„Viem“ vytvoriť reťazec písmen, číslic a špeciálnych znakov (len 0,5 % hesiel) a cez klávesnicu ich priamo zadať do PC. Realita je taká, že väčšina hesiel je málo kreatívnych, dokonca rovnakých: „123456“, „nbu123“ alebo vytvorených z mien, priezvisk a dátumov, tzv. mnemotechnických pomôcok. Výsledok – relatívne ľahké prelomenie hesla najčastejšie použitím slovníkov hesiel (tzv. word lists), a to až 98 % hesiel!

Riešenie: ak ide o bezvýznamné účty, tak žiadne, ale ak heslá chránia hmotné či nehmotné majetky alebo dokonca životy, napríklad prvky kritickej infraštruktúry, tak treba heslá riešiť! Minimálne si treba urobiť poriadok s heslami, napríklad pre každý účet používať iné dostatočne bezpečné heslo (bezpečnosť možno overiť cez web howsecureismypassword.net), v prípade veľkého množstva hesiel treba použiť správcu hesiel (napríklad keypass) a potom extra bezpečné master heslo. Stále to však nestačí, treba dostatočne a neustále chrániť brány (porty) do IT infraštruktúry z verejne dostupnej siete – internetu.

Napriek všetkým technologickým opatreniam ostáva ľudský faktor, sociálny inžiniering a veľká nevýhoda typu „viem“, relatívne jednoduchý prenos z osoby na osobu, ľudovo prezradenie hesla. „Mám“ identifikačný predmet, napr. rádiofrekvenčnú identifikáciu, tzv. RFID kartu s reťazcom núl a jednotiek od výroby napáleným v karte. Reťazec  z karty sa dostane do PC cez RFID čítačky bezdrôtovo, priložením karty  k čítačke (čítačka generuje vysokofrekvenčné magnetické pole, ktoré v cievke karty indukuje napätie na prenos reťazca z karty do čítačky).

Najrozšírenejšie karty EM, HID a Legic Prime nemajú žiadne kryptovanie dát, to znamená, že ich zneužitie je pomerne jednoduché, napríklad „falošnou“, tzv. Skimmer čítačkou (cena rádovo 200 až 400,- eur) načítate obsah karty a zapíšete do ďalšej karty a máte klon originálnej karty.Druhou skupinou kariet sú Mifare Classic a Hitag, ktoré už majú kryptované dáta, ale veľmi slabo (všeobecne známy prípad prelomených Mifare Classic kariet, stále hojne používaných v hromadnej doprave). Treťou skupinou sú karty so silným kryptovaním, napríklad Mifare Plus, DESfire, SmartMX, HID iClass.

Riešením proti zneužívaniu, klonovaniu kariet je použiť tretiu skupinu kariet. Pozorní buďte aj vtedy, keď použijete karty s najlepším kryptovaním; stále zlyháva ľudský faktor, vedomá či nevedomá strata, zabudnutie karty, pomerne jednoduchý prenos identity z osoby na osobu a dnes už klasická tvorba „tacho“, resp. „čiernych“ hodín pri registrácii dochádzky, pri vstupoch do chránených priestorov a podobne.

Osobné údaje typu „viem“ a „mám“ veľmi dobre poznáme aj v ich kombinácii, napríklad platobná karta, a veľmi dobre poznáme aj ich zneužitie, napríklad v bankomatoch. Potom zostáva naozaj rozum stáť, prečo pri našich nových občianskych preukazoch bola použitá práve táto, evidentne nie najlepšia koncepcia. ?
„Som“ jedinec s jedinečnými fyziologickými i zvykovými črtami, ako je odtlačok prsta, tvar ruky, krvné riečisko, geometria tváre, hlas, tep srdca, písmo, štýl písania na klávesnici a tak ďalej. Ako je to s reťazcom núl a jednotiek v tomto prípade, ako to všetko funguje?

Na to bolo treba veľa, veľa úsilia, začiatky môžeme pozorovať už u starých Egypťanov pri stavbe pyramíd; potom dlho, dlho nič a až Jan Evangelista Purkyně si všimol unikátnosť štruktúry papilár odtlačkov prstov (1832), nasledovala „ručná“ daktyloskopia a zhruba od 60. rokoch minulého storočia „elektronická“ daktyloskopia.

Prvý krok je načítanie biometrickej črty do biometrickej čítačky, napríklad položením prsta na optický senzor (prechod do digitálneho sveta), výsledok – obrázok časti prsta. Nasleduje výber (extrakcia) markantných jedinečných bodov do výslednej biometrickej šablóny, teda reťazec núl a jednotiek. To najpodstatnejšie je, že reťazec núl a jednotiek pri tom istom prvku (napríklad odtlačok prsta) NIKDY nie je rovnaký, na rozdiel od typu „viem“ a „mám“; totiž ani vstupný údaj nikdy nie je úplne rovnaký, živá bytosť nie je stroj, raz pritlačí prst silnejšie inokedy slabšie, raz viac zľava, raz viac sprava, samotný prst, stav organizmu je dynamický „živý“ systém. Na zvládnutie meniacich sa vstupných dát toho istého prvku je potrebná mohutná matematická výbava (neurónové siete, fuzzy logika, biometrická štatistika). Kladný výsledok porovnania „referenčného“ oproti „živému“ reťazcu NIKDY nie je 100 % (ak, tak je to jasný falzifikát), ale zároveň výsledok nemôže byť pod „prahom citlivosti“. Prah citlivosti môžeme charakterizovať aj ako mieru zhody „referenčného“ a „živého“ reťazca; čím bude prah citlivosti vyšší, tým bude aj miera zhody vyššia, nikdy však nedosiahne 100 %.

Hrá v tomto prípade ľudský faktor zásadnú rolu, môže napríklad sociálny inžiniering zneužiť dáta typu „som“? Pri dobrom návrhu technológie (napríklad zabezpečenie overenia „živosti“ pri odtlačku, prípad iPhone 5) a pri odbornej správe systému (prah citlivosti) prakticky neexistuje možnosť prenosu identity z osoby na osobu. Osoba je identická len a iba sama so sebou. (Môžeme konštatovať, že z technologického pohľadu je ochrana osobných dát rádovo vyššia pri systémoch typu „som“, tzv. biometria, ako pri systémoch typu „viem“ alebo/a „mám“. Nakoniec vývoj na trhu to jednoznačne potvrdzuje, hromadné rozšírenie biometrie v posledných pár rokoch: hlasová biometria, biometrické podpisy a podobne.

Aktuálna legislatíva a aplikačná prax

Presný opak charakterizuje stav legislatívy a hrôzostrašná aplikačná prax Úradu na ochranu osobných údajov (ďalej len Úrad). Spoločnosti využívajúce biometrické systémy sú svojvoľne šikanované nezmyselnou byrokraciou, diskriminované a v mnohých prípadoch je im dokonca používanie biometrie zakázané (Psychiatrická liečebňa Sučany, Mesto Trenčín, Východoslovenské stavebné hmoty).

Súhlas

Pre spracovanie osobných údajov je kľúčový inštitút jedinca, ktorého osobné údaje sa budú spracúvať u zamestnávateľa. V aktuálnom zákone dokonca zakotvený, ale v praxi „zmietnutý zo stola“, takto súhlas aplikuje v praxi jedna z autoriek zákona, Zuzana Valková: „Súhlas dotknutej osoby musí byť slobodne daný, výslovný a zrozumiteľný. Vo vzťahoch medzi zamestnávateľmi a zamestnancami je však sloboda ako jedna zo základných obligatórnych náležitostí súhlasu problematicky aplikovateľným aspektom. Táto skutočnosť vyplýva zo špecifickosti týchto (pracovnoprávnych) vzťahov, ktoré možno charakterizovať ako vzťahy nadriadenosti a podriadenosti, kde sa zamestnanec vo väčšine prípadov riadi pokynmi zamestnávateľa a pri plnení pracovných úloh vykonáva vôľu zamestnávateľa.“ Dvetisíc rokov fungujúci inštitút súhlasu s obsahom, vyjadrený vlastnoručným podpisom Z. Valková poslala na smetisko dejín  a zamestnancov vyhlásila za nesvojprávne identity!

Oplatí sa čeliť nezmyslom?

V tomto prípade sa zdá, že áno. Po mohutnej mediálnej kritike sa uvedený nezmysel už v konaní Úradu nevyskytuje a Úrad súhlas dotknutej osoby považuje za jeden z možných právnych základov spracovania osobitnej kategórie osobných údajov.

Rovnosť pred zákonom

Atribút charakterizujúci normálnu spoločnosť podľa Úradu je realizovaný takto: banky, NKÚ alebo Samsung môžu spracovávať tzv. osobitnú kategóriu osobných údajov – biometrické údaje – bez problémov, naproti tomu „obyčajní“ prevádzkovatelia, ako sú vodárne, okresné súdy, strojárske podniky či dokonca sami autori biometrického systému v NKÚ, sú znovu a znovu šikanovaní byrokraciou a nakoniec im je spracovanie zakázané (napríklad Okresný súd Košice vidiek). Dôvod: Úrad považuje spracovanie za rizikové!!!

Slon v porceláne

Tak sa správa Úrad voči poctivcom, voči tým, čo chcú dodržiavať literu zákona. Splnili si ohlasovaciu povinnosť, podali žiadosť o osobitnú registráciu, no podľa Úradu od tejto chvíle až po kladné spracovanie žiadosti by spracovanie nemalo prebiehať. Problém je, že Úradu trvá vybavenie niekedy až šesť mesiacov a ani po tomto čase nie je schopný rozhodnúť. Podľa Úradu v tomto období treba zastaviť spracovanie údajov. Čo robiť v prípade, keď pozastavené informačné systémy riešia životne dôležité funkcie, napríklad vstupy do strategických priestorov (serverovne, pokladne, vývojové laboratóriá), čo keď spracúvajú podklady pre mzdy pracovníkov, čo v prípade ovládania výrobných liniek, tie všetky procesy sa majú zastaviť? V mnohých prípadoch ten istý úradník schválil používanie daného systému ešte podľa starého zákona (napríklad Caterpillar, IBV Stavivo, ASO Vending). To Úrad už, samozrejme, nerieši!!!

Mýty, bludy, konšpirácie

Pred časom vyšli v SME a následne i v Pravde „čudné“ články Odtlačky úrad zakazuje alebo Odtlačky môžu zamestnávatelia žiadať len výnimočne. Niesli sa v duchu, že odtlačky sú citlivé údaje, ich zneužitie by malo kvalitatívne ďaleko väčšie následky ako bežné metódy (asi heslo alebo RFID karta) a že odtlačky odhaľujú ďalšie citlivé údaje o osobe, napríklad zdravotný stav, rasu a pod.
Tak poďme si to rozobrať cez príklady s nádychom fabulácie. Keď chránim miestnosť s trezorom s 10 miliónmi dolárov po a) heslom alebo po b) odtlačkom prsta a zbojníci mi ho ukradnú, mám rozdielnu škodu? Samozrejme, že nie, ani kvantitatívne, ani kvalitatívne; v obidvoch prípadoch som prišiel o 10 miliónov. Keď robím registráciu dochádzky po a) zamestnaneckou kartou alebo po b) odtlačkom prsta a zamestnanec mi mesačne vykáže „tacho“ hodiny, za ktoré mu zaplatím, aj keď ich neodpracoval, po a) 50 hodín a po b) tiež 50 hodín, mám kvalitatívne či kvantitatívne inú škodu? Samozrejme, že nie. Ak by sme išli do dôsledkov, podľa tohto uvažovania tak nemôžeme používať klávesnicu PC (štýl písania, tzv. keystroke), webové kamery (rozpoznávanie tváre) či mikrofóny (rozpoznávanie hlasu)!!!

Teraz niečo k citlivosti; podľa aktuálnej smernice EÚ 95/46 medzi citlivé osobné údaje patria napríklad zdravotný stav, rasa, etnický pôvod. Ako teda biometrické údaje súvisia s citlivými osobnými údajmi? Len a len okrajovo a nie plošne, ako ich chybne definuje náš zákon a bludne aplikuje Úrad. Biometrický údaj súvisí s citlivým údajom vtedy, keď cezeň vieme odhaliť citlivý údaj, pričom takého údaje sú len tri:

  1. fotografia v surovom stave (stav pred spracovaním do biometrickej šablóny) – mohli by sme vizuálne zistiť rasu, zhruba etnický pôvod a experti možno aj zdravotný stav,
  2. reťazec DNA – len špecializované pracoviská, pričom DNA sa v komerčnej praxi vôbec nepoužíva,
  3. hlas – zasa možno v surovom stave.

Pomocou ostatných biometrických údajov nikto nemá šancu odhaliť citlivé údaje. To isté celé roky tvrdí pracovná skupina 29 (predsedovia jednotlivých Úradov v rámci EÚ), napríklad stanovisko WP 80  z roku 2003. Zástupcovia nášho Úradu prácu skupiny buď ignorujú, príp. jej nerozumejú alebo si účelovo vyberú len to, čo sa im hodí do „krámu“. ?

Dosah

Aktuálne sú prevádzkovatelia povinní evidovať, registrovať či osobitne registrovať informačné systémy, stanoviť oprávnené alebo zodpovedné osoby, zabezpečiť bezpečnostné projekty, nanovo zrevidovať zmluvy so sprostredkovateľmi a podobne. Napriek 21. storočiu všetko v písomnej papierovej podobe! Výsledok – priemerné finančné náklady stredného podniku sú 700,- eur. Ak to rozrátame na všetky postihnuté firmy, finančný, časový, morálny, ale aj „zelený“ dosah je astronomický, len lesa padne radovo 12 hektárov! Hlava XXII, Švejk alebo Otče, odpusť im, lebo nevedia, čo činia v jednom.

Dá sa s tým vôbec pohnúť?

Proti šikanovaniu, byrokracii a arogancii predstaviteľov Úradu bojujeme už celé roky. Výsledok je zatiaľ jasne v prospech úradníkov. Spôsob práce parlamentu, schvaľovacia mláťačka bez akejkoľvek zodpovednosti a tradícia vlády pri nomináciách na vedúce miesta – stranícke tričko, nulová odbornosť i prax, tiež jasne hovoria  v prospech byrokracie. Výsledok tohto štýlu práce je tiež jasný; spoločnosť v hospodárskom a morálnom úpadku. Samozrejme, česť výnimkám, zopár sa ich našlo v parlamente a jeden dokonca vo vláde.

Svetielko na konci tunela

V posledných pár týždňoch sa o danú problematiku začali zaujímať médiá,. týždeň, Hospodárske noviny, Sme, Pravda, v TA3 sám premiér, po tlaku zo strany zamestnávateľských združení. Možno sa predsa len niečo podarí, ale zatiaľ to vôbec nie je isté, a keď sa skončí haravara okolo prezidentských a euro volieb, tak znovu môžeme byť tam, kde sme boli.

Zákon č. 122 sa nakoniec podarilo novelizovať, ale tak „po Slovensky“, novela nerieši zásadné nezmysly zákona, byrokratickú, finančnú ani časovú záťaž. Evidencie a osobitné registrácie zostávajú bez zmeny; podarilo sa upraviť registrácie informačných systémov, pričom ich bude možné robiť cez e-formulár a bez poplatku. Nezmyselné funkcie oprávnené osoby, zodpovedné osoby, prevádzkovatelia a sprostredkovatelia prešli minimálnymi úpravami, napríklad zodpovednou osobou môže byť aj konateľ spoločnosti. Povinnosť mať bezpečnostný projekt, boli zrušené bezpečnostné smernice. Nechýba niečo v prvej časti vety?

Dobrou správou je reforma ochrany údajov (MEMO/14/60) zverejnená 27. januára 2014 Európskou komisiou na čele s jej podpredsedníčkou Viviane Reding. Bohužiaľ, pri uvedenej novele sa kompetentní neinšpirovali touto reformou, asi si nechávajú priestor do budúcnosti, aby mohli vykázať svoju nenahraditeľnosť. Pritom množstvo nezmyslov mohlo byť vyriešených, napríklad z pohľadu prevádzkovateľa žiadne registrácie, ohlasovacie či oznamovacie povinnosti, žiadne oprávnené alebo zodpovedné osoby, jeden zákon pre všetkých 28 štátov, tlak na digitálnu EÚ v 21. storočí. Z pohľadu občana právo na zabudnutie, právo rozhodnúť, ako sa bude nakladať s jeho údajmi, právo byť informovaný v prípade zneužitia osobných dát, ochrana osobných dát na prvom mieste; to znamená už pri návrhu produktu a/alebo procesu spracovania počítať s dokonalou ochranou pred zneužitím – presne to, čo je uvedené v úvode tohto článku.

Odhadovaná cena osobných dát v roku 2020 občanov EÚ má potenciál rásť ročne o jeden bilión eur, len prínos zo zjednotenia legislatívy „Jeden kontinent – jeden zákon“ sa odhaduje na 2,3 miliardy eur ročne.

Výzva

Osobné údaje patria svojmu nositeľovi a nikomu inému, žiadnemu úradníkovi či inštitúcii. Aplikačná prax nášho Úradu jasne hovorí o pravom opaku. Preto je na každom z nás (a je jedno, či reprezentujeme firmu alebo iba seba samého), ako dovolíme nakladať s našimi osobnými údajmi. Prax Úradu je z veľkej časti aj naším zrkadlom, ako sme dovolili šafáriť s tým najcennejším, čo máme,
s našou identitou.

Ing. Martin Štubian
riaditeľ APIS spol. s r.o.
www.biometria.sk