Biometria – nowe zastosowaniacejsh.icm.edu.pl/cejsh/element/bwmeta1.element... · Obecnie...
Transcript of Biometria – nowe zastosowaniacejsh.icm.edu.pl/cejsh/element/bwmeta1.element... · Obecnie...
152 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
Remigiusz Lewandowski
Biometria – nowe zastosowania
Wstęp
Biometriatowiedzaorozpoznawaniużywychosóbnapodstawiepomiarówcechbiologicznych(anatomicznychifizjologicznych),zarównopasywnych(jaknp.wzórtę-czówki isiatkówkioka,odciskipalców,wygląd twarzy,geometriadłoni,układnaczyńkrwionośnych),jakiaktywnych(np.dynamikapismaręcznego,głos,ruchwarg,chód)1. Przyposzukiwaniuoptymalnegowyborudanejcechybiometrycznejjakonarzędziaiden-tyfikacjinależybraćpoduwagęwieleróżnychczynników,zktórychczęśćprzedstawionowtabeli. Jakzniejwynika,każdezestosowanychrozwiązańmaswojemocne isłabestrony, adokonującostatecznegowyboru,powinno sięprzedewszystkimuwzględniaćadekwatnośćrozwiązaniadozaspokajanejpotrzebyzwiązanejzidentyfikacją.
Tabela. Porównaniewybranychcechbiometrycznych.
Charakterystyka Odcisk palca
Geome-tria dłoni
Siatkówka oka
Tęczówka oka Twarz Podpis Głos
Łatwość użycia duża duża mała średnia średnia duża duża
Podatność na błędy
suchośćskóry,zabru-dzenia,wiek
zranieniedłoni
okulary słabeoświetle-
nie
słabeoświetle-nie,wiek,okulary,fryzura
zmianywewła-snym
podpisie
hałas,przezię-bienie,pogoda
Dokładność duża duża bardzoduża
bardzoduża
duża duża duża
Akceptowal-ność przez użytkownika
średnia średnia średnia średnia średnia bardzoduża
duża
1B.Hołyst,J.Pomykała,Biometria w systemach uwierzytelniania,„BiuletynWAT”2011,t.60,nr4,s.418–419.
I.ANALIZyIROZPRAWy 153
Charakterystyka Odcisk palca
Geome-tria dłoni
Siatkówka oka
Tęczówka oka Twarz Podpis Głos
Wymagany poziom bezpie-czeństwa
duży średni duży bardzoduży
średni średni średni
Długotermino-wa stabilność
duża średnia duża duża średnia średnia średnia
Skala:bardzomały,mały,średni,duży,bardzoduży.
Źródło:Opracowaniewłasnenapodstawie:S.Prabhakar,S.Pankat,A.K.Jain,Biometric Recognition: Security and Privacy Concern,„IEEETransactionsonSecurity&Privacy”2003,nr1,s.33–42.
Obecniebiometriastanowistałe,azarazemnajważniejszeogniwołańcuchawar-tościdokumentówidentyfikacyjnych.Rozwiązaniabiometryczneznajdujązastosowa-niewpaszportachznacznejliczbypaństw.Paszportbiometrycznypraktyczniestajesięstandardem,coprzedstawiononarysunku1.
Rys. 1. Państwa,wktórychwprowadzonoiwktórychplanujesięwprowadzeniepasz-portówbiometrycznych.
Legenda:kolorciemnozielony–państwa,wktórychwprowadzonopaszportybiometryczne;ko-lorjasnozielony–państwa,wktórychplanujesięwprowadzeniepaszportówbiometrycznych.
Źródło:https://commons.wikimedia.org/w/index.php?curid=47470662[dostęp:10X2016].
154 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
1. Biometria w dokumentach publicznych
Praktycznie rzecz biorąc, paszporty niebiometryczne obowiązują jedynie wpaństwachafrykańskich(zpewnymiwyjątkami),wwybranychpaństwachAmerykiŚrodkowejiPołudniowejorazwAzji.Stosowaniewpaszportachrozwiązańbiome-trycznychpromujeMiędzynarodowaOrganizacjaLotnictwaCywilnego(ICAO).Za-łącznik9doKonwencji o międzynarodowym lotnictwie cywilnymzawierazalecenie,abystronyKonwencjistosowałydanebiometrycznewwydawanychprzezniepasz-portach,wizachorazinnychoficjalnychdokumentachpodróżyiużywałyjednejlubwięcejdodatkowychtechnologiisłużącychdozapisywaniadanych(pkt3.9).Wśródopcjonalnych danych biometrycznych (poza obowiązkowym, zapisanym cyfrowowizerunkiem twarzy)wskazuje się obrazyodciskówpalca (palców)oraz tęczówki.Polskipaszportwzakresiedanychbiometrycznychzawierajedynieodciskpalca.Jakważnyjestrozwójtechnikbiometrycznychwskazujepróbaobejściasystemówopar-tychnabiometrii.Klasycznymprzykłademmożebyćtupróbaprzejściaprzezbramkębiometrycznąnagranicyprzezosobęukrywającąpodubraniemdziecko.Tenprzykładobrazuje, jakwiele rozwiązańnależy stosowaćw sytuacjachautomatyzacjikontro-li,zwłaszczakontroligranicznej.Womawianymprzypadkurozwiązaniemmożebyćwdrożeniesystemuweryfikującego,czyrzeczywiścieprzezbramkęprzechodzijednaosoba (np.przez rejestracjęwmomencieprzejściaprzezbramkę),czyodgłosbiciasercapochodziodjednejosoby,czyodwiększejliczbyosób.Testowąbramkębiome-trycznąopracowanąprzezWojskowąAkademięTechnicznąprzedstawiononarys.2.
Rys. 2. TestowabramkabiometrycznaopracowanaprzezWojskowąAkademięTechniczną.Źródło:http://www.ioe.wat.edu.pl/aktualnosci3/testy-systemu-do-automatycznej-odprawy-osob-na-przejsciu-granicznym-w-medyce/[dostęp:10XII2016].
I.ANALIZyIROZPRAWy 155
Niezwykle interesujący jest projekt PROTECT2 realizowany przez konsorcjummiędzynarodowe (zudziałempolskiej specjalistycznejfirmy ITTISp. zo.o.).Stano-wionzaawansowanymultimodalnysystemidentyfikacjibiometrycznej,którymabyćodpowiedziąnarosnącąliczbępodróżnychiograniczonąprzepustowośćeuropejskichprzejśćgranicznych.Tworzonysystemmapotencjał,abybyćzastosowanymnawszyst-kichtypachprzejśćgranicznych(tj.naprzejściachlądowych,morskichinalotniskach).Zaletąomawianegosystemubędziemożliwośćweryfikacjipodróżnychbezpotrzebyichzatrzymywaniazezminimalizowanymwymogieminterakcjizsystemem.Osiągnięciewspomnianychzałożeńmazostaćspełnionem.in.dziękizastosowaniunowoczesnychrozwiązańzdziedzinybiometriiiwizjikomputerowej.Systemmaumożliwićweryfi-kację tożsamościnapodstawiecechantropometrycznychorazcharakterystykichodu.Opartyjestnasiecikamergłębi,któregenerująobraz3Dorazmodelująsylwetkęob-serwowanejosoby.Napodstawiezebranychdanychtworzonyalgorytmwykorzystujeunikatowe cechy antropometryczne (np. odcinkiwybranych części ciała) oraz cechycharakterystycznewyznaczonezsekwencjichodudanejosobywceluzweryfikowaniajejtożsamości.Zaletątegorozwiązaniajestweryfikacjaosóbwruchuorazpodwyższonaodpornośćnapowszechnepróbypodrabianiawzorcabiometrycznego.
Coraz częściej biometria znajduje zastosowanie także przy opracowywaniudowodówosobistych.WEuropieelektronicznydowódosobistywyposażonywmi-kroprocesorzdanymibiometrycznymistajesięrozwiązaniemstandardowym.Obec-nie dowód elektronicznyobowiązujew27państwachnaszegokontynentu.WPol-scewprowadzenieelektronicznychdowodówosobistychjestplanowaneod2007r.,ale jakdotychczas,zróżnychprzyczyn,niezostałozrealizowane.Niemniej jednak, wlutym2017r.MinisterstwoCyfryzacjiopublikowałokoncepcjęwdrożeniapolskie-godowoduosobistegozwarstwąelektroniczną3.Dokument,októrymmowa,topo-prawionawersjakoncepcjiz2016r.Zgodnieznią,wnowymdowodzieosobistymmająbyćwprowadzonedanebiometryczne,tj.wizerunektwarzy.
Opróczpaszportówidowodówosobistychwładzepaństwoweemitujątakżeinnedokumentyzawierającedanebiometrycznezapisanenamikroprocesorach.WPolscejesttonp.biometrycznakartapobytu(zodciskiempalca).Niektórepaństwaemitująelektroniczneprawa jazdy– zgodnie z normą ISO180134 i (lub) rozporządzeniemKomisjiUE383/20125.Są to:Salwador,wybrane stanyw Indiach, Japonia,Maro-ko,Meksyk,Indonezja,stanQueenslandwAustralii,Chorwacja,IrlandiaiHolandia6.
2ProjektrealizowanywramachprogramuHoryzont2020,nrgrantu:700259.3 https://mc.gov.pl/aktualnosci/nowa-koncepcja-wdrozenia-polskiego-dowodu-osobistego-
z-warstwa-elektroniczna[dostęp:27II2017].4Ustanawiaramydotycząceformatuwzoruizawartościdanychprawajazdy.5 Rozporządzenie Komisji (UE) nr 383/2012 z dnia 4 maja 2012 roku określajace wymagania
techniczne wobec praw jazdy zawierających elektroniczny nośnik informacji (mikroprocesor) – Dz.Urz.UEL120z5V2012r.,s.1.
6M. Stoltz, Electronic Driver’s Licences: Driving Towards the Future, „ID&SecureDocu-ments News” 2016, t. 4 [online], https://www.reconnaissance.net/secure-document-news/issues/may-2016/[dostęp:10XII2016].
156 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
Włączaniedotychdokumentówdanychbiometrycznychjestrozwiązaneindywidual-nieprzezkażdezwyżejwskazanychpaństw.RozporządzenieKomisjiUE383/2012dopuszczaumieszczenienamikroprocesorzeprawajazdydanychdodatkowychwpo-staciwzorutęczówkiokaiodciskupalcaposiadacza.
Rosnącezastosowaniebiometriiwdokumentachniepowinnodziwić.Jesttojednaznajbardziejniezawodnychmetoduwierzytelnianiaiweryfikacjitożsamościczłowie-ka(lubidentyfikacjiosoby),alejejskutecznośćniejestbezwarunkowa.Wliteraturzeprzedmiotuwskazujesięnawarunkikonieczne,któremuszą towarzyszyćskuteczne-muuwierzytelnianiubiometrycznemu,takiejakoptymalnewarunkidokonaniapomiarubiometrycznego,aktualizacjategopomiaruorazoptymalnypoziomtolerancji7.Skutecz-nośćbiometriimożnaznaczącopodnieśćprzezwprowadzeniepomiaruniejednej,aleconajmniejdwóchcechbiometrycznych.Wtensposóbjeszczebardziejmożnapowiązaćdanąosobęzdokumentem,którymsięonaposługuje.Niemniejjednakdobiometrii,takjakdokażdejinnejtechnologii,nienależypodchodzićbezkrytycznie8.
Wodniesieniu do dokumentów najczęściej stosowanymmodelem uwierzytel-nianiabiometrycznego jestweryfikacja.Polegaonanaporównaniuw skali 1:1 ze-stawucechbiometrycznychdanejosoby(pobranychpodczasweryfikacji)zdanymibiometrycznymizapisanymiwdokumencie.Wprzypadkuzgodnościdanych,którezostały pobranew czasieweryfikacji, z danymi zapisanymimożnamówićo pozy-tywnymefekciesprawdzenia,tj.możnastwierdzić,żeosobaposługującasiędanymdokumentemjestosobą,którejówdokumentdotyczy.Zaletątejmetodyjestszybkośćweryfikacji (wyższa niż w przypadku identyfikacji9) oraz bezpieczeństwo danych.Dane biometryczne są bowiem przechowywane przez posiadacza dokumentuwrazzdokumenteminiesątworzonecentralnebazydanychbiometrycznychobywateli.
Skuteczność rozwiązań biometrycznych dostrzegana przez władze publiczne wsytuacjachzwiązanychzbezpieczeństwempaństwaimigracjąobywatelinieuszłateżuwadzeinnychsektorówgospodarczych.Biometriacorazczęściejznajdujezastoso-waniewobrociehandlowym.Dotyczytochoćbytabletów,notebookówismartfonów,wktórychczęstosąinstalowaneczujnikiodciskupalcapozwalającenabiometrycz-nezwiązanieurządzenia (iprzechowywanychnanimdanych)z jegoposiadaczem. Wniektórychpaństwachkartyidentyfikacyjnezzapisanymidanymibiometrycznymisąstosowaneprzezuniwersytetywcelupoprawyjakościkontrolidostępuiefektywnejidentyfikacjistudentówpodczasegzaminów10.Systembiometrycznybyłwykorzysty-wanyrównieżdoidentyfikacjiobywateliwwyborachpowszechnych11.Wprzyszło-
7B.Hołyst,J.Pomykała,Biometria w systemach uwierzytelniania…,s.420–421.8 E. Jakielaszek,Mechanizmy kształtujące zarządzanie tożsamością, „Człowiek i Dokumen-
ty”2017,nr44,s.58.9Podczasidentyfikacjipobranedanebiometryczneporównujesięzezbioremdanychzawartych
wokreślonejbazie.10 E.Harinda,E.Ntagwirumugara,Security & Privacy Implications in the Placement of
Biometric-Based ID Card for Rwanda Universities,„JournalofInformationSecurity”2015,nr6,s.93–100.
11W.Gutfeter,A.Pacut., Człowiek w systemie biometrycznym,w:M.Tomaszewska-Michalak,
I.ANALIZyIROZPRAWy 157
ściprzewidujesięszerokiezastosowaniebiometriiwobrocieprawnym,wtymtakże wzakresieskładaniapodpisuelektronicznego12.
Jednak zastosowania biometrii na znacznie szerszą skalę należy upatrywać wdwóchzasadniczychsferach,tj.wbankowościiwsystemachkontrolidostępuopar-tychnakartachmikroprocesorowych.
2. Biometria w bankowości
Biometriawbankowościpojawiłasięjużponaddekadętemu.W2004r.kolum-bijskiBancafeBankudostępniłok.400bankomatówbiometrycznychwykorzystują-cychodciskpalca.WtymsamymrokuwJaponiirozpoczętoudostępnianiebankoma-tówwykorzystującychbiometrię naczyńkrwionośnych (m.in.MizuhoBank, JapanPostBank,BankofKyoto,ResonaBank,Bankofyokohama).Zkoleibiometriatę-czówkiokaznalazłaporazpierwszyzastosowaniewbankowościwJordanii(CairoAmmanBank)–napotrzebybankomatóworazoddziałówbanku,awdalszejkolejno-ści–wbankowościinternetowej.
WPolscehistoriabiometriiwbankowościrozpoczęłasięw2010r.–BankPolskiejSpółdzielczościorazPodkarpackiBankSpółdzielczyzastosowałybiometrięodciskupalca(rys.3).Wpóźniejszymokresierozwiązaniabiometrycznezaczęłybyćoferowaneprzezinnebanki,np.przezBankBPHczyGetinBank.Obecnienajbardziejatrakcyjnewydajesięjed-nakzastosowaniebiometriiwbankowościmobilnejorazwramachfizycznychoddziałów.
Rys. 3. BiometrycznybankomatBankuPolskiejSpółdzielczości.Źródło:http://prnews.pl/hydepark/bank-bps-rezygnuje-z-biometrii-6551894.html[dostęp:10XII2016].
T.Tomaszewski,Dokumenty a prawo. Prawne oraz praktyczne aspekty korzystania z dokumentów i e-dokumentów,Warszawa2015,s.80.
12T.Dziedzic,Biometryczny podpis elektroniczny,w:M.Goc,T.Tomaszewski,R.Lewandowski,Kryminalistyka – jedność nauki i praktyki. Przegląd zagadnień z zakresu zwalczania przestępczości,Warszawa2016,s.93–102.
158 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
Nieliczne banki w Polsce zaoferowały już możliwość weryfikacji tożsamościzużyciemdanychbiometrycznychnasmartfonach.TegorodzajuaplikacjemobilnesąoferowaneprzezMillenniumBank,MeritumBank,INGBankŚląski,EuroBankczyCitiBankHandlowy(rys.4).Niestety,zwyjątkiemBankuMillenniumomawianerozwiązaniejestmożliwetylkonaurządzeniachfirmyApple(czytnikTouchID).Sątojednakrozwiązaniawyspowe,bardziejprzypominającegadżetydlaklientówwyma-gającychnowinektechnologicznych.Wbankowościbiometrianiezagościłajeszczenadobre.StądbranżazzaciekawieniemczekanawynikiogłoszonegowzeszłymrokuprzezBankPKOBPprojektubiometrycznego,którymakompleksowoobjąćwszyst-kiekanałydostępowebanku13.
Rys. 4. AplikacjamobilnaCitiBankuHandlowego.Źródło:https://www.online.citibank.pl/landing/citimobile/index.htm[dostęp:10XII2016].
Badania ankietoweprzeprowadzonewPolscewewrześniu2016 r. przezMa-sterCarddowodzą,żePolacysąentuzjastamizastosowaniabiometriiwbankowości.Jakwynikazrys.5dominującaczęśćpolskichobywateliuważaautoryzacjępłatnościdokonywaną przy zastosowaniu rozwiązań biometrycznych za innowacyjną, prostą ibezpieczną.Jednatrzeciaankietowanychjestzkoleiskłonnadowykorzystaniaswo-jegoodciskupalcajakometodyautoryzacjitransakcjipłatniczej.
13 http://wyborcza.biz/biznes/1,147879,18140726,PKO_BP_chce_wdrozyc_kompleksowy_sys-tem_biometry-cznej.html(uprzejmaprośbaoweryfikacjęzapisu)[dostęp:10XII2016].
I.ANALIZyIROZPRAWy 159
Rys. 5. Wynikibadańankietowychdotyczącezastosowaniabiometriiwbankowości.Źródło:Opracowaniewłasnenapodstawie:http://newsroom.mastercard.com/eu/pl/press-releases/bada-nie-mastercard-polscy-konsumenci-oczekuja-wiecej-cyfrowych-uslug/[dostęp:10XII2016].
Corazwięcejpolskichbankówprowadzipracenadwdrożeniemsystemówbio-metrycznychjakoskutecznejkontrolitożsamościklientów,niosącejzasobąpodniesie-niebezpieczeństwaświadczonychusług14.Wydajesię,żejesttotrendnieodwracalny.
3. Biometria w systemach kontroli dostępu
Systemy kontroli dostępu oparte na kartachmikroprocesorowych to drugi za-sadniczyobszarwykorzystaniabiometriiwinnychcelachniżweryfikacjatożsamościzwykorzystaniemdokumentówpublicznych.Tegotypusystemysąstosowaneprak-tyczniewewszystkichśrednichidużychprzedsiębiorstwachorazwurzędachadmini-stracjipublicznej.Ichrolasprowadzasiędozablokowaniadostępu–zwykleprzezza-mknięciebramkilubśluzy–dookreślonychpomieszczeńosobomnieuprawnionym.Niestety,wwiększościprzypadkówtakakontrolamacharakteriluzoryczny.Sprowa-dzasiębowiemdoweryfikacji,czykarta,którąposługujesiędanaosoba,jestważ-na i czyumożliwiadostępdokonkretnegopomieszczenia.Nienastępujenatomiastsprawdzenie,czyosoba,któraposługujesiędanymi,jesttąosobą,którejuprawnieniadostępowesąprzypisanedodanejkarty.Wprzypadkubrakukontrolitożsamościosóbwchodzącychdodanychpomieszczeń(cojeststandardemwodniesieniudopracow-ników,którzykorzystająjedyniezidentyfikatorów–kartdostępu)relatywniełatwejestwtargnięciedookreślonychpomieszczeń(lubnaokreślonyteren)osóbnieupraw-nionych.Wystarczydotegokradzieżidentyfikatora(kartydostępowej)osobyupraw-nionejiwykorzystanieuprawnieńdostępowychtejosoby.Czykradzieżidentyfikatora
14M.Tomaszewska,Technologia biometryczna w Polsce,w:Technika kryminalistyczna w pierw-szej połowie XXI wieku. Wybrane problemy,B.Hołyst(red.),Warszawa2014,s.738–739.
160 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
jesttrudna?Odpowiedzinatopytaniepowinienudzielićsobiekażdyznas,analizując,jakieśrodkibezpieczeństwaprzedsiębierze,abychronićkartędostępowąprzedkra-dzieżą.Nie są to środki szczególnie zaawansowane i dające rękojmię zapewnieniabezpieczeństwa.
Zagrożenia związane z nieuprawnionym użyciem kart dostępowych są szcze-gólnie istotnewprzypadkupodmiotówgospodarczychważnychzpunktuwidzeniabezpieczeństwapaństwaorazwprzypadkuniektórychinstytucjipublicznych.Ziden-tyfikowanietegorodzajuprzedsiębiorstw,zarównoprywatnych,jakikontrolowanychkapitałowoprzezSkarbPaństwa,niejesttrudne.Możnategodokonaćprzezanalizęsektorowąiwyodrębnienietychdziedzingospodarki,którepełniąfunkcjestrategicznezpunktuwidzeniabezpieczeństwanarodowego.Wwąskimzakresiesąto15:1) wytwarzanieenergiielektrycznejizaopatrywaniewtensurowiec,2) wydobycie,przesył,dystrybucjaimagazynowaniepaliwgazowych,3) wytwarzanie,przesyłimagazynowaniepaliwpłynnych,4) telekomunikacja,5) bankowość,6) produkcjadokumentówibanknotów,7) przemysłzbrojeniowy.Wszerszymujęciuzaśdziedzinygospodarkizłożonezprzedsiębiorstw,wodnie-
sieniudoktórychkontroladostępu–zpunktuwidzeniabezpieczeństwanarodowego–maznaczeniezasadnicze,obejmująponadto,opróczwyżejwskazanych,wydobyciewęglakamiennegoiprzemysłchemiczny16.Wramachtychsektorówwystępująna-stępującepodmiotygospodarczekontrolowaneprzezSkarbPaństwa:PolskaGrupaEnergetycznaS.A.,TauronS.A.,EnergaS.A.,EneaS.A.,PolskieSieciElektroenerge-tyczneS.A.,PolskieGórnictwoNaftoweiGazownictwoS.A.,Gaz-SystemS.A.,Pol-skiKoncernNaftowyOrlenS.A.,LotosS.A.,PrzedsiębiorstwoEksploatacjiRurocią-gówNaftowych„Przyjaźń”S.A.,PKOBankPolskiS.A.,BankOchronyŚrodowiskaS.A.,BankGospodarstwaKrajowego, PolskaWytwórniaPapierówWartościowychS.A.,PolskaGrupaZbrojeniowaS.A.,KompaniaWęglowaS.A.,JastrzębskaSpółkaWęglowaS.A.,KatowickiHoldingWęglowyS.A.orazGrupaAzotyS.A.Niektórzybadaczewskazujądodatkowotakiesektory,jaktransportlotniczy,kolejowyorazmor-ski,atakżemedia.
Ponadto przepisy prawa określają także inne podmioty gospodarcze istotne zpunktuwidzeniapaństwaibezpieczeństwanarodowego.Ustawa z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym17nakładaobowiązekochronyobiektów,instalacjiluburządzeńinfrastrukturykrytycznej(IK)przezichwłaścicieliorazposiadaczysa-moistnychizależnych.Przedsiębiorstwabędącewłaścicielamiiposiadaczamiinfra-
15R.Lewandowski,Bezpieczeństwo narodowe a strategiczne sektory gospodarki i regulacyjna rola państwa,w:Wymiary zarządzania ryzykiem w obrocie gospodarczym,K.Raczkowski,S.Woj-ciechowska-Filipek(red.),Warszawa2016,s.380–381.
16Tamże,s.376.17Dz.U.z2007r.nr89poz.590,zezm.
I.ANALIZyIROZPRAWy 161
strukturykrytycznejsąwyszczególnionewjednolitymwykazieobiektów,instalacji,urządzeń i usługwchodzącychw skład IK.Tenwykaz jest niejawny.Z kolei innągrupęprzedsiębiorstwdefiniujeRozporządzenie Rady Ministrów z 3 dnia listopada 2015 r. w sprawie wykazu przedsiębiorców o szczególnym znaczeniu gospodarczo- -obronnym18.Wymienia on 185 podmiotów.NatomiastRozporządzenie Rady Mini-strów z dnia 22 października 2010 r. w sprawie określenia przedsiębiorstw państwo-wych oraz jednoosobowych spółek Skarbu Państwa o szczególnym znaczeniu dla go-spodarki państwa19obejmujeobecnie12podmiotówgospodarczych.
Należyzałożyć,żerealnąochronądostępudowłasnychpomieszczeńiterenówpo-winnybyćzainteresowanetakżeprzedsiębiorstwa,któreniepełniąstrategicznychfunk-cji zpunktuwidzeniabezpieczeństwanarodowego.W tymprzypadkumożechodzićoochronę interesuprywatnego iochronęprzeddziałaniamiszpiegowskimize stronykonkurencji.Tęrealnąochronędlawszystkichwymagającychtegopodmiotówzapew-niajednoznacznepowiązaniepracownikazwydanądlaniegokartądostępową(zokre-ślonymiuprawnieniamidostępu).Topowiązanietworzybiometriaizawarcieokreślo-nychdanychbiometrycznychpracownikanajegokarciedostępowej(identyfikatorze).Tradycyjnemetodykontrolidostępuniezdająegzaminuwsytuacjiobecnychzagrożeń20.
Wodniesieniudoinstytucjipublicznychbiometriaznajdujezastosowaniewprzy-padkuochronyniektórychwydzielonychpomieszczeń,aleniejesttorozwiązaniesto-sowanenaszerokąskalę.Ciekawą inicjatywęw tymzakresieplanujeMinisterstwoCyfryzacji,którerozważawprowadzeniebiometrycznejkontrolidostępunietylkodopomieszczeńwydzielonych,lecztakżedocałychgmachówużytkowanychprzezre-sort21.Jeśli teplanywejdąwżycie,będąniezwykleinteresującymicennymtestemefektywnościipraktycznościtejmetodykontrolidostępuizapewnieniabezpieczeń-stwafizycznego.
Przezwprowadzeniemechanizmuweryfikującego,czyosobaposługującasiędanąkartądostępowąjestosobą,dlaktórejtakartazostaławydana,wpełnimożnawyeli-minowaćryzykowejścianaterenokreślonejfirmyczyinstytucjiosoby,któraużywacudzejkartydostępowej.Towistotnysposóbpodnosipoziombezpieczeństwa,szcze-gólnie,gdydotyczyprzedsiębiorstworazinstytucjioznaczeniustrategicznymdlabez-pieczeństwanarodowego.Wdobieglobalnegoterroryzmutegorodzajuśrodkibezpie-czeństwapowinnymiećcharakterstandardowywodniesieniudotejgrupypodmiotów.
Omawiając zagadnienie biometrii, nie sposób pominąć problemu ochrony da-nychosobowych.Artykuł1Ustawyz29dniasierpnia1997r.oochroniedanychoso-bowych22mówi,żekażdymaprawodoochronywłasnychdanychosobowych(ust.1),
18Dz.U.z2015r.poz.1871,zezm.19Dz.U.z2010r.nr212poz.1387,zezm.20A.K.Jain,A.Kumar,Biometrics of Next Generation: An Overview,w:The Second Generation
Biometrics: The Ethical, Legal and Social Context,E.Mordini,D.Tzovaras(red.),London2012,s.49–50.
21 http://www.money.pl/gospodarka/wiadomosci/artykul/dowod-strezynska-biometria-pwpwmdokumenty,177,0,2234801.html[dostęp:18IV2017].
22 Tekstjednolity: Dz.U.z2016r.poz.922.
162 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
aprzetwarzanietakichdanychmożenastąpićzewzględunadobropubliczne,dobroosoby,którejonedotyczą,lubzewzględunadobroosóbtrzecich–wzakresieitrybieokreślonymustawą(ust.2).Ponadtozgodniezart.23ust.1cytowanejustawyprze-twarzaniedanychjestdopuszczalnetylkowtedy,gdy:1) osoba,którejdanedotyczą,wyrazina tozgodę,chybażechodziousunięcie
dotyczącychjejdanych;2) jesttoniezbędnedozrealizowaniauprawnienialubspełnieniaobowiązkuwyni-
kającegozprzepisuprawa;3) jesttokoniecznedorealizacjiumowy,gdyosoba,którejdanedotyczą,jestjej
stronąlubgdyjesttoniezbędnedopodjęciadziałańprzedzawarciemumowy nażądanieosoby,którejdanedotyczą;
4) jesttoniezbędnedowykonaniaokreślonychprawemzadańrealizowanychdladobrapublicznego;
5) jest toniezbędnedo realizacjiprzezadministratorówdanychalboodbiorcówdanychprawnieusprawiedliwionychcelów,aprzetwarzanienienaruszapraw iwolnościosoby,którejdanedotyczą.Równolegle problemwykorzystywania danych osobowychw relacjach praco-
dawca–pracobiorcaregulujeart.22 kodeksupracy.Dane,którychpracodawcamożeżądać, to imię (imiona) i nazwisko, imiona rodziców, data urodzenia, miejsce za-mieszkania(adresdokorespondencji),wykształcenieorazprzebiegdotychczasowegozatrudnienia.PracodawcamożeżądaćtakżenumeruPESELorazinnychinformacji,wtymimioninazwiskorazdaturodzeniadzieci,jeżeliodichpodaniazależykorzy-stanieprzezpracownikaze szczególnychuprawnieńprzewidzianychwprawiepra-cy.Innychdanychpracodawcamożeżądaćjedyniewówczas,gdyichudostępnienienakazująodrębneprzepisy,awzakresienieuregulowanymwpowyższymprzepisiestosujesięprzepisyoochroniedanychosobowych,awięczwłaszczadocytowanegowcześniejart.23ustawyoochroniedanychosobowych.
Przepisyprawanie regulują zatemprecyzyjniewykorzystywaniaprzezpraco-dawcędanychbiometrycznychpracownikówwzwiązkuzkoniecznościązapewnie-nia bezpieczeństwa. Można co prawda domniemywać, że pobieranie danych bio-metrycznych od pracowników i ich przetwarzanie jest przewidziane w przesłance art.23ust.1pkt5,tzn.jeślijesttoniezbędnedorealizacjiprawnieusprawiedliwio-nychcelówprzezadministratorówdanychalboodbiorcówdanych,aprzetwarzanienienaruszaprawiwolnościosoby,którejdanedotyczą.Zapewnieniebezpieczeństwanależyuznaćzaprawnieusprawiedliwionycelrealizowanyprzezadministratorada-nych(biometrycznych).Wydajesięjednak,żetozagadnieniewymagadoprecyzowa-niawprzepisachprawa.
Należy takżezważyć,żedotychczasGeneralny InspektorDanychOsobowych(GIODO) prezentował sceptyczne podejście dowykorzystania danych biometrycz-nychwrelacjachpomiędzypracodawcąapracownikiem(np.wzakresiekontrolido-stępu):A zatem jedyną podstawą do gromadzenia odcisków linii papilarnych może być przepis prawa. Skoro jednak nie ma regulacji zezwalających pracodawcom na żądanie
I.ANALIZyIROZPRAWy 163
od podwładnych danych biometrycznych, jak linii papilarnych, obrazu tęczówki oka czy kodu DNA, to ich gromadzenie jest zabronione23.TegorodzajupodejścieGIODOdobiometriiniewydajesięprzystawaćdowspółczesnychzagrożeń,wtymtakżeza-grożeń terrorystycznych.GrupaRoboczaArt.2924uznaławdokumencie roboczym z1sierpnia2003r.dotyczącymbiometrii,że:
(…) dla celów kontroli dostępu (identyfikacja/weryfikacja) systemy biome-tryczne związane z cechami fizycznymi nie pozostawiającymi śladów (np. kształtdłoni, ale już nie odcisk palca) lub systemy biometryczne związane z cechami fi-zycznymi,którepozostawiająślady,aleniesąoparteozapisywanietychdanychiichposiadanieprzezosobyinne,aniżeliosoba,którejtedanedotyczą(innymisłowydaneniesązapisywanewurządzeniukontrolidostępulubcentralnejbaziedanych),tworząmniejszeryzykonaruszeniaochronypodstawowychprawiwolnościczłowieka25.
Do takichmniej ryzykownych rozwiązań należąwłaśnie systemy dostępoweopartenadanychbiometrycznychzapisywanychnakartach(identyfikatorach)dostę-powychużytkowanychprzezpracowników.Wydajesięzatem,żejestotwartafurtkadowdrożeniazaprezentowanychrozwiązań.
Niemniej jednakprawodawstwoUniiEuropejskiej jestukierunkowanena ścisłąochronę danych biometrycznych.Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich da-nych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)26 wprowadzawart.9ust.1generalnyzakazprzetwarzaniam.in.danychbiometrycznychwcelujednoznacznegozidentyfikowaniaosobyfizycznejlubdanychdotyczącychzdro-wia,seksualnościluborientacjiseksualnejtejosoby.Równocześnietorozporządzeniewskazałoszeregwarunków,wktórychówzakaznieobowiązuje.Wartozwrócićuwagęzwłaszczanato,żeomawianyzakaznieobowiązujem.in.wprzypadku,gdy:1) zostałaudzielonazgodanaprzetwarzanie tychdanychprzezosobę,której to
dotyczy(chybażeprawokrajowelubUEprzewiduje,żetakiegozakazuuchylićniemożna);
2) przetwarzanie jest niezbędne do wykonywania obowiązków i szczególnychprawprzezadministratoralubosobę,którejdanedotyczą,wdziedzinieprawa
23 http://www.giodo.gov.pl/348/id_art/3358/j/pl/[dostęp:10XII2016].24Organkonsultacyjny składający się z przedstawicieli organówochronydanychosobowych
obywatelipaństwczłonkowskichUniiEuropejskiej.RoląGrupyRoboczejArt.29 jestczuwanienadstosowaniemprzezpaństwaczłonkowskieDyrektywy nr 95/46/WE Parlamentu Europejskie-go i Rady z dnia 24 października 1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(Dz.Urz.L281z23XI 1995r.,s.31–50.
25 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2003/wp80_en.pdf[dostęp:10XII2016].
26Dz.Urz.UEL119z4V2016r.,s.1.
164 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
pracy,zabezpieczeniaspołecznegoiochronysocjalnej,oilejesttodozwoloneprawemUElubprawemkrajowym,lubporozumieniemzbiorowymnamocyprawapaństwaczłonkowskiegoprzewidującymiodpowiedniezabezpieczeniaprawpodstawowychorazinteresówosoby,którejdanedotyczą;
3) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, którejdanedotyczą,lubinnejosobyfizycznej,aosoba,którejdanedotyczą,jestfi-zycznielubprawnieniezdolnadowyrażeniazgody;
4) przetwarzaniejestniezbędnezewzględówzwiązanychzważnyminteresempu-blicznym,napodstawieprawaUElubprawapaństwaczłonkowskiego,któresąproporcjonalnedowyznaczonegocelu,nienaruszająistotyprawadoochronydanychorazprzewidująodpowiednieikonkretneśrodkiochronyprawpodsta-wowychiinteresówosoby,którejdanedotyczą.Powyższeprzepisyrozporządzenianiewykluczajązatemmożliwościstosowania
biometriiwcelachzwiązanychzbezpieczeństwem,zwłaszczawzakresiefizycznejkontrolidostępu lubdostępudo systemów teleinformatycznych (np.wbankowościinternetowej), nawetwprzypadkubrakuzgodyosobyzainteresowanej, której danebiometryczne mają być przedmiotem przetwarzania. W takim jednak przypadkujest konieczna szczegółowa regulacja prawna.Należy także podkreślić, że zgodnie zart.9ust.4tegorozporządzeniapaństwaczłonkowskiemogązachowaćlubwprowa-dzićdalszewarunki,wtymograniczeniawodniesieniudoprzetwarzaniam.in.danychbiometrycznych.Ustawodawcaunijnypozostawiłzatemdośćdużyzakresswobodywkształtowaniuzasadprzetwarzaniadanychbiometrycznych.
Wnioski
Biometriastajesięcorazbardziejpowszechnyminstrumentempoprawybez-pieczeństwa.Szczególnecechy tejmetody identyfikacji sprawiają,żezpowodze-niemmożeona znaleźć zastosowanie jużnie tylkowdokumentachemitowanychprzezpaństwo,lecztakżewśrodowiskugospodarczym,obejmującymchoćbybankiczyprzedsiębiorstwaoznaczeniustrategicznymdlabezpieczeństwapaństwa.Ana-liza implementacji rozwiązańbiometrycznychwPolsceprowadzidowniosku, żepoza wybranymi kategoriami dokumentów publicznych nie mają one powszech-negocharakteru.Na szerszą skalę są stosowaneprzezniektórebanki jako instru-mentuwierzytelnianiaklientawsystemachbankowościelektronicznej.Zkoleijakonarzędzie kontroli dostępufizycznego biometria pozostaje technologią stosowaną w małym zakresie, pomimo istnienia obiektywnych przesłanek wskazujących natakąpotrzebę,zwłaszczawprzedsiębiorstwachbędącychwłaścicielamilubpo-siadaczamiinfrastrukturykrytycznej.Świadczytookoniecznościciągłegopodno-szeniawiedzynatematzagrożeńwymierzonychwfunkcjonowanienajważniejszychpodmiotówgospodarczychwnaszymkraju.Równocześnieuprzedsiębiorcówpo-winnarosnąćświadomośćdostępnychtechnologiiirozwiązań,którepowyższeza-grożeniamogąminimalizować.
I.ANALIZyIROZPRAWy 165
Ważnejestrównieżto,abyzacorazczęstszymstosowaniembiometriinadążałyprzepisyprawa,wtymprzedewszystkimdotycząceochronydanychosobowych.Po-winnyonezjednejstronyzapewniaćmożliwośćpodnoszeniapoziomubezpieczeństwapodmiotówgospodarczych i urzędówprzez stosowanie systemówbiometrycznych, azdrugiej–ustanawiaćminimalne standardybezpieczeństwawzakresieprzecho-wywaniadanychbiometrycznychiichprzetwarzania.Testandardypowinnychronićdanebiometryczneprzedutratąpoufności,dostępności,integralnościorazrozliczalno-ści27,azwłaszczaprzedatakaminasystemybiometryczne.
Bibliografia:
1. DziedzicT.,Biometryczny podpis elektroniczny,w:M.Goc,T.Tomaszewski,R.Lewandowski,Kryminalistyka – jedność nauki i praktyki. Przegląd zagad-nień z zakresu zwalczania przestępczości,Warszawa2016,Wolumina.plDanielKrzanowski.
2. Gutfeter W., Pacut A., Człowiek w systemie biometrycznym, w: M. Toma- szewska-Michalak,T.Tomaszewski,Dokumenty a prawo. Prawne oraz prak-tyczne aspekty korzystania z dokumentów i e-dokumentów,Warszawa 2015,SAWPiAUW.
3. HarindaE.,NtagwirumugaraE.,Security & Privacy Implications in the Place-ment of Biometric-Based ID Card for Rwanda Universities,„JournalofInfor-mationSecurity”2015,nr6.
4. HołystB. , Pomykała J.,Biometria w systemach uwierzytelniania, „BiuletynWAT”2011,t.60,nr4.
5. JainA.K.,KumarA.,Biometrics of Next Generation: An Overview,w:The Second Generation Biometrics: The Ethical, Legal and Social Context, E.Mordini, D.Tzovaras(red.),Springer,Dordrecht,Heidelberg,Nowyyork,Londyn2012.
6. JakielaszekE.,Mechanizmy kształtujące zarządzanie tożsamością,„Człowiek iDokumenty”2017,nr44.
7. KrawczykW., Bezpieczeństwo teleinformatyczne kryminalistycznych baz da-nych odcisków palców (AFIS) oraz DNA,w:Nowe techniki badań kryminali-stycznych a bezpieczeństwo informacji,B.Hołyst,J.Pomykała,P.Potejko(red.), Warszawa2014,PWN.
8. LewandowskiR.,Bezpieczeństwo narodowe a strategiczne sektory gospodarki i regulacyjna rola państwa,w:Wymiary zarządzania ryzykiem w obrocie go-spodarczym, K. Raczkowski, S. Wojciechowska-Filipek (red.), CeDeWu, Warszawa2016.
27W. Krawczyk, Bezpieczeństwo teleinformatyczne kryminalistycznych baz danych odcisków palców (AFIS) oraz DNA,w:Nowe techniki badań kryminalistycznych a bezpieczeństwo informacji,B.Hołyst,J.Pomykała,P.Potejko(red.),Warszawa2014,s.181.
166 PRZEGLĄDBEZPIECZEŃSTWAWEWNĘTRZNEGO17/17
9. PrabhakarS.,PankatS.,JainA.K.,Biometric Recognition: Security and Privacy Concern,„IEEETransactionsonSecurity&Privacy”2003,nr1.
10. StoltzM., Electronic Driver’s Licences: Driving Towards the Future, „ID&SecureDocumentsNews”[online]2016,t.4,https://www.reconnaissance.net/secure-document-news/issues/may-2016/[dostęp:10XII2016].
11. TomaszewskaM.,Technologia biometryczna w Polsce,w:Technika krymina-listyczna w pierwszej połowie XXI wieku. Wybrane problemy,B.Hołyst(red.),Warszawa2014,WydawnictwoNaukowePWN.
Abstrakt
Artykuł przedstawia analizę nowych zastosowań biometrii w obszarze bez-pieczeństwa.Sądwanajważniejszezastosowania tejmetody.Popierwsze,poza jejwykorzystaniemwdokumentach,takichjakdowodyosobisteczypaszporty,biome-triamożebyćzpowodzeniemstosowana jakonarzędziefizycznejkontrolidostępuwprzedsiębiorstwachoznaczeniustrategicznymwsystemiebezpieczeństwapublicz-nego.Podrugie,możeznaleźćzastosowaniewbankowościelektronicznej–jakoin-strumentidentyfikacjiklientaiautoryzacjitransakcji.Wobuprzypadkachwykorzy-staniebiometriiwsposóbznaczącyzwiększapoziomzabezpieczeńwporównaniudoalternatywnych, tradycyjnychnarzędzi. Jednakże jejpowszechnezastosowaniewy-magaregulacjiprawnych,którezjednejstronypozwoliłybyorganizacjompublicznymiprywatnymkorzystaćztejmetodyjakoinstrumentuzapewniającegobezpieczeństwo, azdrugiej–ustanawiałybyminimalnestandardyochronydanychbiometrycznych.
Słowa kluczowe:biometria,kontroladostępu,bankowość.