Er is al heel wat stof opgewaaid over het gebruik van biometrie voor een identiteitseiking. De GDPR experten die liever debatteren over de wettelijke basis en de vermeende rechten van de privé persoon eisen volledige onthouding voor de bedrijven. Ik moet wel aanvullen dat ik een beetje huiver van app bouwers, al zijn het banken, die zonder kennis van zaken opening laten in het identificatie proces en zelfs vensters openlaten staan naar opgeslagen biometrische gegevens. Nochtans biedt hier ook de blockchain techniek een uitstekende en waterdichte methode om de private en public data te maskeren.
Ziet de app jou gezicht wel
In de betere SF films in de jaren 90 verloren politici al eens een oog dat gebruikt werd om een toegangs camera te misleiden. Heden ten dage zijn de echte bouwers van IAM en MFA tools gelukkig dermate gevorderd zodat er enkele bijkomende gegevens gevraagd worden. Maar de wereld van het dark web waar de dataschroot handelaren goed boeren heeft soms budgetten die 1000 keer hoger zijn dan zelfs de diamantair die klanten biometrisch laat ondertekenen voor de ontvangst van een partijtje glinsterende beleggingen.
Hackers van de dark web elite zijn in staat om tools in te zetten die data kunnen meesturen in een zogeheten handshake. Tijdens de handdruk wordt tegenwoordig ook voor je bankapp gevraagd je gelaat voor je iPhone te houden en ja de app opent. Als jou eikings data van je gezicht dus ergens bemachtigd wordt bijvoorbeeld tijdens een zoom meeting alwaar je pocht met je 8K camera zou een elite hacker wel eens blijgemaakt kunnen worden. Zeker als deze weet dat deze data gebruikt wordt voor het ondertekenen van financiële transacties. Met de zogeheten deepfake techniek omzeilt de aanvaller in een ondertekeningssessie de injectie van je live data en misleidt hij of zij de controle software.
Is Ai nog wel te betrouwen
Zolang we digitaal zullen blijven gaan zullen er op de digitale snelweg piraten blijven verschijnen. Het punt waar het om gaat is dat een toepassing altijd een controle nodig heeft of voor een digitale Piet Piraat digitale vensters openstaan. Er dient allereerst een duidelijk waterdicht plan opgesteld worden zodat aanvallers biometrische gegevens NIEt kunnen koppelen aan NAW gegevens van privé-personen. De eerder genoemde blockchain techniek biedt hier een oplossing. Een juist afschermen van deze verspreide puzzelstukjes dient met hackresistente netwerkopzet te gebeuren.
Vervolgens kunnen apps eenvoudig controleren of de IPhone wel up to date is.
Hoe weet de app of IAM handshake of ik life gezichtsherkenning doe?
Als je handshake procedure statische data vergelijkt zal een hackerselite manieren vinden om de apps en IAM software te bedriegen met hun eigen aangelegde databeestje. Zo stel ik me de vraag of er bij de kleine Hack in Antwerpen geen biometrische gegevens van EID kaarten buitgemaakt zijn. Toen de politici na enkele uren verklaarden dat dit niet zo was werd ik zeer verontrust. Een oplossing die ENISA voorstelt is om geen statische herkenning te doen maar de aanbieder van de controle enkele specifieke bewegingen te laten doen. Kan een aanvaller van het systeem dan geen video samenstellen met deze controle? Een algorithme en bijhorende eikingssoftware ziet zeer goed of er haperingen zijn in het aanbod en zal dan een extra controle eisen. Zo zou je bijvoorbeeld kunnen vragen met een getekend voorbeeld om snel achter mekaar poses aan te bieden die een random patroon volgen. Het invoeren van een menselijke operator bij twijfelgevallen zal de betrouwbaarheid aflijnen. Je zou ook bijvoorbeeld bijkomend een pincode kunnen vragen die je met je handen uitbeeldt.
Durf ik mijn gezichtsherkenning op mijn iPhone nog wel te gebruiken?
Enisa ijvert voor het inzetten van auditors die met technische kennis van zaken de ondertekeningssoftware voorzien van een risico analyse. Deze controleren ook of de GDPR regelgeving waterdicht wordt opgevolgd. In de jaren 80 fraudeerden gangsters door het vervalsen van handtekeningen. In onze 21ste eeuw is hun nageslacht even vernuftig in het omzeilen van slecht opgezette digitale handtekeningen. De NIS2 wetgeving zal ook hier het kaf van de koren gaan scheiden. Hieronder vindt je een van de best opgestelde documenten die rond de materie te vinden zijn.
Veel leesplezier
