apr 24 2010

Ny ENISA risikoanalyserapport om flyrejser med it-i-alting og RFID berører biometri

Med titlen Flying 2.0 – Enabling automated air travel by identifying and addressing the challenges of IoT & RFID technology, har ENISA netop offentliggjort en undersøgelse af Internet of Things og RFID i flytrafikken.

ENISA (Det Europæiske Agentur for Net- og Informationssikkerhed) er oprettet i 2004 og har fortrinsvis til opgave, at indsamle relevant information til gennemførelse af en analyse af eksisterende og nye risici, navnlig risici, der kan få følger for de elektroniske kommunikationsnets modstandsdygtighed og tilgængelighed og for autenticiteten, integriteten og fortroligheden i forbindelse med denne kommunikation. Agenturet skal ligeledes udvikle “fælles metoder” til forebyggelse af sikkerhedsspørgsmål, bidrage til bevidstgørelse og fremme udvekslinger af “den aktuelt bedste praksis” og “metoder til varsling” samt risikovurderinger og forvaltnings-aktiviteter.

IoT (Internet of Things), der også kan betegnes som it-i-alting, pervasive computing, ubiquitous computing, ambient intelligence eller smartdust, er et koncept der går ud på at forbinde alle mulige objekter med hinanden via trådløse eller kabelforbundne kommunikationsnetværk uanset hvor de befinder sig. Man forestiller sig, at hvis alle ting i vores dagligdag, fra yoghurt til en flyvemaskine, er udstyret med RFID-tags, så kan de identificeres og forvaltes af computere på samme måde som vi mennesker er i stand til. Det skønnes, at IoT skal kode og følge mellem 50-100 billioner objekter. Ethvert menneske er omgivet af mellem 1.000-5.000 genstande.

Som opfølgning på Europa-Kommissionens handlingsplan for Europa om IoT , har ENISA identificeret og vurderet de nye og fremtidige risici, der aktiverer IoT og RFID-teknologi og som specifikt er forbundet med fremtidige flyrejser, hvor rejsende, lufthavnspersonale og bagage skaber et stigende, løbende samspil mellem intelligente enheder. Det indebærer udveksling af store mængder af følsomme oplysninger og eftersom der er ca 28,000 flyvninger i Europa hver eneste dag (eller ca 10 mill. pr. år), så er betydningen af flyrejser let at forstå, som det hedder i pressemeddelelsen i forbindelse med rapportens offentliggørelse.

På baggrund af en omfattende risikovurdering baseret på en lang række scenarier der involverer IoT og RFID, identificerer rapporten væsentlige sikkerhedsrisici, privacy, sociale samt juridiske konsekvenser og kommer også med konkrete administrative, forskningsmæssige og juridiske anbefalinger. Risici omfatter “brud på retningslinjer for flyrejser, frustration hos de rejsende og ringe social accept, tab og krænkelser af borgerns/passagerens privacy samt social udstødelse”.

Enisa´s direktør Dr. Udo Helmbrecht har i øvrigt følgende bemærkninger til rapporten: “For til fulde at kunne udnytte fordelene ved IoT, er det nødvendigt at identificere de udfordringer og risici som IoT indebærer på en proaktiv måde. Disse risici har ikke altid noget at gøre med teknologien som sådan, men derimod med den måde, vi bruger den på”.

Rapporten præsenterer følgende anbefalinger:

Tre policy anbefalinger:

Revurdere eksisterende forretningsstrukturer og indføre nye forretningsmodeller. Lufttransportens aktører (f.eks. flyselskaber, lufthavne, logistikfirmaer og myndigheder) bør proaktivt planlægge, designe og være opmærksom på nye forretningsmodeller
Brugervenlighed og rummelighed med hensyn til udstyr og procedurer
Udarbejde og gennemførere politikker for data management og databeskyttelse

Fem anbefalinger for forskning:

Databeskyttelse og privacy
Usability
Multi-modal autentifikation i forbindelse med biometriske procedurer
Foreslå standarder for krypteringsprotokoller og
Identificere og forstå en referenceramme for tillid

Tre juridiske anbefalinger:

Support til brugerne, f.eks bedre information om behandling af brugernes data og mulighed for bedre at kunne udøve rettigheder som bruger
Prioritere information og data
Harmonisering af dataindsamling i lufthavnsbutikker samt øge bevidstheden blandt rejsende om indsamling og behandling af data

Tre anbefalinger gives specifikt til Europa-Kommissionen:

Håndhævelse og anvendelse af retningslinjer for EU-regelsættet
Tilpasning af både industrielle og samfundsmæssige behov i forskningen samt etiske grænser for forskningen
Behov for konsekvensanalyser og piloter med hensyn til nye teknologier før implementering

Rapporten oplister følgende risici som de mest betydningsfulde:

Svigtende reservation, check-in og boarding procedure – proceduremæssige/ operationelle fejl og andre organisatoriske afbrydelser
Problemer i forbindelse med udstedelse/kontrol af e-visa – f.eks. risikoen for staters manglende evne til at udstede og kontrollere brugen af elektroniske visa på grund af systemfejl, svigt af udstyr og identitetstyveri
Tab eller brud på borgerens/pasagererens privacy – IoT er karakteriseret ved forekomsten af udstyr, sensorer, læsere, og applikationer, som har potentialet til at indsamle en flerhed af datatyper om enkeltpersoner, der bevæger sig i disse miljøer
Kompromittering og misbrug af statsejede person- og passager databaser
Genbrug af data/function creep – risikoen for, at data vil blive brugt til formål, enten som supplement eller helt andre, som oprindeligt var angivet
Bekymring i forbindelse med sundhedsbehandlinger – Det forventes, at IoT vil skabe betydelige konsekvenser for fremtidig levering af grænseoverskydende sundhedsydelser
Bruger frustration og lille grad af brugeraccept
Aggressiv profilering og social sortering fører til social udstødelse – I et omfattende interaktivt miljø som IoT er dataindsamling og profilering kendsgerninger som ikke nødvendigvis er negative som sådan. Imidlertid vil overdreven dataindsamling og profilering uundgåeligt føre til social sortering i henhold til kommercielle eller andre formål, der kan føre til udstødelse af mennesker og hindre adgang til forskellige tjenester
Lovgivningen halter bagud i forhold til den hurtige teknologiske udvikling
Manglende overholdelse af persondatalovgivning

For så vidt angår biometri, som dette indlæg herefter vil koncentrere sig om, omtaler rapporten en række scenarier hvori indgår biometriske procedurer i forbindelse med automatisk autentifikation, der er relevant som en del af de såkaldte fast-track programmer ved check-in og boarding. For at speede boarding proceduren op anvendes såkaldt smart boarding,der er et passager management system, hvor passageren allerede er identificeret på baggrund af det link der er etableret mellem check-in systemet og boarding kontrol via DCS (departure control system). Af eksempler kan nævnes det såkaldte Privium system i Schipol og det automatiske system i gateområdet i Heathrow’s terminal 5. Imidlertid forudsætter et sådant system en forhåndsgodkendelse af det pågældende lands datatilsyn, fordi private firmaer ikke umiddelbart kan få adgang til de biometriske data, der er gemt i e-passets chip, hvilket har fået flere flyselskaber, f.eks. Air France, til at lancere egne proprietære systemer for intra-Shengen flyvninger.

I en præcisering af beskyttelsesværdige materielle værdier fremhæver rapporten som en høj værdi e-pas og ID-kort, der betegnes som ny generation IoT smart ID med embedded RFID, digitalt foto og biometriske data (f.eks. fingeraftryk og irismønstre). Ligeledes betragtes specifikt mobiltelefonen og PDA´en som et medie af høj værdi.

I den efterfølgende fortegnelse af større risici bliver der i underkategorien “organisatoriske og policy risici” gjort en særlig bemærkning om lagring og indsamling af biometriske data i statslige centraldatabaser. Det hedder endvidere, at “en sammenkædning af identitet med biometri ofte er blevet fremført som værende problematisk på grund af risikoen for, at sådanne data kan kompromitteres. Mens passwords eller pinkoder kan ændres, er dette ikke tilfældet, såfremt en identitet er blevet afsløret ved brug af biometri…” Og længere henne hedder det: “Tab eller kompromittering af biometriske data repræsenterer en unik og stor potentiel skaderisiko i form af identitetstyveri” samt at “unøjagtige data kan medføre, at borgerne kan blive identificeret forkert som ‘mistænkte’ (falske positiver), hvorimod faktiske gerningsmænd ikke vil blive behørigt afsløret (falske negativer).” Det bemærkes herefter at “automatiske procedurer med anvendelse af biometri til kontrol i databaser muligvis ikke er det ultimative universalmiddel i forbindelse med identitetsproblemer.”

I sammenhæng med risikoen for aggressiv profilering og social sortering, der kan lede til social udstødelse, nævner rapporten specielt det forhold, at biometrisk udstyr kan udelukke visse kategorier af personer på grund af selve måden de fungerer på. Eksempelvis kan både meget gamle og unge have problemer med at afgive fingeraftryk eller gennemføre iris-scanninger (øjensygdomme osv.). Fingeraftryks- og irisscannere betragtes også som en teknisk risiko, idet de kan være ineffektive i forhold til visse ældre passagerere eller personer med fingerskader. Sådanne risici anses for at være en såkaldt “ikke-ondsindet “fejl” ved de biometriske sensorer og som en teknologisk begrænsning, hvor manuelle processer vil være en løsning heraf.

I listen over sårbarheder og trusler (bilag I) er det interessant, at “overafhængighed af biometri” betragtes som en sårbarhed (v23). Det nævnes, at biometrisk identifikation har relativt høje fejlprocenter (især automatisk ansigtsgenkendelse). Selv om moderne biometriske sensorer (især fingeraftryk og iris) er vanskelige at kompromittere (liveness detection), så er det stadig muligt at spoofe dem. Det er en vigtig sikkerhedsfaktor at have kendskab til mangelfulde biometriske systemer, jfr. Large-scale Biometrics Deployment in Europe: Identifying Challenges and Threats.

Det er også vigtigt at gøre opmærksom på listens angivelse af “statens overvågning af borgerne” som en trussel (t26). en ubegrundet politisk dagsorden fører ofte til en overdreven overvågning af borgerne. Enhver omtalt sag (sandfærdig eller opfundet) svækker på dramatisk vis tilliden til og accepten af teknologi (især biometri og RFID). Endelig kan man nævne “ringe accept af udstyr/procedurer” (t30). RFID opfattes af mange som en trussel mod privacy (“spychips”). I forbindelse med en offentlig EU-høring om RFID var de fleste bekymringer relateret til privacy. Også nogle biometriske teknologier har lav social accept, særligt fingeraftryk, som i almindelighed betragtes som knyttet til strafferetlig efterforskning.

Som det fremgår ovenfor er et af rapportens forskningsanbefalinger såkaldt multi-modal autentifikation. Automatisk autentifikation anses for at være nøglen til en effektiv og sikker operationel procedure i lufttransportsystemet. Erfaringerne viser imidlertid, at de nuværende implementeringer af biometriske systemer stadig viser visse svagheder, selv om de i princippet synes at være lovende. Brug af multifaktor autentificering (f.eks password plus biometri, biometri plus token) har potentialet til at hæve sikkerheden generelt. På samme måde vil multimodal biometri (parallel anvendelse af en flerhed af biometriske teknologier) gøre autentifikationsprocessen mere robust overfor fejl og omgåelse. Et andet aspekt er muligheden for at øge systemets fleksibilitet ved anvendelse af alternative autentificeringsfaktorer i de tilfælde, hvor den primære autentificering ikke er til rådighed (f.eks iris scanning for personer, der ikke har fingeraftryk).

Konklusionen er en anbefaling om mere forskning og udvikling af biometriske procedurer til autentifikation, dels for så vidt angår specifikke teknologier, dels for så vidt angår multimodal løsninger, der kombinerer forskellige teknologier med henblik på at overvinde deres individuelle svagheder.

Enisa-rapporten zoomer ind på 2 vigtige temaer, dels om den stigende betydning af IoT generelt og dels specifikt i relation til den enorme forøgelse af lufthavnssikkerheden i kølvandet på 11. september. Der er tale om menneskeskabte trusler og sårbarheder og ikke om naturskabte, som jo ellers er ret aktuelle med de islandske vulkanske sandkorn. Enisa´s risiko- og sårbarhedsanlyser og i den sammenhæng også de såkaldte PIA´er (privacy impact assessments) er gode værktøjer med henblik på security og privacy awareness om materielle og immaterielle værdier. Det er min opfattelse at der altid bør tages udgangspunkt i den personlige integritet og jeg synes at rapporten er opmærksom herpå. Jeg er også enig i, at der bør forskes mere i multifaktor autentificering og multimodal biometri. Imidlertid er det nærliggende at gøre opmærksom på, at et smart card med biometrisk kryptering kunne være et fremtidigt all in one rejsedokument, der i høj grad vil kunne imødegå en lang række af de opstillede risici i relation til centrale databaser og beskyttelse af den enkeltes privacy og persondata.

apr 2 2010

Kursus i biometri er en succes

I august 2006 tog Danish Biometrics initiativet til at oprette et kursus i biometri i samarbejde med Institut for Informatik og Matematisk Modellering under Danmarks Tekniske Universitet og Fraunhofer Institut für Graphische Datenverarbeitung (IGD).

Kurset udbydes under åben uddannelse, hvor alle kan deltage, hvis man har de nødvendige faglige forudsætninger, i modsætning til deltagerkredsen i AMU-uddannelserne. Kurset retter sig derfor også til medarbejdere i virksomheder med henblik på kompetenceudvikling og opkvalificering. Det er en kendsgerning, at fremtidens dygtige medarbejdere tiltrækkes af en virksomhedskultur, hvor uddannelse og udvikling er en selvfølge og det gælder selvfølgelig også i det segment, som Danish Biometrics dækker.

Selvom kurset er forskningsorienteret, så er indholdet i det væsentligste en generel introduktion, som vil være relevant for alle der beskæftiger sig profesionelt med biometri og dermed for alle medlemskategorier af Danish Biometrics.

Forelæser er professor Christoph Busch, som i international målestok er en af de ypperste kapaciteter indenfor biometrisk forskning og undervisning. Christoph Busch har deltaget i et utal af forskningsprojekter og er for tiden bl.a. involveret i the Turbine Project.

Cand. polyt. Mohammad Omar Derawi, der frekventerede kurset i 2008, afsluttede sit speciale med titlen “Multi-modal Biometric Authentication using Gait and Fingerprint on Mobile Devices” på Gjøvik University College. I specialet kombinerede Mohammad analyse af personlige gangarter med fingeraftryk for at udvikle en teknologi, der kan få mobiltelefoner til at genkende deres ejer og dermed fungere som tyverisikring. Han forsker nu videre i biometri på Center for Advanced Security Research Darmstadt i Tyskland. Læs mere om Mohammad Derawi her.

Om sit kursusophold på DTU udtaler Mohammad bl.a. følgende:

“Jeg vil gerne rose professor Busch for sin professionelle indsats og lærer-til-student vejledning. Læreren har en stor erfaring indenfor biometri og har givet en detaljeret beskrivelse af de vigtigste biometriske systemer man mest benytter i dag. Gennem de 3 uger har læreren dækket emnerne:
Fingeraftryksgenkendelse
Venegenkendelse
Ansigtsgenkendelse (inkl 3D)
Irisgenkendelse
e-pas
Multibiometriske systemer (kombinationer af flere biometrier)
Kvalitet af biometriske prøver
Mere information om kurset kan findes her. Kurset har været yderst interessant i hele forløbet. Det er spændende at se hverdags-eksempler på forskellige biometriske systemer. Der gives ikke kun en teoretisk forklaring, men der vises også praktiske eksempler. Derfor synes jeg at jeg har lært meget.”

Op imod 100 danske og udenlandske studerende med forskellig baggrund har fra starten i 2007 og indtil nu gennemført kurset, som i 2010 afvikles i de 3 første uger af juni og som allerede på nuværende tidspunkt er ved at være fuldtegnet. Et kursushold kan bestå af op til ca. 40 deltagere. Det er hensigten at videreudvikle kurset med yderligere moduler og Danish Biometrics vil indgå i en konstruktiv dialog med DTU og øvrige samarbejdspartnere herom. Vidensformidling og uddannelse er nemlig vigtige elementer i opbygningen af en fremtidsorienteret nicheindustri.

Danish Biometrics kan varmt anbefale kurset på DTU.

Secon 2013 to showcase latest technology in Video Surveillance, Access Control, Biometric Recognition, Alarm Monitoring
Online registration for SECON 2013 (International Security Conference & Exhibition 2013) has been announced. Visitors who pre-register at the SECON 2013 website can attend the event for free. The pre-registration ends on February 28, 2013. SECON 2013 is sponsored by three Korean ministries the Ministry of Knowledge Economy, the Ministry of Publi
editor@BiometricNewsPortal.com
New Biometric Terminals For Employee Self Service And Workforce Management From Accu-Time Systems
Accu-Time Systems, the leading global provider of biometric and non-biometric workforce management tools, has announced the immediate availability of the new Universal Series of terminals. This innovative range of workforce management and time and attendance terminals feature larger, full colour touchscreen displays, faster processors and rugged k
editor@BiometricNewsPortal.com
Biometric identification technologies, Neurotechnology showcases MegaMatcher 4.4 multi-biometric technology for large-scale applications and updates
Provider of high-precision biometric identification technologies, Neurotechnology, announced the release of MegaMatcher 4.4 multi-biometric technology for large-scale applications and updates to its entire line of biometric Software Development Kits (SDKs) for fingerprint, iris, voice, face and multi-biometric identification. Neurotechnology also
editor@BiometricNewsPortal.com
Neurotechnology Launches SkyBiometry Spin-off Company to Deliver SaaS Biometric Identification and Feature Analysis
SkyBiometry Provides a Cloud Platform for Fast, Accurate Biometric Technology, Introduces Face Biometrics Service with Face Detection, Feature Analysis and Identification SkyBiometry, a new company providing cloud-based biometric software as a service (SaaS), was officially launched yesterday as a spin-off of Neurotechnology, a trusted provider
editor@BiometricNewsPortal.com
FbF LiveScan for Defense Industry Applicant ID introduced by Fulcrum Biometrics
The availability of FbF® Live Scan Biometrics was announced by Fulcrum Biometrics, a leading international provider, distributor and integrator of biometric systems and devices. The FBI has certified that FbF LiveScan meets specifications listed in the Electronic Biometric Transmission Specification (EBTS) 9.3 Appendix F Live Scan Specifications of
editor@BiometricNewsPortal.com

Don't call it vaporware: Scientists use cloud of atoms as optical memory device 4. april 2013
Talk about storing data in the cloud. Scientists have taken this to a whole new level by demonstrating that they can store visual images within quite an ethereal memory device -- a thin vapor of rubidium atoms. The effort may prove helpful in creating memory for quantum computers.
New MRI method fingerprints tissues and diseases: Aims for fast and affordable scans, early and quick diagnoses 13. marts 2013
A new method of magnetic resonance imaging could routinely spot specific cancers, multiple sclerosis, heart disease and other maladies early, when they're most treatable, researchers say. Each body tissue and disease has a unique fingerprint that can be used to quickly diagnose problems, the scientists say.
Biometrics using internal body parts: Knobbly knees in competition with fingerprints 23. januar 2013
Forget digital fingerprints, iris recognition and voice identification, the next big thing in biometrics could be your knobbly knees. Just as a fingerprints and other body parts are unique to us as individuals and so can be used to prove who we are, so too are our kneecaps. Computer scientists have now demonstrated how a knee scan could be used to single us […]
Pocket test measures fifty things in a drop of blood 19. december 2012
A new device about the size of a business card could allow health care providers to test for insulin and other blood proteins, cholesterol, and even signs of viral or bacterial infection all at the same time —- with one drop of blood.
Long-wavelength laser will take better 'fingerprints' of medicines than chemical analysis, research suggests 19. december 2012
A laser capable of working in the terahertz range – that of long-wavelength light from the far infrared to 1 millimeter – takes a better 'fingerprint' of, say, a drug under investigation, than a traditional chemical analysis. Scientists have combined a free electron source with photonic crystals which has resulted in great flexibility within a comp […]

Hello world! 20. februar 2013
Welcome to WordPress. This is your first post. Edit or delete it, then start blogging!The post Hello world! appeared first on SecureIDNews.
avisian
Lorem ipsum dolores nect tactum nele voluptas 14. december 2012
There are many variations of passages of available, but the majority have suffered alteration in some form, by injected humour, or randomised words which don’t look even slightly believable. If you are going to use a passage of Lorem Ipsum, you need to be sure there isn’t anything embarrassing hidden in the middle of text. [...]The post Lorem ipsum dolores n […]
avisian
Natus error sit voluptatem perspiciatis unde omnis iste 14. december 2012
There are many variations of passages of available, but the majority have suffered alteration in some form, by injected humour, or randomised words which don’t look even slightly believable. If you are going to use a passage of Lorem Ipsum, you need to be sure there isn’t anything embarrassing hidden in the middle of text. [...]The post Natus error sit volup […]
avisian
Publishing packages and web page editors now use 26. november 2012
In odio proin magnis turpis ultrices risus parturient pulvinar diam. In rhoncus, nec cursus sagittis etiam, sed. Arcu, penatibus placerat! Lacus! Rhoncus purus amet proin placerat montes integer, porttitor, turpis. Ultricies elit? Rhoncus, porttitor nunc placerat sagittis lacus sed, ultrices magnis mus mauris porta nec.The post Publishing packages and web pa […]
avisian

Chinese hackers said to have accessed law enforcement targets 21. maj 2013
More that three years after what came to be known as Operation Aurora, it appears that the cyber marauders were after more than just information on activists.
(John P. Mello, Jr.)
The true root causes of software security failures 21. maj 2013
Developers being overly trusting is one of them.
(Kenneth van Wyk)
Chinese hackers master art of lying low 20. maj 2013
China's remarkable success in infiltrating U.S. government, military and corporate networks in recent years shouldn't be seen as a sign that the country is gaining on the U.S. lead in cybertechnology, security experts say. They're just very persistent and very good at remaining undetected for long periods of time.
jvijayan@computerworld.com (Jaikumar Vijayan)
Security Manager's Journal: NAC deployment means better access control at last 20. maj 2013
The deployment has already revealed a whole lot of devices that don't meet the criteria for getting on the corporate network.
mathias_thurman@yahoo.com (Mathias Thurman)
Texas drone bill sparks a battle 17. maj 2013
The battle to find a balance between privacy concerns and the beneficial use of drones for commercial and law enforcement purposes is in sharp focus in a bill that's winding its way through the Texas legislature.
jvijayan@computerworld.com (Jaikumar Vijayan)

	Stephan Engberg on Ny dansk forskning i biometri…
	Bénédicte Lunde-Chri… on Ny dansk forskning i biometri…
	Stephan Engberg on Ny dansk forskning i biometri…
	Frederik Kortbæk on Ny dansk forskning i biometri…
	Stephan Engberg on Ny dansk forskning i biometri…

Danish Biometrics

Interessent- og formidlingsnetværk til fremme af ansvarlig anvendelse af biometri til automatisk genkendelse af mennesker

Månedsarkiv: april 2010

Ny ENISA risikoanalyserapport om flyrejser med it-i-alting og RFID berører biometri

Kursus i biometri er en succes

Follow “Danish Biometrics”

m	ti	o	to	f	l	s
« mar				maj »
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30

Del med andre:

Like this:

Del med andre:

Like this:

Follow “Danish Biometrics”