Danish Biometrics har afgivet høringssvar over udkast til forslag til lov om ændring af lov om pas til danske statsborgere mv.

Danish Biometrics har afgivet følgende høringssvar over udkast til forslag til lov om ændring af lov om pas til danske statsborgere mv. (fingeraftryk i pas), der vedrører indførelse af et gebyr på 25 kr. for optagelse af fingeraftryk:

Med henvisning til Justitsministeriets henvendelse 10. marts 2011 vil Danish Biometrics gerne knytte følgende bemærkninger til lovudkastet.

I henhold til Rådets forordning nr. 2252/2004 af 13. december 2004, som ændret ved forordning nr. 444/2009 af 28. Maj 2009, artikel 1 fremgår det af stk. 2a, ”at følgende personer er fritaget for kravet om at afgive fingeraftryk:

a) børn under 12 år

Aldersgrænsen på 12 år er foreløbig. Den i artikel 5a nævnte rapport skal indeholde en revurdering af aldersgrænsen, om nødvendigt ledsaget af et forslag om ændring af aldersgrænsen. Uden at det berører konsekvenserne af gennemførelsen af artikel 5a, kan medlemsstater, der i deres nationale lovgivning, vedtaget inden den 26. juni 2009, har fastsat en aldersgrænse på under 12 år, anvende denne aldersgrænse i en overgangsperiode på op til fire år efter den 26. juni 2009. Aldersgrænsen i overgangsperioden må dog ikke være på under seks år.

b) personer, hvor det er fysisk umuligt at optage fingeraftryk.”

Endvidere fremgår det af stk. 2b, at

”Såfremt det midlertidigt er umuligt at optage fingeraftryk af de foreskrevne fingre, tillader medlemsstaterne, at der optages fingeraftryk af de andre fingre. Er det også midlertidigt umuligt at optage fingeraftryk af nogen andre fingre, kan medlemsstaterne udstede et midlertidigt pas med en gyldighed på 12 måneder eller derunder.”

Uanset skannerudstyrets aflæsningsnøjagtighed og betjeningsvenlighed eller operatørens faglige kompetence vil der altid være personer, hvis fingeraftryk det fysisk ikke er muligt at optage. Det kan eksempelvis skyldes disse personers arbejde, som det har været tilfældet med et ganske vist lille antal keramikere, hvis fingeraftryk har været så ”hårde”, at de ikke har været muligt at optage på det af Bornholmstrafikken (nu BornholmerFærgen) anvendte biometriske udstyr for pendlere.

Det er Danish Biometrics opfattelse at en fysisk umulighed ikke bør komme disse personer til last, hvorfor det derfor ikke synes rimeligt, at der også skal betales et om end mindre gebyr i de situationer hvor det viser sig, at der ikke kan optages et brugbart fingeraftryk samtidig med at EU-Forordningen faktisk fastslår, at disse personer er fritaget for kravet om at afgive fingeraftryk.

Det er Danish Biometrics indstilling, at fleksibilitet og størst mulig hensyntagen til borgeren også for så vidt angår gebyrfastsættelsen er et succeskriterium for borgerens tillid til det biometriske pas og dets implementering.

Selvom gennemførelsen af det danske biometriske pas, der som bekendt udspringer af EU-regulering og ICAO standardisering, ligger fast og ikke er genstand for det konkrete lovudkast, benytter Danish Biometrics afslutningsvis desuagtet lejligheden til at gøre opmærksom på den teknologiske løsnings tekniske implikationer med hensyn til sikkerhed og persondatabeskyttelse og at identifikations- og autentifikationsteknologien på sigt bør forbedres med afsæt i principper om security og privacy by design.

Med venlig Hilsen

Frederik Kortbæk, koordinator, cand.jur.
Bénédicte Lunde-Christensen, specialkonsulent, cand.jur.

Download høringssvaret her.

Download lovforslaget med bemærkninger her.

jan 6 2011

Eurosmart offentliggør spændende hvidbog om biometri

Eurosmart, en international organisation for smart card industrien og med Danish Biometrics som associeret medlem, har netop offentliggjort en 75 siders hvidbog om biometri med titlen: “Smart Biometrics for Trust and Convenience”.

Hvidbogen behandler den biometriske teknologis “state of the art” med de bedste casehistorier og tekniske valg ved en implementering i kombination med smart card-teknologi. Undersøgelsen omfatter også idéen om at indføre biometriske kendetegn for fysiske dokumenter, identifikation af casehistorier og teknikker samt endelig fordele ved at sammensætte menneskelige så vel som fysiske biometriske karakteristika. Hvidbogen giver også anbefalinger om anvendelsen af biometri i forbindelse med identifikation og autentifikation af personer og varer.

I forordet understreger Marc Bertin, formanden for Eurosmart, at biometri kan bidrage positivt til at reducere identitetstyveri (phishing) og skimning af betalingskort samt styrke tilliden til elektroniske transaktioner og gøre en sikkerhedsløsning mere bekvem for brugeren. Det er Eurosmarts vision, at persondata, herunder især biometriske referencer bør gemmes på et smart card og Ifølge Eurosmart kan teknologien ikke tillægges en bestemt iboende værdi som enten god eller dårlig.

Biometri skal både kunne yde sikkerhed og sikre respekten for etiske bekymringer samt beskyttelsen af privatlivets fred. Dette formål vil nemmere kunne blive opfyldt, når biometri kombineres med smart card-teknologi (side 6). Det understreges endvidere, at det er bedre at anvende en kombination af “noget man har” og “noget man er” fordi det giver en meget høj grad af tillid.

Udover den gængse kategorisering af biometri i fysiske og adfærdsmæssige karakteristika, opstiller hvidbogen en hidtil uset term i form af “objekt biometri” (object biometrics). Betegnelsen dækker over biometriske metoder, der gengiver et naturligt fænomen for en genstands elementer eller egenskaber ( kaotiske og målbare) som for eksempel overflade tilstand, bobler i materialet eller fabrikationsfejl. Digital vandmærkning og bubble tags nævnes som eksempler på objekt biometri. Når et digitalt vandmærke eller en bobble tag knyttes til et objekt eller et dokument, kan objektet eller dokumentet entydigt identificeres eller autentificeres som den eneste original.

Hvidbogen fremhæver bl.a. brug af elektronisk signatur eller digital signatur (i princippet ikke at forveksle med såkaldte digitale certifikater, der per definition indgår i PKI-løsninger) i forbindelse med biometri. Ligesom en håndskreven underskrift anvendes den elektroniske signatur som et uigendriveligt bevis på brugerens godkendelse af en elektronisk kontrakt eller transaktion. Elektroniske signaturer er normalt baseret på asymmetriske kryptografiske algoritmer, såsom RSA algoritmen. Deres juridiske gyldighed er lovreguleret i mange lande og i Europa. Det er muligt at generere en stærk kryptografisk nøgle baseret på brugerens biometriske kendetegn.

Netop fordi hidtidig nøglegenerering og lagringsmekanismer har vist deres svaghed, er der i de senere år udviklet en teknologi kaldet bio-kryptering (også benævnt biometrisk kryptering eller cryptobiometrics), der styrker forbindelsen mellem den elektroniske signatur og brugeren. Det vil herefter være umuligt at benægte en aftale/transaktion, der er underskrevet på denne måde og således under brugerens fulde kontrol. Biometri og digital signatur, som en del af et PKI ( Public Key Infrastructure) system og indlejret på et smart card til håndtering af disse certifikater og deres tilhørende nøgler, er en oplagt teknologianvendelse i forbindelse med en ny generation af NemID og et fremtidigt dansk borgerservciekort. I øvrigt kan henvises til Turbine projektet, der senere i år afslutter flere års forskning i biometrisk kryptering på klient og match on card, der er yderst relevante autentifikationsmekanismer i denne sammenhæng.

Hvidbogen henviser til et Frost & Sullivan forecast fra juli 2009 (hele analysen kan erhverves hos Frost & Sullivan mod betaling), der forudsiger en biometrisk omsætning i Europa på ca. 250 millioner Euro i 2010 og en CAGR på 25 % frem til 2015. Barrierer for markedsudviklingen bedømmes at være:

den generelle økonomiske nedtur
privacy bekymring
utilstrækkelig læring og uddannelse samt
forsinkelse i statslige projekter

Markedsdrivere angives at være:

forøget fokus på sikkerhed
statslige projekter
brug af biometri i sundhedsvæsenet samt
forbrugerelektronik: autentifikation af brugere for adgang til PC`ere, PDA´ere, smartphones osv.

Hvidbogens afsæt i biometriens anvendelsesmuligheder i forhold til smartcard infrastrukturen og Eurosmart´s generelle anbefalinger er interessante. Især er de omfattende casebeskrivelser med pragmatiske og etiske kriterier glimrende som et nyttigt praktisk værktøj. Rekommandationen om en national komite, der skal vurdere privacy samt etiske og lovmæssige forhold ved biometri kan i princippet tiltrædes.

Et meget rigtigt synspunkt, som går igen i mange af anbefalingerne, er betydningen af gennemsigtighed samt fuldt ud dækkende information og reel dialog i forhold til den enkelte, der bliver berørt af løsningen. Det er nemlig i hovedsagen ikke teknologien og systemerne, der er udfordringen, men de til enhver tid eksisterende organisatoriske forhold og holdninger samt lovgivning, der står i vejen for en fordomsfri debat og hensigtsmæssig udnyttelse af teknologien.

Med hensyn til introduktionen af begrebet “objekt biometri”, så er jeg ikke umiddelbart begejstret herfor. Biometri er som navnet antyder knyttet til et menneske eller en levende organisme (bio- af græsk bios ‘liv’) og det er teknologiens særegne egenskab. Derfor vil det efter min opfattelse ikke give mening, såfremt det pågældende objekt ikke på en eller anden måde i forbindelse med implementeringen af metoden, linkes til en bestemt person. Definitioner, kriterier og betegnelser for en terminologi skal altid være meget stringente, især når der er tale om komplicerede og i manges øjne kontroversielle teknologiløsninger med etiske problemstillinger.

Det er klart at biometri som unik genkendelsesteknologi nyder almindelig respekt, men det kan ikke accepteres, at andre teknologier, som givetvis også kan integrere en uomtvistelig identifikator i genstande og medier, gør brug af termen biometri, når betingelserne herfor rent faktisk ikke er opfyldt. Konsekvensen vil blot blive en udvanding af begrebet biometri. Jeg kan godt se, at der kan ligge markedsføringsmæssige overvejelser til grund for betegnelsen, men det er ikke et valid argument. Det anbefales i samarbejde med JTC 1/SC 37/WG 1 at gøre brug af en anden term.

okt 13 2010

Kritisk men konstruktiv rapport om biometri fra National Academies

Rapporten med titlen “Biometric Recognition: Challenges and Opportunities” er udgivet af the National Academies, der kan sammenlignes med Teknologirådet, og offentliggjort 24. september 2010.

Rapporten fastslår i et sammendrag, som en af de første konklusioner, at biometriske systemer, designet til automatisk at genkende personer på grundlag af biologiske og adfærdsmæssige egenskaber såsom fingeraftryk, håndaftryk, stemme- eller ansigtsgenkendelse, er indbygget med fejl. Yderligere forskning er nødvendig for at forfine videnskaben og forbedre systemeffektiviteten på stort set alle niveauer af design og drift.

“I næsten 50 år, har løftet om biometri overhalet anvendelsen af teknologien,” siger Joseph N. Pato, formanden for det udvalg, der har udarbejdet rapporten og Palo Alto, teknolog hos Hewlett-Packards HP Laboratories, Californien udtaler: ”Mens nogle biometriske systemer kan være effektive til specifikke opgaver, så er de er ikke nær så ufejlbarlige som en populærvidenskabelig fremstilling kunne antyde. En styrkelse af videnskaben er afgørende for at opnå en fuldstændig forståelse af styrker og svagheder ved disse systemer.”

Rapporten har to hovedpointer:

Udviklere og analytikere skal være opmærksom på, at systemer til biometrisk genkendelse er meget komplekse
Biometriske systemer er af probabilistisk natur

Biometriske systemer anvendes i stigende grad til at regulere adgangen til faciliteter, information og andre rettigheder eller fordele, men der sættes stadig spørgsmålstegn ved effekten som sikkerheds- eller overvågningsmekanisme. Systemerne giver “probabilistiske resultater”, hvilket betyder, at tilliden til resultaterne skal styrkes ved en forståelse af den iboende usikkerhed i et givent system, hedder det i rapporten. Det noteres, at når sandsynligheden for en bedrager er sjælden, så kan selv systemer med meget præcise sensorer og matchkapaciteter have en høj andel af falske alarmer. Det kan blive omkostningskrævende eller endda farligt i systemer, der er designet til at give øget sikkerhed; for eksempel kan operatører blive lemfældige med behandlingen af potentielle trusler.

Rapporten peger på en lang række kilder til usikkerhed, som man skal tage i betragtning i systemdesign og drift af de biometriske systemer. For eksempel kan biometriske kendetegn variere i et menneskes liv på grund af alder, stress, sygdom eller andre faktorer. Tekniske spørgsmål vedrørende kalibrering af sensorer, nedbryde data, og brud på sikkerheden kan også bidrage til en variation i disse systemer.

Biometriske systemer skal udformes og evalueres i forhold til deres specifikke formål og i den sammenhæng, hvori de bliver brugt, hedder det videre i rapporten. Overvejelser om system-niveau er afgørende for en vellykket indførelse af biometriske teknologier. Effektivitet afhænger i lige så høj grad af faktorer som den enkelte operatørs kompetence, så vel som den underliggende teknologi, teknik, og testregimer. Veltilrettelagte processer til at styre og korrigere problemer skal være på plads.

Rapporten konstaterer, at biometrisk genkendelse nøje skal overvejes som en del af en samlet sikkerhedssystem. Fordele og risici ved biometrisk genkendelse i forhold til andre identifikations- og autentifikationsteknologier bør nøje overvejes. Ethvert biometrisk system, der er udvalgt til at tjene et sikkerhedsformål, bør gennemgå en grundig risikovurdering med henblik på at fastslå dets sårbarhed over for direkte angreb. Tillid til den biometriske genkendelsesproces kan ikke baseres på hemmeligholdelse af data, eftersom et menneskes biometriske karakteristika kan blive offentlig kendt. Desuden siger rapporten, at sekundære screeningsprocedurer, der anvendes i tilfælde af en systemfejl, bør være lige så godt designet som det primære system.

Rapporten peger på flere funktioner, som et biometrisk system bør indeholde. Systemer bør udformes med henblik på at forudse og planlægge for fejl, selv om de forventes at være sjældne. Yderligere forskning inden for alle aspekter af design og drift er nødvendig, fra at studere fordeling af biometriske karakteristika i en given befolkning til at forstå, hvordan folk interagerer med teknologierne. Desuden kan sociale, juridiske og kulturelle faktorer få betydning for disse systemers effektivitet og accept, som det hedder det i rapporten.

Rapporten opstiller en række principper for implementering af et biometrisk system som er følgende:

Biometri har begrænsninger
Best practice for testning og evaluering
Best practice for design og udvikling af biometriske systemer og operationsprocesser
Systemkrav skal være kontekstorienteret
Sociale, retlige og kulturelle faktorer skal være en del af systemdesignet
Yderligere forskning på alle niveauer er nødvendig, fordi biometrisk genkendelse har national betydning

Af særlig interesse kan det nævnes, at rapporten understreger, at andre autentifikationsteknologier som passwords og tokens placerer tillid hos brugerne ved at lade dem selv fremvise hvad de ved eller har på sig. Men disse andre former for autentifikation beskytter ikke mod at dele eller videregive en token eller hemmelighed, hvorimod et biometrisk kendetegn er bundet til et bestemt individ, specielt noget det pågældende individ er eller gør. En konsekvens heraf er imidlertid, at en utilsigtet afsløring af biometriske data kan medføre mere seriøse konsekvenser eller til konsekvenser, som er vanskeligere at afhjælpe end tabet af en token eller afsløring af et password.

Endvidere er det fundamentalt sådan, at et biometrisk match ikke repræsenterer en sikker genkendelse, men en sandsynlighed for en korrekt genkendelse, fordi det implicerer både en automatiseret genkendelse og en menneskelig fortolkning heraf. Et såkaldt falsk match og et såkaldt falsk ikke-match vil forekomme.

En anden vigtig ting, som rapporten drager frem er at have et bredt funderet systemoverblik, når man skal vurdere et biometrisk systems præstationsevne. Såvel begejstring som bekymring for biometrisk genkendelse synes at fokusere snævert på adfærdsmæssige og biologiske karakteristika, menneskelig interaktion med biometriske sensorer eller hvordan indsamlet information skal behandles. Imidlertid indebærer den effektive brug af biometri mere end simpel konstruktion af et system af disse basiskapaciteter, nemlig en korrekt funktionalitet af et bredt system med mange elementer, herunder den menneskelige datakilde, de menneskelige systemoperatører, miljøet for dataindsamling, biometriske sensorer, kvaliteten af systemets forskellige teknologiske komponenter, den menneskelige-sensor-miljø interaktion, databasen for den biometriske reference information og kvaliteten og integriteten af de opbevarede data, systemets security og tilgængelighed, systemets kommunikationsnetværk og systemets fejlhåndtering og processer for fejlafhjælpning.

Undersøgelsen er blevet finansieret af the Defense Advanced Research Projects Agency, Central Intelligence Agency (CIA) og U.S. Department of Homeland Security, med bistand fra National Science Foundation.

I en kommentar til rapporten vil jeg gerne fremhæve, at selvom National Academies er en meget velanskrevet organisation og selvom rapportens forfattere er meget kompetente, så er de problemstillinger som rapporten tager op gammelkendte. Det er især ikke nogen revolutionerende opdagelse, at biometri ikke er ufejlbarlig. Det er der ingen teknologi der er. Man kan så med en vis ret spørge, hvorfor de biometriske systemer ikke fungerer mere tilfredsstillende og har et langt større marked ? Hertil er at sige, at teknologien faktisk er forbedret signifikant i de seneste år på trods af dens kompleksitet og til trods for at biometri som noget ganske enestående (men med rette) står overfor social-etiske og retlige udfordringer.

Men biometriens unikke egenskab gør, at man ikke bare skal skrotte den, men at man tværtimod skal udnytte den på en teknisk så vel som social-etisk forsvarlig måde. Rapporten tjener hermed to gode formål, nemlig dels at fremme mere forskning og udvikling af nye løsninger og dels at fremhæve en række pointer om biometri, som ofte går tabt i den løbende debat.

IBIA, der tilsyneladende opfatter rapporten som unødvendig kritisk og mindre konstruktiv, har på den baggrund fundet det betimeligt at reagere på industriens vegne med en pressemeddelelse, som der henvises til her.

Et sammendrag af rapporten (31 sider) kan downloades her, mens hele rapporten (183 sider) mod forregistrering er tilgængelig her.

aug 31 2010

PrivatTek 2010

Privatlivsbeskyttelse og sikkerhed – en god og tryg symbiose for teknologisk design

Dansk Privacy Netværk, Danish Biometrics, CenSec, Sikkerhedsbranchen, Teknologisk er initiativtager til en ny event PrivatTek 2010, der vil sætte fokus på privatlivs- og persondatabeskyttelse. Arrangementet afvikles som en formiddagskonference fredag den 10. september kl. 9.00-13.00 2010 i Landstingssalen på Christiansborg.

Beskyttelsen af persondata og den enkelte brugers kontrol af egne data er et højaktuelt tema i den intensiverede digitalisering af samfundet. Som bekendt er det muligt at lave et teknologidesign og implementering til sikring af privacy. Disse løsninger, der med et noget nørdet udtryk betegnes som privacy enhancing technologies, er et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket behandling af persondata uden at miste datasystemets funktionalitet.

Udviklingen af principper om ”privacy by design” og privacy enhancing technologies vil få stigende betydning i forbindelse med f.eks. den kommende revision af EU´s persondatadirektiv. Sammen med yderligere forventet EU-lovgivning, en øget standardisering og certificering vil det uden tvivl få en positiv afsmitning på produktudviklingen og indførelsen af disse løsninger og her kan danske it-sikkerhedsleverandører få en vigtig rolle at spille. På PrivatTek 2010 vil en række eksperter give en ”state of the art” på den nugældende lovgivning og hvorledes teknologier, der normalt opfattes som overvågningsteknologier, herunder biometri, CCTV og RFID også kan designes og anvendes på en privacybeskyttende måde.

Privacy enhancing technologies er et begreb, der er stort set ukendt for den almindelige borger og det hænger uden tvivl sammen med, at der kun findes relativt få løsninger på markedet og at de hverken er brugervenlige endsige forståelige i en dagligdags sammenhæng. Alt for længe er debatten om disse teknologiløsninger, som faktisk allerede så dagens lys for over 10 år siden, foregået fortrinsvis i forskningskredse i udlandet. Det er på tide at rejse en offentlig debat samtidig med at både EU-Kommissionen så vel som politikere i Europa i stigende grad erkender, at privatlivsfremmende teknologier kan styrke persondatabeskyttelsen.

Det er et af konferencens hovedformål at formidle en sammenhængende viden og indsigt i “øjenhøjde” til den brede offentlighed om organisatoriske, retlige, etiske og især teknologisk/tekniske aspekter af persondatabeskyttelse og privacy.

Konferencen er gratis og åben for alle, men henvender sig især til beslutningstagere, der beskæftiger sig med information og kommunikation inden for den offentlige og private sektor, It-professionelle, jurister, økonomer, erhvervsledere, iværksættere, politikere og journalister.

Konferencen vil blive optaget på video med efterfølgende on demand streaming.

PrivatTek 2010 åbnes af professor dr. jur. Linda Nielsen, formand for videnskabsministerens It-sikkerhedskomite.

Agenda

Konferenceleder: Søren Duus Østergaard, adm. direktør, Duus Communications ApS

Indregistrering og morgenkaffe
Velkommen v/ direktør Frederik Kortbæk, FK Consulting, koordinator for Dansk Privacy Netværk
Åbningstale v/ professor dr. jur. Linda Nielsen, formand for IT-sikkerhedskomiteen
Video i teknisk og retligt perspektiv v/ direktør Kasper Mikkelsen, Sikkerhedsbranchen
Teknologianvendelse og persondataloven v/ kontorchef Lena Andersen, Datatilsynet
Systematisk Innovation med enterprise arkitektur v/ CEO Allan Bo Rasmussen, EA Fellows ApS
Kaffe/strække-ben pause
Et visionært teknologidesign v/ lektor Christian Damsgaard Jensen, Danmarks Tekniske Universitet
Incitamenter for privatlivsfremmende teknologier v/Scientific Officer Oluf Nielsen, European Commission, Directorate General Information Society and Media
Paneldebat
Behovet for klare retningslinjer, love og teknologier til beskyttelse af privacy er efterhånden blevet bredt anerkendt. Paneldebatten vil diskutere problemerne med privatlivets fred i nutidens sammenkoblede elektroniske samfund og mulige bæredygtige løsninger.
Deltagere:
MF Yildiz Akdogan, Socialdemokraterne
Lektor Peter Lauritzen, Århus Universitet
Direktør Lars Klüver, Teknologirådet
Direktør Kasper Mikkelsen, Sikkerhedsbranchen
Moderator: redaktør Jan Horsager, Computerworld
Frokost

Download det uddybende konferenceprogram med diverse praktiske oplysninger her.

Der er nu officielt lukket for tilmelding til konferencen. Efterfølgende tilmelding kan dog efter omstændighederne finde sted. For yderligere oplysninger kontakt venligst sekretariatet for Dansk Provacy Netværk.

Sidst opdateret: 8.9. 2010

Konferencens sponsorer

jun 14 2010

Biometri i går, i dag og i morgen

Fredag den 28. maj 2010 afholdt Danish Biometrics sit 2. netværksmøde med over 30 deltagere. Mødet, som blev holdt i Logica Danmark A/S’s lokaler, havde følgende hovedpunkter:

• Paneldebat om Teknologirådets rapport Biometri – brug af biometriske teknologier i det danske samfund.
• Foredrag om identifikation i retsmedicin v/Peter Juel Thiis Knudsen, Vicestatsobducent, Retsmedicinsk Institut, Syddansk Universitet.
• Præsentation af Logica Danmark A/S’s netop indviede innovationscenter.

Danish Biometrics bringer her et referat af paneldebatten om Teknologirådets rapport med titlen “Biometri i går, i dag og i morgen”, idet vi anser rapporten og dens anbefalinger som et vægtigt bidrag til en fortsat lødig debat om biometri.

Teknologirådets bestyrelse har i samråd med IT- og Telestyrelsen valgt at gennemføre en teknologivurdering af biometri. Projektets formål er at vurdere, hvilke fordele og problemer udbredelsen af biometriske teknologier fører med sig.

Rapporten indeholder:
• Et sæt anbefalinger til lovgivere, myndigheder, virksomheder og privatpersoner om hensigtsmæssig brug af biometriske teknologier.
• En debatterende del, hvor mulighederne og problemstillinger tematiseres og perspektiveres.
• En beskrivende del, hvor karakteristika ved de forskellige teknologier bliver gennemgået.

Rapportens indhold findes endvidere på hjemmesiden www.biometri.info, hvor det bl.a. er muligt i en holdningsundersøgelse at give sin mening til kende.

Indledningsvis præsenterede projektleder, Jacob Skjødt Nielsen, Teknologirådets rapport. Jacob Skjødt Nielsen præciserede i denne forbindelse bl.a., at det er vigtigt ikke at glemme privacy og sikkerhed i forbindelse med udviklingen af biometriske løsninger. Det er endvidere ønskeligt, at den enkelte person bevarer kontrollen med egne data, hvor en mulig løsningsmodel kunne være ”match on card”-teknologi.

Efter denne præsentation gennemgik Søren Duus Østergaard, direktør, Duus Communications ApS, rapportens 10 anbefalinger for fremtidig brug af biometriske teknologier i Danmark. Ifølge Søren Duus Østergaard er det betænkeligt, at offentligheden grundet den øgede brug af biometri er blevet mindre opmærksom på, hvilke risici der er forbundet med ukontrolleret udnyttelse af biometri. Søren Duus Østergaard håber, at denne rapport vil være en øjenåbner for politikkerne.

I stedet for forhåndsgodkendelse, mener Søren Duus Østergaard, at man skal udarbejde generelle standarter for leverandører af biometriske løsninger, som løbende skal holdes ajour i takt med det aktuelle teknologiniveau. På længere sigt vil målet være at indføre en certificeringsordning med henblik på at sikre specifikke standarder.

Derefter var ordet frit. Ordstyrer var Frederik Kortbæk, direktør, FK Consulting, netværkskoordinator, Danish Biometrics.

Ifølge Martin Kiær, Principal Consultant, Logica Danmark A/S må man ikke undervurdere det menneskelige aspekt og en meget lavpraktisk tilgang i forbindelse med biometriske løsninger, da dette i sidste ende vil være udslagsgivende.

”Vi er Tordenskjolds soldater” udtalte Uffe Clemmensen, direktør, Quard Technology ApS meget sigende. Uffe Clemmensen stillede herudover det meget presserende spørgsmål: Hvordan får vi det her ud? (underforstået hvordan udbreder vi kendskabet til biometri?). Mulige løsningsforslag var bl.a. mere dialog og tværfagligt samarbejde med bl.a. myndigheder og erhvervslivet herunder eksempelvis Dansk Industri.

”Vi er ikke alene” lød det fra Allan Bo Rasmussen, Partner, EA Fellows. I et globalt samfund som vores, vil det ifølge Allan Bo Rasmussen være oplagt at udarbejde en international standard hvor bl.a. grundlæggende begreber defineres m.m.

Frederik Kortbæk henledte deltagernes opmærksomhed på personoplysningslovens § 74, hvoraf det fremgår, at brancheforeninger eller andre organer, som repræsenterer andre kategorier af private dataansvarlige har mulighed for, i samarbejde med Datatilsynet at udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i personoplysningsloven.

Herudover fremhævede Frederik Kortbæk pseudonymisering og biometrisk kryptering som et eksempel på en privatlivs-fremmende teknologi, som kan give biometri et markedsmæssigt gennembrud.

Et fremtidigt biometrisk borgerservicekort blev i flere omgange nævnt. Søren Duus Østergaard udtrykte undren over, at man ikke for længst havde taget fat på diskussionen og henviste i denne forbindelse til Tyskland, hvor et borgerservicekort allerede er taget i brug. Herudover blev det fremhævet, at brug af en mobiltelefon frem for et borgerservicekort vil have en række fordele (Jacob Skjødt Nielsen). Forskellige økonomiske aspekter blev ligeledes fremhævet af bl.a. Bjarne Jensen, Direktør, Scan-Tech Sikkerhedssystemer A/S, Martin Kiær, Principal Consultant, Logica Danmark A/S og Conny Borgström, Area Sales Manager, Speed Identity AB.

Omend der ikke er nogen teknologiforskrækkelse at spore blandt Fakta’s medarbejdere, er vi langt bagud i Danmark, udtalte John Ravn, Chefcontroller, Fakta A/S.

Lars Wellmann Thomsen, salgsdirektør, Max Manus A/S efterlyste mere synergi blandt eksisterende teknologier som f.eks. talegenkendelse. Dette tilsluttede Allan Bo Rasmussen sig under henvisning til, om det ikke er på tide at se nærmere på, hvordan biometri kan samarbejde med teknologier som RFID m.m.

”Nogle gange er det sundt, lige at træde et skridt tilbage for at se sammenhængene lidt på afstand” udtalte Martin Kiær afslutningsvis.

Opsummering:
• Vigtigt ikke at glemme privacy og sikkerhed i forbindelse med udviklingen af biometriske løsninger.
• Ønskeligt, at den enkelte person bevarer kontrollen med egne data, hvor en mulig løsningsmodel kunne være ”match on card”-teknologi.
• Indføre en certificeringsordning.
• Ikke undervurdere det menneskelige aspekt i forbindelse med biometriske løsninger.
• Mere dialog og tværfagligt samarbejde med bl.a. myndigheder og erhvervslivet herunder eksempelvis Dansk Industri.
• Udarbejde en international standard.
• I samarbejde med Datatilsynet at udarbejde adfærdskodekser, der skal bidrage til en korrekt anvendelse af reglerne i personoplysningsloven.
• Pseudonymisering.
• Brug af mobiltelefon frem for et borgerservicekort.
• Mere synergi.

Referent, stud. jur. Bénédicte Lunde-Christensen, Københavns Universitet.

Download referatet her. For yderligere oplysninger om netværksmødet tjek afholdte netværksmøder.

feb 20 2010

Visionen om et dansk borgerservicekort lever men handling efterlyses!

Der er god grund til at være tilfreds med, at videnskabsminister Helge Sander for nogle dage siden har udsendt en pressemeddelelse hvor et af de langsigtede initiativer i arbejdsprogrammet frem til 2020 er, at “danskerne skal tilbydes et biometrisk borgerkort af høj kvalitet og sikkerhed – forhåbentlig fra 2015.”

Visionen kommer sågar ind på en 3. plads næstefter at sikre den digitale signatur, NemID for alle danskere fra 1. januar 2011 og at det danske universitet i Beijing bygges, således at de første studerende og forskere kan tage det i brug i 2013.

Ministeren fremhæver, at vi allerede nu skal forberede os på tiden efter krisen og at ” ….vi skal være klar til at udnytte fremtidens muligheder.”

Det er en rigtig indstilling at have til et sådant stort projekt, som rummer mange fordele for både borger som samfund og som i øvrigt vil være i smuk harmoni med regeringens digitaliseringsstrategi om at IT skal spare det offentlige for milliarder. Der henvises derudover til Strategi for digitalisering af den offentlige sektor 2007-2010.

Allerede i 2008 anbefalede Danish Biometrics nedsættelsen af et visionsråd for projektets interessenter med det formål at fastsætte krav og processer (strategiplanlægning, fælles terminologi, målrettet projektstyring, arbejdsgange, metoder mv.) for et biometrisk borgerservicekort. Derudover har Danish Biometrics ved flere lejligheder anbefalet at et borgerservicekort og hele infrastrukturen skal beskyttes i henhold til “privacy by design”-principper, herunder designes med biometrisk kryptering. I den forbindelse er det værd at fremhæve, at EU Kommissionen selv har klassificeret biometri som en privacy enhancing technology, som det fremgår af den nyligt offentliggjorte endelige rapport af ESRIF.

Interessen og setuppet er der. Vi mangler blot startskuddet til at gå i gang og jo før jo bedre. Kalenderblade vendes hurtigt, når det drejer sig om store IT-projekter og al erfaring fortæller os derfor, at det er vigtigt at der afsættes den nødvendige tid og de nødvendige ressourcer til indførelsen af et borgerservicekort. Et sådant samfundsmæssigt projekt bør gennemføres på baggrund af en kvalificeret offentlig debat og en grundig forberedelse af de teknologiske og organisatoriske muligheder med implementering af små trinvise pilotforsøg og frem for alt med en kvalitetssikring og brugerevaluering som topprioritet.

Er der forresten grund til at mene, at Danmark for alvor er faldet bagud i udviklingen ? Lad os se hvorledes det forholder sig i de andre europæiske lande med hensyn til et borgerservicekort.

IDABC har i oktober 2009 udgivet en statusrapport om eID interoperabilitet i forbindelse med europæiske eGovernment Services med det formål at indsamle information om eID praksis og udvikling i EU og tilknyttede lande. For god orden skyld bemærkes, at der i referatet fra udvalgte dele af rapporten ikke benyttes en stringent terminologi, idet e-ID, identitetskort, borgerkort eller borgerservicekort anvendes i flæng. Den sidste betegnelse foretrækkes af Danish Biometrics for at understrege kortets funktion og formål og ikke mindst at der er forskel på at sikre identitet og autenticitet (verifikation).

Af rapporten fremgår det, at ud af 32 lande udsteder 27 identitetskort (84%), heraf er 6 eID-kort udstedt af et privat certificeringscenter i henhold til aftale med en offentlig myndighed (Østrig, Island, Liechtenstein, Luxembourg, Holland og Sverige).

Ud af disse 27:

udsteder 3 et papirbaseret ID-kort og har ingen specifikke planer om nationale eID-kort: Bulgarien, Grækenland og Nederlandene. En avanceret plan for et eID-kort (det såkaldte eNIK) blev rapporteret i Nederlandene i den forrige udgave af nærværende rapport, men den er i øjeblikket taget op til fornyet overvejelse til fordel for et mere omfattende samarbejde med private certificeringsudbydere.

13 udsteder et papirbaseret ID-kort, men har mere eller mindre konkrete planer om et eID-kort i den nærmeste fremtid: Kroatien, Cypern, Tjekkiet, Frankrig, Tyskland, Ungarn, Letland, Malta, Polen, Rumænien, Slovakiet, Slovenien og Tyrkiet.

13 udsteder eID-kort. Herunder falder imidlertid den førnævnte gruppe på seks hvor et eID-kort er udstedt af et privat certificeringscenter i henhold til aftale med en offentlig myndighed (Østrig, Island, Liechtenstein, Luxembourg, Holland og Sverige), og i de syv andre udstedes eID kort udstedes af en offentlig myndighed (Belgien, Estland, Finland, Italien, Litauen, Portugal og Spanien).

Der er således 5 lande, der i øjeblikket ikke udsteder identitetskort: Danmark, Irland, Letland, Norge og Storbritannien. Der er dog planer om at udstede eID-kort i en eller anden form i alle disse lande undtagen Danmark. I Storbritannien og Letland, vil regeringen sandsynligvis udstede eID kort, mens det i Norge og Irland vil blive overladt til den private sektor at udstede et chipkort i henhold til en statslig bemyndigelse.

Det fremgår af rapporten, at Danmark traditionelt sikrer autencitet på en kombination af sygesikringsbeviset og kørekortet eller pas og bankkort. I elektronisk sammenhæng udføres autentificeringsfunktionen af OCES signaturløsningen, der i rapporten karakteriseres som en blød certifikatløsning. Rapporten noterer, at mens OCES vil blive opgraderet i fremtiden er brug af smart cards for tiden ikke planlagt.

Endvidere hedder det i rapporten, at det således er klart, at ID-kort er en dominerende identifikationsløsning i de lande rapporten har undersøgt ved at være i brug i 84% af landene, med kun Danmark som det land, hvor det ikke diskuteres at introducere et borgerskort i en hvilken som helst form i overskuelig fremtid. Det står klart, at selv om det bestemt ikke bliver altomfattende, vil eID-kort blive mere udbredt i de kommende år.

Når man ser på brugen af biometri i forbindelse med borgerkort, nævner rapporten at 5 lande ud af 32 rent faktisk anvender biometri (Italien, Litauen, Nederlandene, Portugal og Spanien), i alle tilfælde baseret på fingeraftryksoplysninger (i hashet form for så vidt angår det italienske borgerkort). Som det fremgår af 2007-udgaven af denne rapporten, så har Litauen og Nederlandene endnu ikke gemt fingeraftryk i deres eID kort, hvilket i begge tilfælde hænger sammen med en opgradering af deres respektive identitetskort.

Fire andre lande planlægger at introducere biometri (Frankrig, Estland, Tyrkiet og Storbritannien) igen baseret på fingeraftryk. Af disse har kun Frankrig erfaring med indsamling af fingeraftryk i forbindelse med udstedelse af identitetskort. Tre lande (Tyskland, Polen og Rumænien) har overvejelser om brug af biometri i fremtidige teknologier, især i forbindelse med de pågældende landes planlægning af eID, men der foreligger endnu ikke nogen detaljer herom.

Et flertal af de undersøgte lande (20 af 32 lande eller 63%) har endnu ikke eventuelle planer for biometri, og brugen af biometriske data er ikke blevet indberettet af noget land som en autentifikationsmetode til specifikke eGovernment-applikationer (bortset fra e-passet).

Rapporten slår fast, at selvom der synes at være en stigende støtte for biometri, så er teknologien endnu ikke særlig udbredt i forbindelse med borgerkort. Status kan siges at afspejle den aktuelle forskel i de europæiske lande til den teknologiske parathed og de socio-kulturelle holdninger til biometri.

Det er dog prisværdigt at den danske videnskabsminister har meldt ud, at skal vi i Danmark have et borgerkort, så skal det være med biometri. Men Danish Biometrics anbefaler, at sætte handling bag de smukke intentioner nu !

For yderligere information vedrørende borgerservicekortet henvises til videncenter.

feb 11 2010

Afslut med fingeren

Af: Andreas Dohn, Journaliststuderende ved Syddansk Universitet

Fingeraftryk i centrale databaser er en cocktail, der før har mødt modstand fra borgere og privacy-fortalere. Men når bloddonorerne på Odense Universitetshospital skriver under med fingeren, skal de ikke frygte for datasikkerheden, siger blodbankens ledende overlæge.

De ruller frivilligt ærmet op og lader nålen trænge gennem huden. Sådan har det altid været. Men fremover vil donorerne på Odense Universitetshospital (OUH) også blive tvunget til at afgive et fingeraftryk, når de besøger blodbanken.
Odense Universitetshospital har som det første sted i landet indført elektroniske spørgeskemaer, som donorerne skal underskrive med pegefingeren, før de giver blod:
”Fordelen ved fingeraftryk er, at vi kan identificere donoren fra gang til gang og vide, at det er den rigtige donor, vi har fat i,” siger Jørgen Georgsen, ledende overlæge i blodbanken på Odense Universitetshospital.

Kun en kode
Det har tidligere skabt debat, når diskoteker og lufthavne indfører fingeraftryk eller irisskanning som adgangskontrol. Men Jørgen Georgsen mener ikke, at donorerne skal frygte for deres datasikkerhed, når de sætter pegefingeren på blodbankens scanner.
Fingeraflæseren danner en unik kode ud fra nogle bestemte punkter i fingeraftrykket. Og det er dén kode, som blodbanken gemmer i sin database sammen med donorens personnummer. Ikke et billede af selve fingeraftrykket, forklarer han:
”Det fingeraftryk, vi tager, er ikke sammenligneligt med det, politiet arbejder med, så det vil ikke kunne bruges i politiets efterforskning.”
Når donoren møder til næste tapning og indtaster sit personnummer, vil systemet automatisk hente den gemte kode og sammenligne den med donorens ’nye’ fingeraftryk.
”Det er ikke sådan, at aflæseren går ned i en stor database og leder alle vores 13.000 donorer igennem og kigger på deres fingeraftryk,” siger Jørgen Georgsen:
”Den sammenligner bare Bjarnes nuværende fingeraftryk med det fra tidligere. Og hvis de ikke passer sammen, så er det ikke Bjarne, der er her nu. Mere kan den ikke sige. Den kan ikke sige, at det er Peter, der er her i stedet for eller sådan noget.”

”Smartcard en bedre løsning”
Frederik Kortbæk er netværkskoordinator i Dansk Privacy Netværk, der har forskere med interesse for overvågning og privatlivsbeskyttelse på medlemslisten. Han roser først og fremmest blodbanken for at tage fingeraftrykket i brug:
”Formålet er at sikre, at blod tilhører en bestemt person og kun denne person. Der er tale om en sikkerhed, som både er i brugerens og blodbankens interesse.”
Frederik Kortbæk er dog generelt betænkelig over for fingeraftryk i centrale databaser, og han mener, at blodbankens system kunne gøres endnu mere sikkert:
”Den mest optimale privacyløsning ville være at gemme det digitaliserede fingeraftryk i krypteret form på et smartcard i stedet for i en central database,” forklarer Frederik Kortbæk.
Et smartcard er et lille plastikkort, der indeholder oplysninger om kortholderens fingeraftryk, og det har samtidig en scanner indbygget. Når en person forsøger at bruge kortet, sammenlignes hans fingeraftryk med det, der ligger gemt.
Frederik Kortbæk mener, at donoren på den måde vil være bedre sikret mod misbrug, fordi fingeraftrykket ikke er gemt andre steder end på selve kortet.
”Det er den løsning, som de europæiske datatilsyn generelt anbefaler,” siger han.

Mange flere oplysninger i blodprøven
Jørgen Georgsen mener dog ikke, at et smartcard er den bedste løsning for blodbanken. Dels er kortene alt for dyre, og dels kan donoren ikke blive tappet, hvis han glemmer kortet derhjemme:
”Det, synes vi, er dårlig service over for donorerne, hvis de er kommet helt her ud,” siger han og påpeger, at blodbanken i forvejen ligger inde med en masse personfølsomme oplysninger om donorerne – i modsætning til diskoteker og motionscentre.
”Der er mange flere oplysninger i den blodprøve, man giver, end i fingeraftrykket. Og der er rigtig mange donorer, vi har gemt DNA på. Det er faktisk en større risiko, som folk ikke tænker så meget på,” forklarer Jørgen Georgsen.

Uden om Datatilsynet
Det er Datatilsynet, som fører tilsyn med persondataloven og vejleder myndigheder og virksomheder om behandling af personoplysninger. Chefkonsulent Jakob Lundsager oplyser, at blodbanken ikke har rettet henvendelse til Datatilsynet, før fingeraftrukket blev indført. Og derfor har tilsynet ikke beskæftiget sig med det specifikke system.
Men Jakob Lundsager skønner, at blodbankens normale omgang med personfølsomme oplysninger kan være et argument for, at det også er forsvarligt at indføre fingeraftryk som identifikation.

Lever op til loven
I blodbanken føler man sig godt dækket ind. Jørgen Georgsen understreger, at systemet lever op til de gældende regler.
”Vi oplyser donorerne om alt det, vi gemmer, første gang de er her,” siger han og forklarer, at det altid kræver donorernes tilladelse, hvis blodbanken skal give oplysninger videre.
Derfor kan donorerne roligt give det elektroniske spørgeskema fingeren.

jan 18 2010

Biometri har fremtrædende plads i rapport fra European Security Research and Innovation Forum (ESRIF)

I over 2 år har mere end 600 eksperter og en plenarforsamling på 65 medlemmer fra hele Europa i et åbent forum under European Security Research and Innovation Forum (ESRIF) debatteret aspekter af europæisk forskning og innovation med det formål at styrke borgerens sikkerhed. Resultatet foreligger nu i en diger rapport på 323 sider og er dermed det største bidrag af sin art i Europa til dato.

ESRIF, der er etableret i 2007 på vegne EU-kommissionen og de 27 medlemslande, har haft til formål at kortlægge en dagsorden for forskning og innovation i sikkerhed med følgende pejlemærker:

Sikkerhedsperspektiver på mellemlangt og på langt sigt (op til 20 år)
Europæiske, nationale og regionale perspektiver, der bygger på tidligere EU rapporter
Øget koordinering med andre institutioner, der er involveret i forskning og innovation i sikkerhed
Samfundsmæssige og teknologiske aspekter af sikkerhedsforskning
Fremme inovation som grundlag for et europæisk sikkerhedsmarked, der udnytter stordriftsfordele på europæisk plan
Vejledning for interessenter, der forbereder sikkerhedsrelevante forskningsprogrammer i Europa

I rapportens indledning hedder det bl.a. : “Med afsæt i behovet for en langsigtet fremtidsforskning er ESRIF gået til opgaven ved at udarbejde et sæt af sammenhængende scenarier, der er baseret på at kombinere nuværende tendenser med henblik på at skabe alternative fremtidige scenarier med en 2030 tidshorisont. Disse scenarier har omfattet en række risici, fra naturlige til menneskeskabte hændelser og er blevet brugt til at teste og identificere hvordan risici og udfordringer på kort- og mellemlang sigt, kan kan udvikle sig på lang sigt.

Forebyggelse er nøglen til at minimere virkningerne af disse risici. ESRIF har indtaget en holistisk tilgang til sikkerhed og med anvendelse af den bredest mulige definition af begrebet sikkerhed og undersøgt, hvordan dette kan opnås i forhold til selve samfundet og de friheder man ønsker at bevare eller styrke.

Det er ESRIFs opfattelse, at denne fremgangsmåde skaber afsæt for den fremtidens sikkerhed i Europa; en videnskabelig, teknologisk og industriel base, hvorfra det nødvendige udstyr, teknologi og best practices lader sig uddrage med henblik på at levere sikkerhed samt et stærkt socialt engagement, der sikrer et ansvar for anvendelsen så vel som en akcept af sådanne løsninger.

Mange spørgsmål såsom klimaændringer, råvareknaphed, virkningen af nano-teknologi eller det omfattende cyberspace-miljø skaber nye risici men fjerner sjældent radikalt de gamle. Disse it-netværks stigende evolutionære kompleksitet og indbyrdes afhængighed forstørrer deres virkning og nedbrud på samfundet og det bliver derfor vanskeligt at forudse og forstå effekter af disse trusler.

ESRIF formål er at tilvejebringe en fælles forståelse af sikkerhed, forskning og innovation med henblik på at støtte en mere ensartet procedure. Derfor foreslår ESRIF at styrke den europæiske fremstillings- og servicesektors rolle og evne til at investere i væsentlige forsknings-og udviklingsaktiviteter. Med såvel national som europæisk støtte vil denne investering give et solidt grundlag for at løse fremtidige risici, uden at diktere en bestemt løsning for en given udfordring.”

ESRIF anbefaler, “at den eksterne dimension af sikkerhed bør stå højt på dagsordenen for enhver efterfølgende sikkerhedsforskning og innovationspolitik. EU og dets medlemsstater er en del af en meget indbyrdres afhængig og kompleks verden. Fejlslagne stater, grænsestridigheder, miljømæssig migration og ressource-konflikter har alle i stigende grad interkontinentale, hvis ikke globale konsekvenser. Europa kan ikke ignorere disse eksterne risici og trusler eller deres virkning på sin indre sikkerhed.”

Rapporten fastslår herefter, “at beskyttelse af EU’s befolkning og infrastruktur skal afspejle god regeringsførelse, økonomisk fornuft og respekt for grundlæggende rettigheder og Europas kulturelle værdier”. For så vidt angår ESRIF “skal en konkurrencefordel og førende position for Europa på det globale sikkerhedsmarked reflektere europæiske værdier”. På den baggrund opremser rapporten en række hovedbudskaber som følger:

• Samfundsmæssig sikkerhed
Europas sikkerhed er uadskillelig fra de sociale, kulturelle og politiske værdier, der adskiller europæisk levevis i al dets mangfoldighed. Forskning i sikkerhed og innovation skal løse disse værdiers langsigtede sårbarhed ved europæiske økonomiske, kulturelle, politiske og teknologiske systemer.

• Samfundsmæssig modstandskraft
I betragtning af en uforudsigelighed i menneskeskabte og naturlige trusler, bør forskning og innovation i sikkerhed fokusere på at styrke Europas iboende ukuelighed og evne til effektivt at overvinde kriser ved at styrke sammenhængskraften og robustheden af samfundsmæssige systemer og deres grænseflader til sikkerheds-teknologier.

• Tillid
Sikkerhed forudsætter at der opbygges tillid mellem mennesker, institutioner og teknologier. Under forhold med trusler styrker tillid åbenhed og social integration. Det spiller en afgørende rolle i krydsfeltet mellem borgere og regeringer, velfærdsydelser og institutioner, informationstjenester, IKT og andre teknologiske systemer, og lokale og globale markeder.

• Interoperabilitet
Sikkerhedsorganisationer står i stigende grad over for tekniske, operationelle, og menneskelige spørgsmål om interoperabilitet i forhold til deres geografiske og organisatoriske grænser. En stærk politisk vilje til at dele aktiver og standarder over hele Europa vil give os alle mulighed for i fællesskab at håndtere sikkerhedsproblemer i forbindelse med en stadigt mere indbyrdes forbunden verden.

• En systematisk tilgang til kapacitetsudvikling
Den stigende kompleksitet i sikkerhed kræver stadig mere sofistikerede strategiske fremsyn og risikovurderinger, modulære generiske funktioner og løsninger på det system til system niveau.

• Industripolitik
Europa har en meget omfattende industri kapacitet og videngrundlag på sikkerhedsområdet, men udgør kun et fragmenteret marked. At rette op på dette vil åbne døren til en førende position på det globale sikkerhedsmarked og gøde en effektiv europæisk industri og tilbyde vort samfunds bedste sikkerhedsløsninger til hele verden. Denne ambition kræver et klart politisk valg og en overbevisende europæisk industripolitik.

• Innovation
For at bevare sikkerheden i Europa, er der behov for stærke interne videnskabelige, teknologiske og industrielle kompetencer. Det er vigtigt at udnytte denne viden gennem pooling af midler og klyngedannelse for at maksimere synergien mellem forskellige teknologier, interessenter og services og ved at etablere et systematisk samspil mellem udbud og efterspørgsel for at sikre, at sikkerhedsløsninger er effektivt skræddersyet til at opfylde operationelle behov.

• Security by design
At sikre fremtiden, vil kræve, at sikkerheden behandles som en integreret del af et givent system, proces eller drift fra tidspunktet for konceptualisering. Nuværende add-on sikkerhedsløsninger er ikke længere tilstrækkelig. Europa har brug for en systemisk tilgang til sikkerhed.

• Awareness gennem læring og uddannelse
Uddannelse og scenarie-baseret undervisning vil bidrage betydeligt til en generel anerkendelse og erkendelse af, at sikkerhed er et fælles ansvar for alle aktører, især for politiske beslutningstagere, lovgivere og borgere.”

Den strategiplan for de næste 20 år der er baseret på ovennævnte hovedbudskaber benævnes i rapporten ” the European Security Research and Innovation Agenda” eller ESRIA og er struktureret i 5 klynger. 11 arbejdsgrupper har på tværs af de 5 klynger ydet bidrag med hensyn til kapacitet og teknologi. Kapacitet defineret som evnen til at udføre en specifik opgave eller funktion har været det primære grundlag for arbejdet ud fra en tæt analyse af sikkerhedsrisiko og udfordringer. Kapaciteter er katalogiseret efter deres hastende karakter som:

Umiddelbare tiltag
Handlinger, der kræves på kort til mellemlang sigt samt
Foranstaltninger, der skal støttes på lang sigt

På grund af det enorme antal kapaciteter, der er genereret af arbejdsgrupperne, og af hensyn til variationsgraden af granularitet og beskrivelsens omfang, er disse arrangeret i funktionelle grupper for at lette visualiseringen. Med relevans for Danish Biometrics vil jeg koncentrere mig om klyngen vedrørende sikring af identitet, adgang og transport af mennesker og gods samt de dertil knyttede arbejdsgruppers input. Til slut opsummeres med rapportens anbefalinger.

Imidlertid er der grund til at hæfte sig ved den første klynge, der er beskrevet i rapporten under betegnelsen: Sikkerhedscyklus, forhindre, beskytte, forberede, reagere og afhjælpe.

Det understreges således,”at overvågning i stigende grad er et centralt element i security management og finder sted ved hjælp af en række virkemidler, fra CCTV til forskellige biometriske værktøjer. Eftersom disse redskaber allerede er udviklet, forbliver indvirkningen dårligt forstået på europæiske værdier i forholdet mellem overvågning og friheds- og menneskerettigheder, placeringen af de nye teknologier i samfundet, deres rolle i forbindelse med sikkerhedskriser samt deres konsekvenser for den enkelte. Fremtidig forskning og innovation bør nøje vurdere disse samfundsmæssige spørgsmål og deres relation til Europas sikkerhed.”

I samme afsnit fremhæves det også, “at testning og evaluering af nye teknologier af first movers er afgørende. Der er ikke nok muligheder for at arbejde med teknologier, der stadig er i udviklingsfasen. Dette er en fremtidig prioritet for innovation, således at nye teknologiske løsninger kan optimeres under virkelige forhold i et tæt samarbejde mellem udviklere og brugere.”

Til slut i dette afsnit nævnes det, “at en effektiv behandling af ofre kan kræve biografiske og biometriske oplysninger. På samme måde som oplysninger om redningsmandens identitet, kompetencer og kvalifikationer er nødvendige for at facilitere et effektivt interoperabelt kommando-og kontrol-samarbejde. Derfor må de almindelige standarder for databeskyttelse tilpasses nødsituationer. En række krisetyper har regionale eller internationale virkninger: management bygger på flere forskellige instanser. Koordinering mellem disse instanser rejser specifike spørgsmål om deres forskelle i organisation, metoder, sprog og kultur. Interoperabilitet på kommunikationsniveau er nøglen. At forbedre vores forståelse for evnen for sådanne organisationer til at samarbejde fleksibelt er en prioritet.”

I afsnittet om at sikre identitet fremføres det, “at der er behov for at udvikle proaktive metoder til behandling af ID-tjeks og kontrol, herunder brog af mobile teknologier. Forskning er nødvendig for at forbedre nuværende biometriske systemer til identifikation af personer. Derudover er der brug for en holistisk tilgang til grænse-management og en forståelse af grænseaktiviteter inden- og udenfor Europas grænser for at sikre en effektiv grænsekontrol. Det poienteres, at brugervenlige løsninger er et ultimativt output for forsknings- og innovationsinitiativer.”

I lyset af store tab i forbindelse med identitetstyveri og -bedrageri anbefaler ESRIF som et højtprioriteret forskningstema, “at forbedre biometriske devices nøjagtighed ved at udvikle stærk autentificerings-processer og teknologier og ved at forbedre metoder til at sikre online autentifikation af personer uafhængig af hvilket digitalt element de gør brug af.”

Når det drejer sig om udveksling af patientinformation lægges der vægt på, at beskytte den personlige identitet og privacy-rettigheder på samme tid. ESRIF går ind for at gennemføre en databeskyttelse baseret på “privacy by design”, der bør være en del af informationssystemets arkitektur fra start. “For at sikre en reel effektivitet, bør denne “privacy by design”-beskyttelse kombineres med en generel kontrol af personoplysninger, en adskillelse af data fra forskellige datastreams, privacy-management systemer samt effektiv “anonymisering” af persondata. Forskning på disse områder skal videreføres for at sikre, at effektive løsninger er tilgængelige så hurtigt som muligt.”

Herefter fremhæves i rapporten biometrisk forskning i en lang række sammenhænge. f.eks. i sammenhæng med videnskabelige discipliner indenfor efterforskning. Screening- og overvågningssystemer med biometrisk genkendelse ved boarding skal være i stand til uafbrudt at monitorere store menneskemængder med hurtig fokus for at kunne spore potentielt mistænkte uden at misten synet af menneskemængden. Dette forudsætter trådløse/standoff sensorer/scannere, men det fremhæves, at fjernbiometri stadig er i en tidlig udviklingsfase. Derudover forudsætter det sikre metoder til at validere rejsedokumenter, metoder til at afsløre biometrisk spoofing. standardisering samt mobile decvices og high-speed trådløse forbindelser for ID-tjek i buser, toge osv. Rapporten opstiller et mål om, “at et komplet ID-tjek og kontrol inklusive databaseforespørgsel ikke må tage mere end 10 sekunder.” Derudover opstiller rapporten en række forskningstemaer i relation til teknologien især med henblik på at forbedre de biometriske devices robusthed og nøjagtighed.

Det nævnes imidlertid også i rapporten, “at en nøgleudfordring er, at etablere tillid hos brugeren og at netop biometriske systemer repræsenterer nye muligheder for at forbedre et systems effektivitet og security.” WG8 har identificeret 5 topemner, herunder brug og evaluering af biometri i forbindelse med ID management:

Tillid til biometriske systemer
Biometrisk performance
Behov for detektion af egenskaber for vitalitet/anti-spoofing detektion
Data beskyttelse
Biometrisk tilbagekaldelse
Certificering af biometriske systemer

I forbindelse med identifikation af katastrofeofre fremhæves brug af biometrisk og biografisk fusion.

I ID-tyveri kontekst fremføres biometri desforuden som et næste sikkerhedsniveau i forbindelse med e-banking, herunder at integrere biometri for adgang til kortdata. Men samtidig gøres der opmærksom på, “at beskyttelse af biometriske data er nøglen til tillid og at befolkningens bekymring for biometri ofte beror på en manglende viden om teknologien og mistillid til organisationer, som leverer eller administrerer biometriske applikationer.” Særlig opmærksomhed rettes på det såkaldte match-on-card koncept med de deraf følgende privacy fordele.

Med det formål at tilvejebringe en automatiseret grænsekontrol anføres det at biometri for eksempel kan bruges til:

En fremskyndet forundersøgelse af registrerede rejsende eller brugere (f.eks ansatte) ved bl.a. grænsekontrolpunkter eller hurtige tracks ved grænseovergangssteder
Medvirke til at reducere forebyggelse af svig for højrisiko grupper såsom flygtninge og asylansøgerbehandling
Medvirke til at reducere forebyggelse af svig ved kritiske processer som immigration og statsborgerskab
Frembringe effektive of fleksible overvågningslister, der giver større effektivitet og grundig sikkerhedsbehandling
Behandle flertallet af rejsende gennem automatiske e-porte

Et interessant bidrag i rapporten er fremhævelsen af kravet om, at indsamlet biometrisk data kun må anvendes til det tekniske og lovlige formål, som er associaret med de registrerede data og at truslen for misbrug af denne information skal adresseres. Det nævnes udtrykkeligt i rapporten, at EU-kommissionen har klassifiseret biometri som en privacy enhancing technology og det fremhæves, “at integration af privacy design i nye security teknologier og systemer vil være en konkurrencemæssig fordel for den europæiske sikkerhedsindustri. Det bør være muligt, at implementere dette design på sådan måde i fremtiden, at mere security ikke betyder mindre privacy.” Rapporten anbefaler endvidere, at der udvikles best practices-modeller samt etiske kodeks.

Det er værd at hæfte sig ved, at rapporten nævner, “at tillid vedrører den enkeltes tryghed til forskellige sikkerhedssystemer og deres operatører. Når det kommer til stykket er tillid kilden til legitimiteten af de demokratiske imstitutioner, som er betroet vor sikkerhed.”

Rapportens policy og operationelle rekommendationer med henblik på at opnå en stærkere forskning og innovation i sikkerhed er:

Fælles europæiske kapaciteter
Nye policy initiativer
Integreret tilgang til security
En global dimension
Fremtidig security forskning

Sidstnævnte anbefaling refererer til European Security Research and Innovation Agenda, som skal ses som et levende dokument, der for at udvikle sig i forbindelse med Europas interne og eksterne trusselsmiljø, forudsætter:

En åben mekanisme der involverer alle interessenter
At ESRIA bliver revideret og evalueret jævnligt med særlig opmærksomhed i forhold til rapportens hovedbudskaber

Jeg har ved omtalen af rapporten forsøgt at pinpointe væsentlige passager der kan have interesse for biometriske aktører, men har også haft for øje at sætte teknologien i den rette sammenhæng og fremhævet rapportens hovedformål. Betydelige afsnit og andre vigtige pointer er imidlertid ikke kommet med og derfor kan gengivelsen ikke være fyldelstgørende.

Rapporten er efter min opfattelse et vægtigt bidrag til en dybere forståelse af betydningen for en forstærket europæisk skkerhedsforskning baseret på europæiske værdier. Jeg er især tilfreds med, at den primære opgave for ESRIF er at udvikle kriterier og guidelines for security teknologier og metoder i overensstemmelse med menneskerettighederne i almindelighed og beskyttelsen af privacy. For så vidt angår biometri har jeg ved flere lejligheder selv fremhævet, at teknologien udvikles til netop at beskytte brugerens privacy og at den, implementeret og administreret korrekt på samme tid, kan styrke sikkerheden. Denne dobbelt positive effekt overses desværre ofte i forbindelse med den løbende debat om biometri. Man kan sige, at rapporten ikke fremkommer med væsentligt nyt om biometriens udviklingspotentiale, men det afgørende er, at teknologien fastholdes som en vigtig del af sikkerhedsberedskabet og dermed som en prioriteret del af den samlede forskningsindsats. Om rapportens flotte hensigtserklæringer i almindelighed vil og kan blive efterlevet kan imidlertid kun fremtiden vise.

Rapporten anbefales hermed til læsning og fordybelse med håbet om, at den kan medvirke til at sætte skub i en mere målrettet dansk strategisk forskningsindsats i security. Et tiltag for et par år siden i regi af Innovationsrådet om etablering af en dansk sikkerhedsindustri er så vidt det er mig bekendt ikke realiseret. Men initiativet kan måske i lyset af rapporten blive revurderet. Danish Bioemtrics deltager gerne i disse bestræbelser.

Download rapporten (4,83 MB) her.

Der henvises i øvrigt til rapporten fra Oxford Research fra oktober 2008 ”Om kortlægning og analyse af den danske forsvars- og sikkerhedsindustri”, der kan downloades her.

Om den svenske rapport “NRA SECURITY – Swedish industry proposal for a National Research Agenda for security” udgivet af VINNOVA, Swedish Governmental Agency for Innovation Systems i juni 2008 henvises til følgende link.

dec 30 2009

Er der behov for en Lex Biometricus ?

I den løbende debat om biometri rejses spørgsmålet om lovgivningen er tilstrækkelig til dels at beskytte brugeren dels at udnytte teknologiens fulde udviklingspotentiale.

Biometri er ligesom andre teknologier ikke direkte omtalt i hverken persondatadirektivet eller persondataloven, men kun indirekte med reference til en række (teknologineutrale) principper om proportionalitet, personfølsomme data, gennemsigtighed samt tekniske forholdsregler.

Udgangspunktet er, at biometri betragtes som personfølsomme oplysninger, der er omfattet af persondatalovens bestemmelser både så vidt der er tale om det rå eksemplar (eksempelvis selve fingeraftrykket) og den digitaliserede udgave (minutiae data). I de tilfælde hvor de biometriske data foreligger i krypteret form (anonymiseret) rejser der sig det interessante spørgsmål om der juridisk set stadig vil være tale om personhenførbare oplysninger, der falder ind under loven ? Det vil umiddelbart være rimeligt at antage, at den dataansvarlige skal overholde loven, eftersom der under alle omstændigheder vil være tale om en behandling af ”data”, selvom disse ikke teknisk set kan tilbageføres til datasubjektet. Men er der risiko for, at persondatabegrebet bliver for diffust ? Spørgsmålet kan i øvrigt indgå i en diskussion om man generelt kan fastholde den gængse opfattelse, at privacy-beskyttelse kan opnås, blot man fjerner PII fra databaserne (anonymisering contra reidentifikation)?

Et andet spørgsmål er imidlertid om betegnelsen, at ”biometri er noget du er” stadig vil være dækkende, når ny teknologisk forskning og udvikling (biometrisk kryptering) så at sige erstatter biometri med såkaldte ”pseudoidentiteter”, der gemmes på smart cards eller andre devices i brugerens besiddelse og kontrol ?

Teknologien (så vel som vore sociale normer) udfordrer hele tiden lovgivningen og lovgiverne er godt klar over, at loven altid vil halte efter med flere år. For at imødegå en ufuldstændig lovgivning har EU derfor tilpasset datadirektivet, som persondataloven hviler på, med en bestemmelse (artikel 17) om, at:

“Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.

Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.”

Artikel 17 er gengivet i persondatalovens § 41 stk. 3. som følger: ”Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.” Som det fremgår er formuleringen “state of the art” gledet ud af den danske lovtekst. Kort sagt, så skal den dataansvarlige træffe fornødne, men ikke nødvendigvis de nyeste eller mest avancerede tekniske sikkerhedsforanstaltninger. Ansvaret ligger dog stadig hos den dataansvarlige, men formålet er altid at undgå at selve databruddet faktisk finder sted. Det daværende IT-Sikkerhedspanel har tilbage i 2006 gjort opmærksom på dette problem og anbefalet en opstramning. Men er det desuagtet tilstrækkeligt at basere en løsning på et skøn i henhold til stadigvæk relativt ukonkrete kriterier, når man har at gøre med ny, hurtigt udviklende og kompliceret teknologi ?

Artikel 17 er iøvrigt interessant, fordi den faktisk indirekte understøtter PET´s (privacy enhancing technologies), idet det i bemærkning 46 til direktivet klart fremgår, at de nødvendige tekniske forholdsregler fra start skal integreres i designet af selve databehandlingssystenet. Iagttager man nogle grundlæggende designprincipper, kan biometri indgå i en løsning, som opfylder de højeste krav til privacy- og persondatabeskyttelse i stedet for en anvendelse af teknologien til ukontrolleret biometrisk overvågning og personprofilering (function creep). Med hensyn til beskyttelse af individet i forbindelse med den automatiske behandling af persondata, henvises til en række anbefalinger, som Europarådet har offentliggjort 2. oktober 2009. Er der behov for et normsæt af mandatoriske specifikke privacy principper som f.eks. dataminimering, gennemsigtighed, optimal bruger kontrol og forbedret sikkerhed ?

I relation til persondataloven kan en teknologiløsning med biometri approberes enten ud fra en almindelig proportionalitets/interesseafvejning eller i henhold til et samtykke af den registrerede. Vurderes det, at den dataansvarliges interesse vejer tungere end hensynet til den registrerede, er sidstnævntes manglende samtykke uden betydning. Giver det anledning til at overveje om brugersamtykke skal være obligatorisk og desforuden nærmere præciseres?

En væsentlig problemstilling er om opbevaring af biometriske data kan finde sted i en central database, i en decentral aflæsningsenhed eller på et smart card. Skal de to første optioner overhovedet være mulig og i bekræftende fald kun i henhold til lov ? I den forbindelse er det relevant at stille sig det spørgsmål om det i det hele taget skal være muligt at identificere en person ved hjælp af biometri eller om det fuldt ud er tilstrækkeligt med en autentificering ? Skal det eksempelvis ved lov bestemmes, at biometri alene kan anvendes som verifikationsmetode baseret på et af to formål:

At bevise at du er den du siger du er (positiv verifikation) eller
At bevise at du ikke er den du siger du ikke er (negativ verifikation)

I forlængelse heraf kan det anføres, at flere eksperter har rekommanderet, at biometri i e-pas alene skal tjene et verifikationsformål, hvorefter de data, der er gemt i dokumentet sammenholdes med de data, som præsenteres af dokumentets indehaver. Bør det være en lovanbefaling ?

Imidlertid skal man være opmærksom på, at brugeren sjældent er klar over hvad der faktisk er gemt på et smart card, hvordan man får adgang til disse data eller hvem der gør brug af denne information. Det er muligt, at den dataansvarlige har et ejerskab til selve kortet og de persondata, der er gemt på kortet, men det er ikke nødvendigvis det samme som at fastslå, at kortholderen (brugeren) mister sin ret til at have kontrol over sine persondata/pseudoidentiteter.

Spørgsmålet er, hvem der kontrollerer back office og det er derfor nødvendigt at tage stilling til rettigheder og ansvar for kortudsteder, den dataansvarlige og kortholder.

Endelig kan man stille det spørgsmål om der bør gælde enslydende regler for implementering af biometriske systemer for både private og offentlige organisationer med hensyn til indsamling, brug, deling, transmission, logning, opbevaring, disposition, grænseoverskridende overførsel og sletning af biometriske data i hele dets livscyklus. Hertil kan suppleres med en vurdering af i hvilket omfang særlige sikkerhedshensyn gør det nødvendigt at undtage staten, således som det i dag er gældende i forhold til persondataloven.

Der er grund til at gå ud fra, at der vil blive installeret flere og flere biometriske systemer i de kommende år hvilket kan tale for at tiden er moden til at overveje et regelgrundlag, som er fremtidsorienteret. Jeg har forsøgt at stille nogle spørgsmål om biometri,som kunne trænge til en afklaring og jeg mener, at der derfor på den baggrund er belæg for at anbefale, at der nedsættes et af regeringen udpeget udvalg med repræsentanter for relevante myndigheder, eksperter og branche- og interesseorganisationer med det formål at undersøge om en lov om biometri er nødvendig. En sådan evaluering kunne passende indgå i en helt overordnet fastsættelse af statens principper for security og privacy teknologier, forskning og innovation.

En analyse bør ikke kun have en strikt teknologisk tilgang men f.eks. forholde sig til bestemte fremtidige projekter som borgerservicekortet, inddrage retlige aspekter af ID-management og tage højde for hele den IT-infrastruktur som biometri vil kunne være en del af, eventuelle backupsystemer, testningskrav, øvrige organisatoriske virkemidler samt registreringsprocedurer. Når det sidste punkt nævnes, så er det fordi det ikke kan understreges for meget, at biometri alene ikke kan etablere en “ægte identitet”. Et biometrisk system kan ikke afholde nogen fra at benytte en falsk legitimation på tidspunktet for en registrering. Systemet kan kun afholde dem fra at bruge en andens identitet, når først de er registreret.

Det er klart at der kan argumenteres både for og imod en mere detaljeret lovgivning i forhold til den nuværende regulering, som for det meste bygger på persondataloven. Derfor bør en undersøgelse naturligvis også overveje formålstjenlige alternativer til en egentlig lov, f.eks. standardisering, branchekodeks, flere fagkompetencer/ressourcer til Datatilsynet, flere øremærkede forskningsmidler til privacy enhancing technologies (PETs), reelle offentlig støttede informationskampagner mm. Hertil kommer, at eventuel gældende EU lovgivning muligvis kan komplicere processen. Selvfølgelig skal man heller ikke lovgive om hvad som helst uden at der er tungtvejende grunde hertil, jfr. eksempelvis diskussionen om et burkaforbud og et prostitutionsforbud. Men der er efter min personlige opfattelse nogle åbenbare argumenter, som principielt kan tale for en lov.

For det første er biometri en unik personlig identifikationsmetode, der i tilfælde af kompromittering kan medføre fatale konsekvenser for den pågældende. For det andet vil det være meget nærliggende at antage, at en regelregulering med henblik på at præcisere en række spørgsmål specifikt i forhold til biometri, herunder at forstærke privacy og persondatabeskyttelsen er nødvendig for at skabe tillid og tryghed for brugeren, men, og det er efter min opfattelse en væsentlig pointe, også i lige så høj grad med det formål at sikre tiltro til selve teknologiens security og privacy.

Det er i den sammenhæng ikke uvæsentligt at fremføre, at biometri er er en teknologi vi alle, om vi vil det eller ej, før eller siden vil komme til at stifte bekendtskab med.

dec 13 2009

Biometri er faktisk bedre end sit rygte

Hvordan går det egentlig med markedsføringen og implementeringen og ikke mindst den offentlige debat om biometri på det danske marked ? Er vi nået videre fra en spæd start for ca. 8 år siden i kølvandet på 11.9. eller slæber branchen og det omkringliggende samfund stadig rundt med en udpræget skuffelse og knuste drømme om en teknologi, som har lovet så meget og opnået så lidt ?

Vel, der er nok ikke nogen tvivl om, at biometri er kommet rigtig dårligt fra start af i alt fald to årsager. For det første har lanceringen af large scale biometriske systemer til grænsekontrol og kriminalprævention, som introduceret af USA efter terrorangrebet på bl.a. World Trade Center (det såkaldte US-VISIT program) med følgeskab af EU, skabt en frygt for mange for det ultimative overvågningssamfund. For det andet har en lang række leverandører med en overdreven og unuanceret anprisning af biometri som et universalmiddel i jagten efter at score en let og hurtig gevinst efter at kommercialiseringen af teknologien så småt kom i gang i begyndelsen af 1990´erne medført manglende troværdighed.

At biometri er blevet overhypet og overfrygtet er en international trend, som det må konstateres også har gjort sig gældende i Danmark. Det på trods af, at man ikke just kan påstå, at de danske medier generelt er nær så anti-biometriske som i visse andre lande, f.eks. Storbritannien. Selvom det også vil være forkert at hævde, at diverse brancheforeninger og myndigheder er decideret negative, så er indstillingen imidlertid stadig meget afventende. Derimod udviser visse interesseorganisationer og store dele af den akademiske verden en udpræget mistro til teknologien.

Det er altid at forudse, at ny og banebrydende teknologi på en og samme tid både tiltrækker og afskrækker, men jeg tror nok, at den kendsgerning at essentielle spørgsmål om krænkelse af de fundamentale frihedsrettigheder bliver fremført i debatten og den deraf følgende politisering af biometri er ganske enestående og er vitterlig kommet bag på de fleste med den åbenlyse konsekvens at det forventede afgørende gennembrud stadig lader vente på sig i alt fald for så vidt angår den private sektor.

Lad det være sagt med det samme, at den kritiske debat om krænkelse af privacy og databeskyttelse, om den manglende demokratiske legitimitet og om lovgivningen er tilstrækkelig er meget væsentlig. Jeg er specielt helt enig i privatlivsbeskyttelsen og tog netop selv, efter mange år i sikkerhedsbranchen og efter at have beskæftiget mig med biometri som id-teknologi siden 2003, initiativet til at starte Dansk Privacy Netværk i 2007. Det ændrer imidlertid ikke ved årsagsforklaringen, men rejser derimod det helt naturlige spørgsmål, om branchen har været god nok til at formilde relevant og lødig information og til hurtigt og overbevisende at tilpasse sig markedet og kundernes behov.

Alligevel kan vi i Danmark fremvise efter omstændighederne ganske interessante business cases som kan medvirke til at rette op på biometriens image. Men eksemplerne gør det ikke alene.

Den seriøse del af branchen vil ikke påstå at biometri er ufejlbarlig. Det er der ingen teknologi der er. Der er heller ikke nogen troværdig leverandør eller rådgiver, som vil tilbyde eller anbefale et system der totalt beror på teknologi alene. Det er ikke en god strategi. Ægte security er en løsning, hvor tekniske, proceduremæssige samt situationsbestemte security forholdsregler indbyrdes understøtter hinanden. Med en nøgtern erkendelse af biometriens muligheder og begrænsninger, bør branchen blive langt bedre til at målrette markedsføringen mod helt konkrete og klare løsninger hvori indgår biometriens unikke fordele i stedet for ”at skyde med spredehagl”.

Fejlen består først og fremmest i at fokusere på, at biometri kan løse alle security-udfordringer. For det kan den ikke. Hertil kommer at et tema som kundevenlighed bør fremhæves mere samt at selve det basale spørgsmål om sikring af brugerens privacy faktisk kan opnås ved brug af et korrekt biometri-design.

I den forbindelse deltager jeg selv i The User Advisory Board for Turbine forskningsprojektet , der har til formål at udvikle en sikker beskyttelse af biometriske data baseret på avanceret krypteringsteknologi. Jeg er også bekendt med at et par danske firmaer til min glæde er på vej med lignende banebrydende koncepter.

Derudover skal branchen hele tiden evne at kunne teknologiudvikle biometri med henblik på at tilbyde endnu flere brugervenlige og lavpraktiske tjenester, hvilket jeg selv gjorde opmærksom på tilbage i 2005 i en kronik i Børsen.

Endelig bør branchen være mere aktiv til at gå ind i og medvirke til en mere afbalanceret debat om biometri eksempelvis ved løbende at kommentere mediernes dækning af biometri.

Den seneste omtale i internationale medier, er en historie om en kinesisk kvinde, der er blevet arresteret i Japan for at have foretaget et kirurgisk indgreb i sine fingre med henblik på at narre den biometriske grænsekontrol ved indrejse til landet.

Bortset fra at man altid skal være varsom med at tage alt for givet og uanset at der kan argumenteres fornuftigt for den principielle mulighed for at spoofe biometri, så er den slags historier uden tvivl med til at tegne et negativt og forvrænget billede af teknologien, fordi der generaliseres og som oftest på grundlag af manglende faktuel information. Det er således en kendsgerning , at langt de fleste e-pas indeholder multimodal biometri/multifaktor autentifikation og at markedet tilbyder meget robust scannerudstyr. Hertil kommer, at der faktisk bliver taget hånd om det i medierne ofte omtalte sårbarhedsproblem ved det biometriske pas, nemlig sikring af den integrerede RFID-chip mod kopiering (kloning) og dermed beskyttelsen af de lagrede biometriske data. Løsningen går simpelt hen ud på, at scanneren er i stand til at verificere om chippen er den originale.

Branchen skal være godt klædt på til at møde markedets og samfundets udfordringer og derfor vil Danish Biometrics øge aktivitetsniveauet markant fremover med en række initiativer som f.eks. netværksmøder og en mere effektiv informationstjeneste. Det sammenholdt med at der på tærkslen til 2010 forudses en stigende brancheomsætning med bl.a. implementering af e-pas og visasystem i Danmark, vil med garanti medvirke til en lødig og frugtbar markedsføring og implementering af biometri.

Benchmark gives Ievo Fingerprint Reader with Lumidigm MSI Sensor rave reviews
Lumidigm affirmed that Benchmark magazine, after conducting a competitive test of fingerprint readers, came to a conclusion, use of the MSI technology, and the consistency with which it performed in conditions that would see other units simply fail really does set the [Lumidigm] technology apart from its peers. The May 2012 article in the British
editor@BiometricNewsPortal.com
BehavioSec voted 'Best of Show' for biometric solution by audience at Finovate Spring, San Francisco
Following a demo of BehavioMobile, their behavioral biometric solution for financial applications to enhance e.g. PIN code entry, at Finovate Spring in San Francisco, BehavioSec was voted Best of Show.' The audience voted for their three favorites each day, after viewing 63 demos in a span of two packed days. The top seven overall were named B
editor@BiometricNewsPortal.com
Kind Attention of those planning to attend IFSEC 2012- New Ievo Micro to be showcased
If you are attending IFSEC, kindly make an appointment with Ievo in Hall 4, Stand Number H47. The reason for this is that in a test of fingerprint readers conducted by Benchmark magazine, Ievos Ultimate reader, which leverages Lumidigms patented multispectral imaging (MSI) biometric sensor, was acknowledged by the publication. To date, the on
editor@BiometricNewsPortal.com
Latest solutions for creating, using and managing Secure Identity from HID Global to be introduced at Cards Middle East 2012
HID Global will showcase at next weeks Cards Middle East 2012 conference in Abu Dhabi, its latest advances and broad portfolio of secure identity solutions for creating, using and managing secure identity at the regions largest event for banks, retail, telcos and government. Thomas Harenberg, vice president of Sales, Government ID Solutions,
editor@BiometricNewsPortal.com
New Look Website For Third Millennium - www.third-millennium-sys.com
Third Millennium has launched a new look website that offers its visitors something a little different to the norm. With its simple Style and Technology tabs, it offers a simple, intuitive navigation experience, directing visitors quickly to their required page of interest. To complement the new look website, Third Millennium has updated all
editor@BiometricNewsPortal.com

DNA fingerprinting enters 21st century 27. april 2012
Researchers have created a three-step algorithm, lobSTR, that in one day accurately and simultaneously profiles more than 100,000 short tandem repeats in one human genome sequence -- a feat that previous systems could never complete.
Biometrics: Those tell-tale signs that say who you are 23. april 2012
Forget about fingerprints or iris recognition; the way you walk or move your hands, even your pulse, can be analyzed for unique characteristics. Researchers are now looking at ways this new technology could protect your security and make identity checking less obtrusive and more accurate.
Cognitive biometrics: A very personal login 17. april 2012
Retina and iris scans, fingerprint and palm logins rely on possession of unique anatomical characteristics that you cannot forget as you might a password. A new review examines alternative approaches to user authentication.
Microfluidic chip developed to stem flu outbreaks 27. marts 2012
Researchers have developed a rapid, low-cost, accurate, point-of-care device that matches the accuracy of expensive and time-consuming lab-based tests to diagnose influenza.
Who goes there? Verifying identity online 17. februar 2012
We are all used to logging into networks where we have a unique identity, verified by the network server and associated with our account for other members of the network to see. Such an identity-based network system is useful because it is relatively simple. However, there are three major drawbacks including loss of anonymity of communicating users, misplace […]

Cross-browser worm spreads via Facebook, security experts warn 21. maj 2012
Malware writers have used Crossrider, a cross-browser extension development framework, to build a click-fraud worm that spreads on Facebook, security researchers from antivirus firm Kaspersky Lab said on Monday.
(Lucian Constantin)
Security Manager's Journal: Red alert for child pornography 21. maj 2012
A .mov file with a highly suggestive name is enough to kick off an investigation into what's on an employee's PC.
mathias_thurman@yahoo.com (Mathias Thurman)
How to avoid 5 common email management mistakes 21. maj 2012
Email managers have a lot at stake. After all, the volume of global electronic messages sent via email dwarfs all other forms of electronic communication, including social networking. Since the inception of electronic mail, which, according to some Internet historians, can be traced to a small mainframe app called 'MAILBOX' from the mid-1960s, huma […]
(Susan Perschke)
Is cloud-based security really less expensive? 19. maj 2012
Businesses in new study were five times more likely to have decreased spending on managing security over three years as a percentage of their overall IT budget.
(Antone Gonsalves)
Social Networking Security in the Workplace 18. maj 2012
At any given moment today, on-the-clock employees are updating their social media status, reading feeds and networking on business media sites. Moments can stretch to minutes: A recent study by the Ponemon Institute found that 60% of social media users spend at least 30 minutes a day on these sites while at work.
(Gary Loveland)

	Frederik Kortbæk on Ny dansk forskning i biometri …
	Stephan Engberg on Ny dansk forskning i biometri …
	Bénédicte Lunde-Chri… on Ny dansk forskning i biometri …
	Stephan Engberg on Ny dansk forskning i biometri …
	Frederik Kortbæk on Ny dansk forskning i biometri …

Danish Biometrics

Interessent- og formidlingsnetværk til fremme af ansvarlig anvendelse af biometri til automatisk genkendelse af mennesker

Tag-arkiv: debat om biometri

Danish Biometrics har afgivet høringssvar over udkast til forslag til lov om ændring af lov om pas til danske statsborgere mv.

Eurosmart offentliggør spændende hvidbog om biometri

Kritisk men konstruktiv rapport om biometri fra National Academies

PrivatTek 2010

Biometri i går, i dag og i morgen

Visionen om et dansk borgerservicekort lever men handling efterlyses!

Afslut med fingeren

Biometri har fremtrædende plads i rapport fra European Security Research and Innovation Forum (ESRIF)

Er der behov for en Lex Biometricus ?

Biometri er faktisk bedre end sit rygte

Follow “Danish Biometrics”

maj 2012
m	ti	o	to	f	l	s
« mar
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Del med andre:

Like this:

Follow “Danish Biometrics”