
Podobnie Portugalia w 2004 r. podczas odbywających się Mistrzostw Europy w tym kraju
zawiesiła na czas mistrzostw swoje członkostwo w układzie. Na rok 2012 Polska rozważa
również zawieszenie układu z Schengen na czas mistrzostw Europy w piłce nożnej.
W kontekście obecnego i przyszłego systemu wizowego, należy zauważyć, że począwszy od
maja 2009 r. będzie wdrażany nowy system (VIS) wzbogacony o biometrię (twarz i odciski
palców). Ponieważ założono wdrożenie tego systemu do 2010 roku, wydaje się, że w 2012
roku będzie to już dojrzały system powszechnie obowiązujący w krajach UE. Z tym
systemem będzie współpracował SIS II (System Informacyjny Schengen drugiej generacji)
umożliwiający właściwym organom, dostęp do informacji dotyczących osób i mienia oraz
sprawniejsze realizowanie zadań związanych z kontrolą graniczną, celną, policyjną i
ewentualną współpraca sadów w sprawach karnych, przy jednoczesnym umożliwieniu
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
101
pełniejszej realizacji zasady swobody przepływu osób. Niestety, jeszcze nie można ustalić czy
do 2012 roku SIS II zostanie wdrożony. Pomocnym może się okazać również działający już
od 2003 Eurodac - (ang. European Dactiloscopie) - Europejska Daktyloskopia. System
identyfikacji odcisków palców azylantów i nielegalnych imigrantów na obszarze Unii
Europejskiej.
Od 2006 roku wszystkie kraje UE jak również wiele państw z poza tego obszaru wydaje
paszporty z biometrią (najczęściej tylko wizerunek twarzy), a niektóre z państw wydają też
narodowe dokumenty identyfikacyjne z biometrią tzw. eID.
Z powyższych informacji wynika, że wielu aktywnych uczestników tych mistrzostw będzie
dysponować dokumentami zawierającymi cechy biometryczne. Istnieje prawdopodobieństwo,
że organy unijne również w tym czasie będą dysponować informacjami o osobach i mieniu.
Ten stan rzeczy można wykorzystać dla usprawnienia procesów uwierzytelnienia i autoryzacji,
nawet jeśli nie wszyscy uczestnicy będą wyposażeni w takie dokumenty (np. na niektórych
lotniskach są specjalizowane przejścia dla osób często podróżujących w oparciu o biometrię
umieszczoną w specjalnych dokumentach. Pomimo, iż niewielki procent podróżnych korzysta
z tego udogodnienia, usprawnia to drożność portów lotniczych.
Na podstawie odniesienia do lotnisk, można rozważać wprowadzenie np. specjalizowanych
bramek na stadionach dla osób posiadających dokumenty biometryczne. Identyfikację
uczestników można by powiązać z biletami, co spowodowałoby, że weryfikacja tożsamości
na imprezie byłaby dokładniejsza i sprawna. Wyeliminowano by w ten sposób problem z
fałszywymi biletami. Na wszystkich wejściach do obiektów sportowych można by umieścić
stanowiska, które pobierając wizerunek twarzy wchodzącego dokonywałyby porównania z
listami niechcianych uczestników (chuligani, terroryści). Na samych obiektach sportowych
można by zainstalować systemy monitoringu umożliwiający identyfikację osób
popełniających wykroczenia co z kolei ułatwiłoby prowadzenia dochodzeń, a tym samym
obniżyłoby koszty tych procedur. Technologia, którą można by zastosować do wdrożenia
wskazywanego rozwiązania jest już zaawansowana i dojrzała.
W ramach analizy Euro 2012, można rozważać również wyspecjalizowany system w oparciu
o kartę Uczestników - Kibiców zawierających dane biometryczne, która była by powiązana z
biletami. Rozwiązanie to wymagałoby ujednoliconego systemu pobierania danych
biometrycznych i biograficznych oraz wydawania tych kart we wszystkich punktach
dystrybucji wejściówek.
Z perspektywy zainteresowania podmiotów mających wpływ na wybór technologii,
proponowane rozwiązanie wydaje się nierealne do wdrożenia do 20012 r. Aczkolwiek w
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
102
przyszłości być może światowe władze sportowe doprowadzą do stworzenia ujednoliconego
globalnego systemu bezpiecznego uczestnictwa w imprezach sportowych. W niektórych
krajach istnieją już zalążki takich systemów a również w Polsce tworzy się w chwili obecnej
koncepcję takiej aplikacji o roboczej nazwie „Karta Kibica”.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
103
9. Podsumowanie
Dr hab. Remigiusz W. Kaszubski
WPiA UW i ZBP
W przygotowanej publikacji zespół autorów starał się przybliżyć znaczenie biometrii i
możliwości jej zastosowania.
Kolejne rozdziały odnosiły się do zagadnień, których wyjaśnienie lub przedstawienie miało
na celu obalenie funkcjonujących mitów o biometrii.
Biometria może zostać wykorzystana do różnych celów. Jednakże z perspektywy
funkcjonowania administracji i banków, jest przede wszystkim technologią, która ma służyć
zwiększeniu szeroko rozumianego bezpieczeństwa.
Bezpieczeństwo w przedmiotowym znaczeniu należy rozumieć jako uniemożliwienie
pozyskania i wykorzystania informacji wrażliwej osobom do tego nieuprawnionym.
Forum Technologii Bankowych ZBP, w ramach którego powstała i działa Grupa ds. Biometrii,
stara się dostarczać przedstawicielom banków, administracji rządowej i państwowej
informacji o najnowszych osiągnięciach technologicznych, które mogą i powinny zostać
wykorzystane w ramach prowadzonej działalności.
Myśl ludzka może zostać wykorzystana zarówno dla dobra ludzkości, jak i może przynieść
ludzkości ogrom zła.
Prace, które są przez FTB prowadzone zmierzają do wykorzystania potencjału
najnowocześniejszych rozwiązań technologicznych dla rozwoju cywilizacyjnego naszego
kraju. Uczestniczymy w wielu przedsięwzięciach, które mogą wspierać działania rządu i
samorządów. Staramy się wspierać banki w ich pracy na rzecz klientów. Chcemy, aby
najnowsze rozwiązania technologiczne przyczyniły się do wzrostu obiektywne
bezpieczeństwa banków, jak i subiektywnego poczucia bezpieczeństwa klientów banków.
Poziom bezpieczeństwa powinien bowiem być mierzony nie przez ilość udanych ataków na
banki (do tej pory nie zanotowano udanego ataku cyberprzestępców na polskie banki) lecz
poczuciem klienta banku, który nie obawia się o swoje pieniądze zgromadzone na rachunku
bankowym. Niestety to właśnie klienci banków byli ofiarami, np. phishingu i skimmingu.
Biometria wychodzi na przeciwko oczekiwaniom klientów banków, co potwierdzają
przywołane przez autorów przykłady z wdrożeń biometrycznych na świecie.
Nie ma już odwrotu od wykorzystania nowoczesnych rozwiązań naukowych w większości
dziedzin życia. Najbardziej konkurencyjne będą te kraje, w których zrozumienie tej prostej
tezy szybko znajdzie swoje odzwierciedlenie w praktycznych wdrożeniach.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
104
Robotyka, nanotechnologia, genetyka, biorobotyka i biometria to te dziedziny, które
zrewolucjonizują świat. I niezależnie od tego czy się obawiamy tej rewolucji czy nie, ona
nastąpi. Należy więc racjonalnie przygotowywać się do zmian na świecie i w najbardziej
obiektywny sposób (bezpieczny i dla dobra ludzkości) je wprowadzać.
Ta rewolucja nastąpi szybciej niż nam się wydaje. Musimy więc dostosować do niej prawo i,
w miarę możliwości, ewolucyjnie wprowadzać nowe wdrożenia do administracji, bankowości
i szeroko rozumianej gospodarki.
Prawo odegra kluczową rolę w rozwoju nowoczesnych rozwiązań. Nade wszystko, uchwalane
przez ustawodawcę przepisy powinny nie szkodzić zmianom, ale je wspierać, przy
jednoczesnej dużej dbałości o wysoki poziom bezpieczeństwa i wolności człowieka. Dobre
prawo, to prawo tworzone z wyobraźnią i chęcią budowania nowej wizji człowieka, kraju,
świata.
Wielu ekspertów, używa dziś pojęcia gospodarka elektroniczna, jako synonimu
nowoczesności. Wkrótce będziemy znowu mówić tylko „gospodarka”, a synonimem
nowoczesności stanie się pojęcie „gospodarka biotechnologiczna”.
Biometria wprowadza nas do tego obszaru, pokazując szansę na konkurencyjność całych
branż i krajów. Tylko od nas zależy czy je wykorzystamy i czy unikniemy zagrożeń.
Na początku marca 1933 r., w samym środku światowego kryzysu gospodarczego,
nowowybrany prezydent USA, Franklin D. Roosvelt w przemówieniu inauguracyjnym,
oznajmił: „Jedyna rzecz, jakiej musimy się obawiać, to własnych strach”. Słowa te idealnie
odnoszą się do biometrii w samym środku kolejnego światowego kryzysu ekonomicznego.
Tamten kryzys udało się opanować, uda się opanować także obecny, ale słowa Roosvelta i
biometria pozostaną. Oby zawsze przynosiły jak najwięcej korzyści ludziom.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
105
10. Autorzy raportu
10.1 Remigiusz Kaszubski
Ekspert z zakresu prawa bankowego, nadzoru bankowego,
bankowości elektronicznej, bezpieczeństwa transakcji
elektronicznych, systemów płatniczych i gospodarki
elektronicznej.
Absolwent Wydziału Prawa Uniwersytetu Warszawskiego,
doktor habilitowany nauk prawnych, absolwent studiów
podyplomowych The George Washington University, adiunkt
na Wydziale Prawa UW, autor ponad 100 publikacji /książek,
broszur, artykułów i felietonów/ z zakresu prawa bankowego,
podatkowego, gospodarczego, nowoczesnych technologii,
członek kolegium redakcyjnego Przeglądu Prawa
Gospodarczego „Glosa”, Dyrektor ZBP, Koordynator
Krajowy i Członek Prezydiów: Rady Wydawców Kart Bankowych, Rady Bankowości
Elektronicznej, Forum Technologii Bankowych, Forum Bezpieczeństwa Transakcji
Elektronicznych, Komitetu Agentów Rozliczeniowych, Programu SEPA.PL (SEPA – Single
Payments Euro Area - Jednolity Obszar Płatności w Euro).
Członek Rady Nadzorczej First Data Poland SA (dawniej POLCARD SA).
Stały uczestnik posiedzeń Rady ds. Systemu Płatniczego działającej przy Zarządzie NBP.
Członek Komitetu Prawniczego i Komitetu Płatniczego Europejskiej Federacji Bankowej.
Wieloletni pracownik Generalnego Inspektoratu Nadzoru Bankowego NBP. Pełnił funkcje
doradcy Prezesa Narodowego Banku Polskiego Zastępującego Dyrektora Biura Polityki
Nadzorczej w Generalnym Inspektoracie Nadzoru Bankowego NBP.
Pełnił funkcję członka zarządu i członka rad nadzorczych w spółkach prawa handlowego.
Pełnił funkcję Członka Grupy Wsparcia Prawnego i Grupy Kart Płatniczych Europejskiej
Rady ds. Płatności w okresie tworzenia założeń SEPA (Jednolitego Obszaru Płatności w
Euro).
Pełnił funkcję Członka Komisji Doradczej Ministra Finansów do spraw organizacji nadzoru
publicznego nad biegłymi rewidentami i firmami audytorskimi.
Prowadził wykłady w Szkole Głównej Handlowej, Polskiej Akademii Nauk, Warszawskim
Instytucie Bankowości, Wydziale Ekonomii UW.
Współtwórca leasingu tenencyjnego – srebrny medal na Targach Instrumentów Finansowych.
Remigiusz Kaszubski
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
106
Uczestniczył w pracach legislacyjnych nad ustawami regulującymi rynek usług finansowych,
m.in. ustawy Prawo bankowe, ustawy o elektronicznych instrumentach płatniczych, ustawy o
podpisie elektronicznym.
10.2 Tadeusz Woszczyński
Tadeusz Woszczyński jest absolwentem Wydziału
Automatyki, Elektroniki i Informatyki Politechniki Śląskiej w
Gliwicach. W 2006 roku ukończył stypendium naukowe na
Uniwersitat Stuttgart na kierunku Embedded Systems, gdzie
prowadził zaawansowane badania nad testowaniem
procesorów nowej generacji. Od początku kariery związany z
japońską firmą Hitachi. W latach 2005-2006 koordynował
kampanię Hitachi Europe w Polsce, na którą składały się fora
naukowe z dziedziny kolejnictwa, energetyki i IT& Security, a
także wystawy innowacyjnych technologii w Krakowie. W
latach 2007 - 2008 pracował w Biurze Rozwoju Biznesu Grupy Hitachi w Warszawie,
zajmującej się rozwojem firmy w regionie Europy Centralno-Wschodniej. Od połowy 2007
roku kieruje rozwojem biznesu IT&Security (biometria, serwery, oprogramowanie, systemy
kart inteligentych) spółki Hitachi Europe w Polsce. Aktywny działacz Forum Technologii
Bankowych przy Związku Banków Polskich. Od września 2007 przewodniczy Grupie ds.
Biometrii FTB. Prelegent na wielu konferencjach poświęconych m.in. bezpieczeństwu
transakcji, systemów biometrycznych czy zagrożeń związanych z utratą danych. W styczniu
2009 objął stanowisko Dyrektora Dywizji Rozwiązań Systemowych w Hitachi Europe na
Region Europy Centralno Wschodniej.
10.3 Jerzy Cichowicz
Prezes Zarządu Elkart Systemy Kart Elektronicznych Sp. z o.o.
Ma 54 lata.
Pierwsze studia wyższe ukończył w Szkole Głównej
Gospodarstwa Wiejskiego w Warszawie na Wydziale
Melioracji Wodnych. W trakcie 30-letniej kariery zawodowej
ukończył jeszcze wyższe studia trenerskie na Akademii
Wychowania Fizycznego na kierunku trenerskim (judo) oraz
Tadeusz Woszczyński
Jerzy Cichowicz
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
107
Studia Podyplomowe na: Akademii Spraw Wewnętrznych, Politechnice Warszawskiej
oraz Międzynarodowej Szkole Zarządzania (studia MBA). Uczestniczył też w wielu
specjalistycznych szkoleniach i kursach w kraju i zagranicą, które zawsze starannie dobierał,
aby świadomie zarządzać swoimi kompetencjami. Pracując kolejno w: Chełmskim
Przedsiębiorstwie Melioracyjnym, Komendzie Wojewódzkiej Policji w Chełmie, Mennicy
Państwowej SA (dzisiaj Mennica Polska SA), przeszedł wszystkie szczeble awansu
zawodowego. Uczestniczył w wielu unikalnych projektach, zdobywając bardzo szerokie i
unikalne doświadczenia. Doświadczenia te okazały się niezwykle pomocne, gdy pełnił już
funkcje w Radzie Nadzorczej i Zarządach następujących Spółek: Mennica Setec Card Sp. z
o.o., MINTPOL Internat SA, Mennica Technologie SA.
Od czerwca 2004 r. jest prezesem Zarządu Spółki Elkart Systemy Kart Elektronicznych Sp. z
o.o. Deklaruje brak hobby i brak wolnego czasu. Jego hobby to właśnie praca, którą
wykonywał i wykonuje zawsze z pasją.
10.4 Adam Czajka
Uzyskał stopień mgr inż. w 2000 r. (specjalność:
Komputerowe Systemy Sterowania) oraz stopień doktora n.t.
w 2005 r. (specjalność: Biometria) na Wydziale Elektroniki i
Technik Informacyjnych Politechniki Warszawskiej. Od 2006
r. adiunkt w Instytucie Automatyki i Informatyki Stosowanej
Politechniki Warszawskiej oraz adiunkt w Naukowej i
Akademickiej Sieci Komputerowej NASK.
Z-ca Kierownika Pracowni Biometrii NASK oraz członek
Rady Naukowej NASK (od 2006 r.). Ekspert Komitetu
Technicznego 182 ds. Ochrony Informacji w Systemach Teleinformatycznych Polskiego
Komitetu Normalizacyjnego (od 2007 r.). Od 2006 r. członek zarządu Polskiej Sekcji IEEE
(Institute of Electrical and Electronics Engineers, Inc.). Zainteresowania naukowe A. Czajki
obejmują biometrię, przetwarzanie sygnałów i rozpoznawanie wzorców, bezpieczeństwo
systemów teleinformatycznych i dziedziny pokrewne.
Adam Czajka
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
108
10.5 Adrian Kapczyński
Pasjonat informatyki, ekspert w zakresie bezpieczeństwa
informacji;
specjalizacja: biometria (uczeń Profesora Andrzeja Grzywaka).
• Wykształcenie: doktor nauk technicznych w zakresie
informatyki (tematyka rozprawy z zakresu silnych systemów
uwierzytelniania na Wydziale Automatyki, Elektroniki i
Informatyki Politechniki Śląskiej); wszystkie szczeble
edukacji ukończone z wyróżnieniem,
• Doświadczenie zawodowe: Microsoft Polska (1998-
2003), AutoID Polska (2001-teraz), Politechnika Śląska (2000-teraz), Wyższa Szkoła Biznesu
(2004-teraz), PTI OG (2004-teraz).
• Aktualnie pełnione funkcje: AutoID Polska (Dyrektor ds. Integracji Systemów
biometrycznych), Politechnika Śląska (p.o. Z-cy Kierownika Katedry Informatyki i
Ekonometrii, p.o. Kierownika Zakładu Informatyki Ekonomicznej), Stowarzyszenie KISS (V-
ce Prezes Zarządu Głównego), PTI OG (v-ce Prezes Zarządu Głównego),
• Przynależność: IEEE, ACM, PTI, ISSA, ISACA, MENSA.
10.6 Peter Jones
Peter prowadzi Pion Rozwiązań Systemowych w Grupie
biznesowej Systemów Informatycznych w Hitachi Europe
Limited.
Z Hitachi związanych od ponad 9 lat. Obecnie odpowiada za
rozwój biznesu i rozwiązań w regionie EMEA, bazując na
rozwiązaniach bezpieczeńśtwa IT firmy Hitachi takich jak
systemy biometryczne, systemy RFID, systemy kartowe I oprogramowania bezpieczeństwa.
Wcześniej Peter pracował 15 lat w przemyśle IT w wielu firmach związanych z sektorem
finansowym, w tym m.in. – Citibank i Logica. Systemów Informatycznych w Hitachi Europe
Limited. Z Hitachi związanych od ponad 9 lat. Obecnie odpowiada za rozwój biznesu I
rozwiązań w regionie EMEA, bazując na rozwiązaniach bezpieczeńśtwa IT firmy Hitachi
takich jak systemy biometryczne, systemy RFID, systemy kartowe I oprogramowania
bezpieczeństwa. Wcześniej Peter pracował 15 lat w przemyśle IT w wielu firmach
związanych z sektorem finansowym, w tym m.in. - Citibank i Logica. Jego obowiązki
Adrian Kapczyński
Peter Jones
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
109
obejmowaly rozwój kompletnych systemów prowadzących do nowych modeli biznesowych i
propozycji usług. Doświadczenia Petera to nie tylko zarządzanie projektami i strona
techniczna projektów, ale również rozwój biznesu i sprzedaż innowacyjnych technologii. Jego
wykształcenie to m.in. Bachelor of Science (licencjat nauk ścisłych) na kierunku Matematyka.
10.7 Sławomir Cieśliński
Z wykształcenia historyk, przez wiele lat dziennikarz i
wydawca oraz doradca ministra gospodarki morskiej. Po
1989r. zajmował kierownicze stanowiska w polskich i
zagranicznych firmach związanych z mediami, reklamą i
poligrafią. Współtworzył, a następnie był w latach 1999-2001
prezesem spółki ELKART Systemy Kart Elektronicznych. Od
2001r. organizator Konferencji „KARTA” (od 2008r. noszącej
nazwę "Central European Electronic Card"), a od 2006r. cyklu
konferencji „Polskie Karty i Systemy”. Członek –założyciel
Forum Technologii Bankowych przy Związku Banków Polskich. Zajmuje się jako firma
Medien Service promocją obrotu bezgotówkowego, e-gospodarki, e-administracji i e-zdrowia.
10.8 Franciszek Wołowski
Absolwent Politechniki Śląskiej (1968) oraz Studium
Podyplomowego Ekonometrii i Programowania
Matematycznego WSE Katowice, od 1970 r. do 1989 pracuje
jako informatyk w przemyśle i innych sektorach
gospodarczych. W latach 1989-91 wykłada informatykę na
wyższej uczelni w Tunezji. Następnie przez 10 lat zajmuje się
systemami bankowymi, specjalizując się w zarządzaniu
bezpieczeństwem systemów IT i jest inicjatorem i jednym z
wykonawców jednego z pierwszych w Polsce Centrów
Certyfikacji - CA PKI – umożliwiającym zastosowanie podpisu elektronicznego w banku
Pekao S.A.
Sławomir Cieśliński
Franciszek Wołowski
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
110
Od 2001 roku zajmuje się komercyjnymi CA, najpierw jako ekspert w Centrast S.A. a z kolei
jako wykonawca a następnie Kierownik Polskiego Centrum Certyfikacji Elektronicznej
„Sigillum” PWPW S.A.
Obecnie jako Główny specjalista ds. zarządzania bezpieczeństwem, zajmuje się
bezpieczeństwem elektronicznych dokumentów identyfikacyjnych (e-paszport, dokument
pobytu, eID). Uczestniczy w pracach grupy roboczej UE pod nazwą Brussels Interoperability
Group, która opracowuje standardy i niezbędne procedury dla dokumentów podróży (e-
paszport) i pobytu.
Zajmując się kompleksowo zarządzaniem bezpieczeństwem systemów informacyjnych
specjalizuje się w Zarządzaniu Ryzykiem i zastosowaniem kryptografii klucza publicznego
(podpisu elektronicznego) w zarządzaniu bezpieczeństwem IT.
Wykładowca na studiach podyplomowych na Politechnice Warszawskiej i Lubelskiej oraz w
instytucie „Orgmasz” jak również na szkoleniach organizowanych przez instytucje wyższej
użyteczności publicznej.
Prelegent na wielu konferencjach poświęconych m.in. bezpieczeństwu IT oraz autor wielu
publikacji w specjalistycznych wydawnictwach w tym współautor książki „Podpis
elektroniczny w administracji i zarządzaniu.
10.9 Tomasz Sekutowicz
Absolwent Uniwersytetu Warszawskiego – Wydział
Dziennikarstwa i Nauk Politycznych oraz Thames Valley
University London. Posiada 15 lat doświadczeń w projektach
Informatycznych oraz integracji systemów kartowych dla
banków, instytucji rządowych oraz operatorów komórkowych.
Tomasz był założycielem w Polsce paru znaczących firm
technologicznych obecnie pełni funkcję Dyrektora
Regionalnego w NXP Semiconductors (founded by Philips).
Tomasz to także koordynator w NXP regionu EMEA dla
projektów elektronicznych dowodów osobistych e-ID, aktywnie uczestniczy także w pracach
UE nad specyfikacją elektronicznych dowodów osobistych.
Tomasz Sekutowicz
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
111
10.10 Andrzej Pacut
Uzyskał stopień mgr inż. elektronika w r. 1969 na Wydz.
Elektroniki Politechniki Warszawskiej, stopień doktora n.t. w
r. 1969 i doktora habilitowanego n.t. w zakresie automatyki i
robotyki na Politechnice Warszawskiej w r. 2000. Od 1969
pracuje na Politechnice Warszawskiej, początkowo w
Instytucie Matematyki na Wydz. Fizyki Technicznej i
Matematyki Stosowanej (do 1978), a następnie w Instytucie
Automatyki i Informatyki Stosowanej na Wydz. Elektroniki i
Technik Informacyjnych, gdzie jest obecnie profesorem
nadzwyczajnym, kierując Zespołem Biometrii i Uczenia
Maszynowego.
Od 2001 pracuje również w Naukowej i Akademickiej Sieci Komputerowej NASK, gdzie
kieruje Pracownią Biometrii. W latach 1980-81 był prof. wizytującym w Lefschetz Center for
Dynamic Systems w Brown University, Providence, Rhode Island, a w latach 1984 i 1986-
1991 profesorem wizytującym na wydz.
Electrical and Computer Engineering Oregon State University, Corvallis, Oregon. Senior
member IEEE, zastępca Przewodniczącego (2002-2005) a następnie Przewodniczący (od
2006) Sekcji Polskiej IEEE. Ekspert Komitetu Technicznego 182 ds. Ochrony Informacji w
Systemach Teleinformatycznych Polskiego Komitetu Normalizacyjnego (od r. 2003). Jego
zainteresowania obejmują systemy uczące się, sieci neuronowe, biometrię, identyfikację,
modelowanie stochastyczne i dziedziny pokrewne.
10.11 Antoni Hanusik
Przewodniczący Rady Bankowości Elektronicznej działającej
przy Związku Banków Polskich, Zca naczelnika Wydziału
Testów Akceptacyjnych w ING Bank Śląski S.A. Ma 54 lata.
Absolwent Uniwersytetu Śląskiego na Wydziale Fizyki.
Podejmując w 1991 roku pracę w Banku Śląskim poznał
szeroki zakres obszarów działania banku. Uczestniczył w
wielu projektach, zdobywając specjalistyczne i unikalne
doświadczenia. W 1998r kierował projektem wdrożenia
nowych systemów bankowości elektronicznej MultiCash.
Andrzej Pacut
Antoni Hanusik
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
112
Kolejnym ważnym projektem było wdrożenie systemu bankowości internetowej ING
BankOnline. Doświadczenia te wykorzystuje i stale rozszerza w działalności popularyzującej
bankowość elektroniczną i w szerszym kontekście rozwój społeczeństwa informacyjnego. Jest
autorem kilku publikacji i licznych wystąpień na konferencjach tematycznych dot.
bezpieczeństwa bankowości elektronicznej. Jego pasją są zagadnienia identyfikacji i
uwierzytelniania w kontekście interoperacyjnych systemów zarządzania elektroniczną
tożsamością i strategii rozwoju społeczeństwa informacyjnego.
10.12. Martyna Kubiak – Sekretarz redakcji
Martyna jest absolwentką Wydziału Prawa na Uniwersytecie
Kardynała Stefana Wyszyńskiego. Od czterech lat jest
Sekretarzem Forum Technologii Bankowych (FTB) przy
Związku Banków Polskich. Specjalizuje się w obszarze
gospodarki elektronicznej i nowoczesnych technologii sektora
finansowego i publicznego. Pośredniczy we współpracy firm
technologicznych oraz banków w zakresie propagowania
obrotu bezgotówkowego i implementacji nowoczesnych
technologii. Przygotowuje i opracowuje również statystyki
dotyczące rozwoju bankowości elektronicznej w Polsce.
Martyna zajmuje się również organizacją szkoleń i konferencji tematycznych FTB w zakresie
prowadzenia działalności edukacyjnej FTB. Organizuje wiele przedsięwzięć związanych z
promocją obrotu bezgotówkowego, upowszechnianiem rozwiązań informatycznych i
nowoczesnych technologii, bezpieczeństwem bankowości elektronicznej. Jest koordynatorem
corocznie organizowanego Kongresu Gospodarki Elektronicznej – platformy wymiany
wiedzy i informacji pomiędzy sektorami gospodarki polskiej.
Martyna Kubiak
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
113
Literatura:
H. Alisto et al., “Biometric Modalities and Technology”, BioSec 4nd
Workshop, Bruksela, 28-
29 listopada 2005.
M.Bączyk, Komentarz do art. 104 ustawy – Prawo bankowe, LexPolonica 2008r.
W. Bicz, „The Impossibility Of Faking Optel's Ultrasonic Fingerprint Scanners”,
www.optel.pl
Biometric Deployment of EU-Passports, EU-Passport Specification (working document),
Advanced Security Mechanisms for MRTD, Technical Report (Technical Report version0.85).
Biometric Deployment of EU-Visa and EU Residence Permits, EU-Visa Specification (w
przygotowaniu)
M. Chochowski, A. Czajka, A. Pacut, P. Strzelczyk, „Biometryczne karty inteligentne”,
SECURE 2005, Bezpieczeństwo - kto ponosi odpowiedzialność, 25-26 października 2005,
Warszawa, Tom 2, str. 134-143, 2005.
COUNCIL REGULATION (EC) No 2252/2004 of 13 December 2004 on standards for
security features and biometrics in passports and travel documents issued by Member States.
A. Czajka, A. Pacut, ''Iris Recognition with Adaptive Coding'', Rough Sets and Knowledge
Technology, Lecture Notes in Artificial Intelligence, Vol. 4481, pp. 195-202, Springer, 2007.
A. Czajka, A. Pacut, “Replay attack prevention for iris biometrics”, IEEE International
Carnahan Conference on Security Technology, 42nd Annual Conference, Czech Republic,
October 13-16, 2008.
J. Daugman, ''Biometric identification system based on iris analysis'', United States Patent,
US5291560, 1 marca, 1994.
DECYZJA KOMISJI z dnia 28/VI/2006 r. ustanawiająca specyfikacje techniczne dla norm
dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży
wydawanych przez państwa członkowskie.
A.Drozd, Komentarz do art. 5 ustawy o ochronie danych osobowych, LexPolonica 2008, II
SA/Wa 521/2004.
L. Flom, A. Safir, “Iris recognition system”, United States Patent, US4641349, 3 lutego, 1987.
E. Fojcik-Mastalska, Biegli rewidenci a tajemnica bankowa, PB 2000, nr 9.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
114
ICAO NTWG, Development of a Logical Data Structure – LDS for optional capacity
expansion technologies, Technical Report, Revision 1.7, 18 May 2004.
ICAO NTWG, PKI for Machine Readable Travel Documents Offering ICC Read-Only
Access, Technical Report, Version 1.1, 1 October 2004.
International Biometric Group, Independent Testing of Iris Recognition Technology, 2005.
ISO/IEC 7816, części 4, 5, 8, 9 i 15, Identification Cards –Integrated Circuit(s) Cards with
Contacts.
ISO/IEC 14443, części 1-4, Identification Cards – Contactless Integrated Circuit(s) Cards –
Proximity Cards.
R. Kosmalski, Dostęp do tajemnicy bankowej organów podatkowych oraz kontroli skarbowej,
PB 1999, nr 3.
A. Mansfield, G. Kelly, D. Chandler, J. Kane, „Biometric Product Testing: Final Report”
(CESG Contract X92A/4009309), Centre for Mathematics and Scientific Computing, UK
National Physical Laboratory, 2001.
T. Matsumoto, “Artificial Fingers and Irises: importance of Vulnerability Analysis”, 7th
International Biometrics 2004 Conference and Exhibition, London, UK, 2004.
A. Pacut, A. Czajka, ''Aliveness detection for iris biometrics'', 2006 IEEE International
Carnahan Conference on Security Technology, 40th Annual Conference, October 17-19,
Lexington, Kentucky, IEEE 2006.
A. Pacut, A. Czajka, M. Chochowski, “Method of Eye Aliveness Testing and Device for Eye
Aliveness Testing”, zgłoszenie patentowe nr PCT/PL2007/000063, publ. nr WO/2008030127,
7 września 2006.
Ł. Stasiak, ''Support vector machine for hand geometry-based identity verification system'', w:
R. S. Romaniuk (red.), Proceedings of SPIE - Volume 6347, Photonics Applications in
Astronomy, Communications, Industry, and High-Energy Physics Experiments 2006, 634725,
Oct. 12, 2006.
Technical GuidelineTR 03110 Advanced Security Mechanisms for Machine Readable Travel
Documents–Extended Access Control (EAC).
L. Thalheim, J. Krissler, and P. Ziegler, "Biometric Access Protection Devices and their
Programs Put to the Test", c't 11/2002, str. 114, 2002.
Biometria w bankowości i administracji publicznej – Forum Technologii Bankowych 16.06.2009r. Związek Banków Polskich Wszelkie prawa autorskie zastrzeżone. Kopiowanie całości lub fragmentów niniejszego opracowania
bez zgody Związku Banków Polskich zabronione.
115
A. Zygadło, Cel przetwarzania informacji stanowiących tajemnicę bankową a ustawa o
ochronie danych osobowych, PB 2006, nr 1.
Rozporządzenia:
Rozporządzenie Nr 2424/2001 Rady Unii Europejskiej w sprawie rozwoju Systemu
Informatycznego Schengen drugiej generacji (SIS II) z dnia 6 grudnia 2001 r., pozwala na
przesyłanie danych biometrycznych osób podejrzanych i poszukiwanych, przy wykorzystaniu
najnowszej technologii. Komisja Europejska opracowuje projekty aktów prawnych
ROZPORZĄDZENIE RADY (WE) NR 2252/2004 z dnia 13 grudnia 2004 r. w sprawie norm
dotyczących zabezpieczeń i danych biometrycznych w paszportach i dokumentach podróży
wydawanych przez Państwa Członkowskie.
Orzecznictwo:
Wyrok z dnia 19 grudnia 2001 r., Naczelny Sąd Administracyjny, II SA 2869/2000.
Wyrok NSA z dnia 04.04.2003 r. IISA 2935/2002, Palestra 2004/7-8.
Inne żródła:
Pismo NBP z dnia 02.06.2000 r. NB/BPN/I/237/00.
http://www.pkn.pl/
http://www.iso.org,
http://www.iec.ch,
http://www.cen.eu,
http://www.cenelec.eu
http://www.etsi.org
Cathy Tilton Biometric Standards – An Overview, http://www.saflink.com/resources/files/
WHITEPAPER_Bio_Stds_CTilton.pdf, 2008.
Richard Guest, An introduction to Biometric Standards,
http://scgwww.epfl.ch/courses/Biometrics-continuingEducation-2007/09-Biometrics-
Lecture1-Day3-09-00-10-30.pdf
OPUBLIKOWANE na stronie www.zbp.pl/ftb - Publikacje