Skradziona tożsamość, czyli co z ta biometrią?
Nowy dowód osobisty, który ma być wydawany od 1 lipca 2013 r., wzbudza wiele kontrowersji. Zapraszamy do kolejnej odsłony dyskusji o wadach i zaletach projektowanego podstawowego dokumentu tożsamości.
W 2010 roku 7,5 tys. razy próbowano wyłudzić kredyty na łączną kwotę ponad 450 mln zł. Jak wynika z danych prezentowanych w najnowszym wydaniu Raportu o dokumentach - infoDOK, w IV kwartale 2010 r. łączna kwota prób wyłudzeń wyniosła 163 mln złotych, to najwyższy poziom w historii tegoż badania (wzrost o 70 proc. w stosunku do analogicznego okresu w roku 2009), natomiast łączna kwota udaremnionych prób wyłudzeń w 2010 r. wyniosła 458 mln zł.1
Udaremniono 1,8 tys. prób wyłudzeń kredytów na kradzione dowody. 18.08. Warszawa (PAP). W drugim kwartale 2011 r. udaremniono ponad 1,8 tys. prób wyłudzeń kredytów przez osoby posługujące się cudzymi dokumentami tożsamości, na łączną kwotę ponad 149 mln zł - wynika z raportu przedstawionego w czwartek przez Związek Banków Polskich. 2
Nagłówki prasowe szokują. Do tego niestety już każdy przywykł. Niemniej warto przyjrzeć się bliżej sprawie, zwłaszcza w kontekście dokumentu, do którego powyższe treści się odnoszą.
Zatem, postawmy sobie pytanie - czy obecny i przyszły dowód osobisty są w stanie spełnić postulat uwierzytelnienia tożsamości osobistej jego posiadacza?
Dokument tożsamości 3 uwierzytelnia 4 tożsamość 5 osobistą jego posiadacza - twierdzenie wywodzące się wprost z treści ustawy o dowodach osobistych (nowych - obowiązujących od 1 lipca 2013 r.), która w sposób jednoznaczny określa, że:
Art. 4 ust. 1 Dowód osobisty jest dokumentem stwierdzającym tożsamość i obywatelstwo polskie osoby.6
Art. 11 ust. 3 Dowód osobisty umożliwia uwierzytelnienie go w systemach teleinformatycznych podmiotów publicznych, uwierzytelnienie jego posiadacza w systemach teleinformatycznych podmiotów publicznych. 7
Jednakże w praktyce dochodzi do coraz częstszych nadużyć (patrz ww. doniesienia prasowe), gdyż w czynnościach prawnych uwierzytelnienie nie jest w stanie określić w sposób jednoznaczny, czy osoba posługująca się dokumentem tożsamości jest jego posiadaczem czy tylko okazicielem, który się pod posiadacza podszywa.
Przyczyną takiego stanu rzeczy jest fakt, iż obecny oraz nowy dowód osobisty pozbawione są cech, na podstawie których można byłoby obiektywnie w sposób jednoznaczny uwierzytelnić jego posiadacza.
Obecny dowód osobisty 8 posiada dwie cechy, które służą do uwierzytelniania jego posiadacza, są to: obraz fotografii oraz obraz podpisu odręcznego. O ile podpis odręczny mógłby teoretycznie być cechą, na podstawie której można obiektywnie w sposób jednoznaczny uwierzytelnić posiadacza dowodu osobistego, o tyle z uwagi na problemy techniczne (niska rozdzielczość obrazu) nie może być praktycznie wykorzystany w automatyzowanych procesach uwierzytelniania. Zatem, żadna z tych cech nie pozwala na jednoznaczne uwierzytelnienie jego posiadacza w sposób obiektywny.
Nowy dowód osobisty 9 posiada tylko jedną cechę uwierzytelniającą, a mianowicie obraz fotografii (osadzony w warstwie graficznej i elektronicznej) i został pozbawiony obrazu podpisu odręcznego. Na uwagę zasługuje fakt, iż pomimo dodania do dokumentu warstwy elektronicznej, osadzony w niej obraz fotografii nie jest biometryczny (przynajmniej akty normatywne o tym nie mówią). Analogicznie jak w przypadku obecnego dowodu osobistego, cecha nie pozwala na jednoznaczne uwierzytelnienie jego posiadacza w sposób obiektywny.
Wniosek z powyższego - obecny i przyszły dowód osobisty są w stanie spełnić postulat jedynie uwierzytelnienia tożsamości okaziciela dokumentu.
Zatem, jaka to różnica? Znaczna, gdyż bez cech, na podstawie których można byłoby obiektywnie w sposób jednoznaczny uwierzytelnić jego posiadacza, możemy jedynie bazować na subiektywnej ocenie osoby uwierzytelniającej, nie mając dostępu do obiektywnego stanu rzeczy. Jeżeli ktoś korzysta z cudzego dowodu osobistego, wyglądem przypominając osobę, na którą został on wystawiony, to ma dużą szansę przejść proces uwierzytelnienia z wynikiem pozytywnym. Analogicznie dotyczy to podpisu (w przypadku obecnego dowodu osobistego), którym dana osoba mogłaby się posługiwać.
Analizując powyższe informacje prasowe, przypadki "kradzieży tożsamości" dotyczą sytuacji, w której potencjalny kredytobiorca posługując się skradzionym dowodem osobistym próbuje wyłudzić kredyt, podszywając się pod tożsamość osoby, na którą dokument został wystawiony. Obecny dowód osobisty posiada biometryczną cechę behawioralną,10 jaką jest obraz podpisu odręcznego. Oczywiście weryfikacja obrazu umieszczonego na dokumencie z obrazem podpisu odręcznego umieszczonego na umowie kredytowej bazuje na subiektywnej ocenie osoby weryfikującej. Niemniej jednak jest dodatkowym elementem weryfikacji, którego nowy dowód osobisty został pozbawiony, nie dając w zamian żadnego skutecznego rozwiązania. W tym przypadku nasuwa się pytanie - ile z tych 7,5 tys. (dane za 2010 r.) prób wyłudzeń kredytów zostało udaremnionych poprzez negatywną weryfikację podpisu odręcznego, którą z racji umieszczenia jego obrazu na dokumencie można było przeprowadzić?
Jednym z pomysłów, które są w stanie uwierzytelnić tożsamość osobistą z jednoczesnym zachowaniem wymaganego obiektywizmu wyniku, są rozwiązania biometryczne. 11 Bazują one na cechach fizjologicznych osoby uwierzytelnianej ("what you are" według podstawowych kategorii informacji uwierzytelniającej), niezależnych od jej intencji. Główną funkcjonalnością systemów biometrycznych jest analiza wyróżniających, indywidualnych i względnie stałych cech organizmu ludzkiego, zwanych charakterystykami biometrycznymi (np. linie papilarne). Postać źródłowa charakterystyki biometrycznej jest pozyskana poprzez dedykowane do tego celu urządzenie (np. skaner linii papilarnych) w postaci tzw. próbki biometrycznej (np. obraz linii papilarnych), która jest przetwarzana w dalszym procesie do postaci wzorca biometrycznego (zestaw cech biometrycznych właściwych dla uwierzytelnianego). Wzorzec stanowi zestaw wyekstrahowanych i wyselekcjonowanych cech biometrycznych (np. minucje - charakterystyczne cechy opisujące linie papilarne) z zachowaniem możliwie najniższej korelacji.
Cechy biometryczne zapewniają możliwie wysoką rozróżnialność oraz powtarzalność dla osób uwierzytelnianych, z zachowaniem ich nieodwracalności (czyli braku możliwości odtworzenia próbki biometrycznej). Wzorzec biometryczny podczas rejestracji uwierzytelnianego w systemie (np. proces akwizycji danych i personalizacji dokumentu tożsamości) jest zachowany jedynie w pamięci mikroprocesora dokumentu tożsamości. W procesie uwierzytelnienia zostaje utworzona biometryczna próbka testowa osoby uwierzytelnianej w pamięci urządzenia (np. specjalistyczny palmtop ze skanerem), która następnie jest porównywana ze wzorcem biometrycznym umieszczonym w pamięci mikroprocesora dokumentu tożsamości.
Rezultatem porównania jest wartość liczbowa stopnia podobieństwa cech biometrycznych wzorca i próbki biometrycznej, która jest zestawiana z predefiniowaną przez operatora systemu wartością.12 Wartość stopnia podobieństwa cech biometrycznych równa lub przekraczająca wartość decyzyjną skutkuje uwierzytelnieniem pozytywnym (w Polsce za wystarczającą liczbę zgodnych minucji uznaje się przedział 12-15). Natomiast wartość stopnia podobieństwa granicząca ze stuprocentową zgodnością wzorca i próbki interpretowana jest jako próba nadużycia.
Powyższy opis idei rozwiązań biometrycznych bazuje na tzw. "rozpoznaniu odciskupalca". Oczywiście istnieje szereg różnych rozwiązań biometrycznych, które zapewne można by przytoczyć, lecz z uwagi na upowszechnienie technologii powyższa idea byłaby najbardziej praktyczna w zastosowaniu. Istnieje tylko jedno "ale"...
Niestety, rozwiązania biometryczne (również w Polsce) rodzą szereg zastrzeżeń i wątpliwości, począwszy od obaw natury fizycznej (np. ryzyko doznania uszczerbku na zdrowiu w wyniku niehigienicznej obsługi skanerów), a skończywszy na ryzyku ujawnienia naszych danych personalnych (np. pozostawienie na miejscu przestępstwa cudzych danych biometrycznych).13
Szukając przyczyn naszych uprzedzeń do rozwiązań biometrycznych, skorzystajmy z wyników badań naukowych pt. Biometria w systemie bezpieczeństwa człowieka - moda czy konieczność, przeprowadzonych w 2007 r.
Na podstawie tych badań, w odpowiedzi na pytanie "Czy i w jakim stopniu społeczeństwo obawia się ograniczenia swobód i poczucia wolności na rzecz bezpieczeństwa?" stwierdzono, że 58 proc. ankietowanych nie ufa technologii biometrycznej, gdyż nie daje ona 100 proc. potwierdzenia tożsamości; wyraża przekonanie, że biometria przyczyni się do ograniczenia swobód i wolności obywateli; uważa, że istnieje duże prawdopodobieństwo niewłaściwego użycia danych biometrycznych przez np. administrację rządową. Spośród pozostałych 36 proc. ankietowanych nie umiało zająć stanowiska a 6 proc. było przeciwnego zdania. 14
Powyższy wynik nie jest wyłącznie naszą polską przypadłością, gdyż w ankiecie TNS 15 aż 61 proc. ankietowanych uważało, że biometria ograniczy swobodę i prywatność.
Odnosząc powyższe wyniki do przytoczonej idei rozwiązania biometrycznego w dowodzie osobistym można wywnioskować, że:
* biometria jest relatywnie "młodą" dziedziną wiedzy, co przekłada się na dojrzałość technologii, która ją uzupełnia. Niemniej jednak metodologia tzw. "rozpoznawania odcisku palca" stosowana w technologiach biometrycznych bazuje na daktyloskopii, która znana jest już od lat 30. XX wieku. Wypracowane przez ten okres metody, narzędzia i technologie dają gwarancję skuteczności stosowanych rozwiązań;
* stosowanie biometrii w dokumentach tożsamości w takim samym stopniu ogranicza swobodę i wolność obywateli, co sam fakt posiadania dokumentu tożsamości (oczywiście nie licząc oczekiwań osób, które świadomie chciałyby posługiwać się skradzioną tożsamością). Jak już wspomniałem, wzorzec biometryczny winien być przechowywany tylko i wyłącznie w pamięci mikroprocesora dokumentu tożsamości, czyli jedynym jego dysponentem byłby posiadacz;
* zawsze istnieje ryzyko niewłaściwego użycia danych przez osoby trzecie. Jednakże takie ryzyko nie powoduje np. spadku ilości osób podróżujących, a przecież aby otrzymać paszport trzeba udać się do biura paszportowego i poddać się procedurze skanowania odcisku palca.
Jedna z hipotez przytoczonego badania była odpowiedzią na pytanie - czy biometria jest wysoce wiarygodnym sposobem uwierzytelniania tożsamości i czy w świadomości społecznej ma ona duże znaczenie w systemach bezpieczeństwa? 16 W odpowiedzi:
* 84 proc. ankietowanych uznało biometrię za wysoce wiarygodny sposób potwierdzania tożsamości,
* 72 proc. ankietowanych wierzy w skuteczność biometrii w walce z kradzieżami tożsamości,
* 53 proc. chce wykorzystania biometrii w walce z terroryzmem (biometryczna kontrola tożsamości),
* 45 proc. respondentów uważa dokumenty biometryczne za ważny element bezpieczeństwa. 17
Dodatkowo, największym poparciem ankietowanych cieszy się technologia "rozpoznawania odcisku palca", gdyż aż 53 proc. wskazało ją jako właściwą do zastosowania w dowodzie osobistym (50 proc. tęczówka oka, 14 proc. geometria dłoni, 22 proc. rozpoznanie twarzy, 6 proc. wzór żył oraz 26 proc. kod DNA). 18
Kończąc wywód, można pokusić się o sentencję: "Kiedy nadejdą nieszczęścia, za późno na ostrożność" (Seneka). Zatem nie bójmy się biometrii, która w kontekście przytoczonych na wstępie artykułu doniesień prasowych może być skutecznym rozwiązaniem.
Dariusz Poślad
Autor jest absolwentem Polish Open University wg akredytacji Times Valley University w Londynie oraz MBA wg akredytacji Oxford Brookes University. Kierownik projektu w Zespole Projektów Strategicznych w PWPW S.A.
Artykuł ukazał się w czasopiśmie "Człowiek i Dokumenty" ( www.czlowiekidokumenty.pl )
- - - - -
1 A. Wierzejska, W 2010 roku 7,5 tys. razy próbowano wyłudzić kredyty na łączną kwotę ponad 450 mln zł, "Dziennik Gazeta Prawna" nr 44 z 4.03.2011 r., dodatek "Odzyskaj swoje pieniądze".
2 Udaremniono 1,8 tys. prób wyłudzeń kredytów na kradzione dowody, Bankier.pl, 18.08.2011 r.
3 dokument tożsamości - dokument urzędowy stwierdzający tożsamość osoby (http://pl.wikipedia.org/wiki/Dokument_ tożsamości) [w Polsce dokumentem referencyjnym jest dowód osobisty - przypis autora]
4 uwierzytelnianie - proces polegający na zweryfikowaniu zadeklarowanej tożsamości osoby (http://pl.wikipedia. org/wiki/Uwierzytelnianie)
5 tożsamość osobista - bycie tym, za kogo się podajemy (http://pl.wikipedia.org/wiki/Tożsamość_osobista)
6 Ustawa o dowodach osobistych z dnia 6 sierpnia 2010 r.
7 Ustawa o zmianie ustawy o dowodach osobistych i ustawy o ewidencji ludności z dnia 9 czerwca 2011 r.
8 Podstawa prawna: 1) Ustawa z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (Dz. U. z 1974 r. Nr 32, poz. 174); 2) Rozporządzenie Rady Ministrów z dnia 21 listopada 2000 r. w sprawie wzoru dowodów osobistych oraz trybu postępowania w sprawie wydawania dowodów osobistych, ich wymiany, zwrotu lub utraty (Dz. U. z 2000 r. Nr 112, poz. 1182).
9 Podstawa prawna: 1) Ustawa o dowodach osobistych z dnia 6 sierpnia 2010 r.; 2) Ustawa o zmianie ustawy o dowodach osobistych i ustawy o ewidencji ludności z dnia 9 czerwca 2011 r.
10 "Biometria podpisu odręcznego tym różni się od innych biometrii, że nie polega na mierzeniu określonych cech wrodzonych, a pewnego wyuczonego zachowania" (http://pl.wikipedia.org/wiki/Cechy_biometryczne).
11 biometria - technika dokonywania pomiarów istot żywych. W najnowszych zastosowaniach ukierunkowana jest na metody automatycznego rozpoznawania ludzi na podstawie ich cech fizycznych (http://pl.wikipedia. org/wiki/Biometria). Nazwa "biometria" wywodzi się od greckich słów: bios (życie), metron (mierzyć).
12 D. Mostowski, Biometria - współczesny trend w uwierzytelnianiu, "Systemy Alarmowe" nr 4/2011 z 1.08.2011 r.
13 Krysowaty A., Krysowaty I., Niedziejko P., Nie bójmy się biometrii, "Zabezpieczenia" nr 6/2007
14 ibidem
15 dla Kanady - TNS Canadian Facto, dla USA - TNS NFO
16 Krysowaty A., Krysowaty I., Niedziejko P., Nie bójmy się..., op. cit.
17 ibidem
18 ibidem