Biomeetrial põhineva isikutuvastuse tulevik

From ICO wiki
WireFrameFaces.jpg

Sissejuhatus

Merriam-Websteri sõnastik defineerib biomeetriat (siin toodud vaba tõlkena) kui: “Unikaalsete füüsiliste või käitumuslike karakteristikute (nagu sõrmejälg või häälemuster) mõõtmine ja analüüs, eesmärgiga tuvastada isiku identiteet.” [1]

Kuigi biomeetria on teadusena laiem valdkond (hõlmates näiteks ka statistilise analüüsi meetodite rakendamist bioloogiliste andmete peal), käsitleb käesolev uurimus biomeetriat kui mõistet, just nimelt tema kitsamast kasutusest, milleks on biomeetriline isikutuvastus. Ehk inimese identifitseerimist tema bioloogiliste tunnuste järgi.

Järgnevates peatükkides analüüsime biomeetrilist isikutuvastust erinevatest vaatepunktidest. Üritame anda ülevaate mis biomeetria on ja kus see kasutusel on. Lahkame põgusalt bioloogiliste tunnuste kogumise õiguslikku raamistikku. Toome välja selle tehnoloogia tugevused ja võimalused ning nõrkused ja ohud. Kirjeldame mõningaid suuremaid edulugusid ja läbikukkumisi.

Töö on refereeritud erinevatest allikatest ning selle eesmärgiks on kokkuvõttev võrdlev analüüs, mis peaks andma lugejale ülevaate käsitletud teemast, võimaldama võtta esialgse seisukoha ning pakkuma viiteid edasiseks uurimiseks.


Mis on biomeetria

Biomeetriliste sensorite tüübid [2]

Biomeetriline tuvastamine või lühemalt öeldes biomeetria, viitab indiviidi automaatsele äratundmisele tema bioloogiliste ja ka käitumuslike omaduste järgi. Biomeetria võimaldab isikut autentida ja tuvastada kontrollitavate andmete põhjal, mis on ainulaadsed ja omased ainult sellele konkreetsele isikule. Biomeetrilisteks tunnusteks võivad olla näiteks sõrmejälg, nägu, silma iiris või võrkkest, peopesa, käe geomeetria, hääl, allkiri ja kõnnak. [3]

Biomeetriline autentimine on protsess, mille käigus võrreldakse isiku omadusi käsitlevaid andmeid, selle isiku biomeetrilise malliga, et määrata nende vaheline sarnasus. Kõigepealt salvestatakse võrdlus aluseks võetav mudel andmebaasi või turvalisse kaasaskantavasse esemesse, näiteks kiipkaart. Autentimisel võrreldakse mõõtmise käigus saadud tulemusi, salvestatud malliga. Piisava sarnasuse puhul on isiku identiteet kindlaks tehtud. [3]

Biomeetriline süsteem on näiteks arvutisüsteem, mis rakendab biomeetrilisi tuvastusalgoritme. Tüüpiline biomeetriline süsteem koosneb tuvastamisest, funktsioonide eraldamisest ja sobitusmoodulitest. Biomeetrilised andurid (näiteks sõrmejäljeandur ja digitaalkaamera näo jaoks) skanneerivad inimese biomeetrilisi tunnuseid, et saada representeerida neid digitaalselt. Omandatud biomeetrilistele andmetele viiakse läbi kvaliteedi kontroll, et järgmised funktsioonid ja moodulid saaksid neid usaldusväärselt töödelda. Omaduste eraldamise moodul eemaldab omandatud andmetest ebavajaliku ja kõrvalise teabe ning sorteerib välja silmatorkava ja diskrimineeriva teabe, mida tavaliselt sobitamiseks kasutatakse. Sobitamise ajal viiakse päringu biomeetriline valim kokku andmebaasis talletatud viibeteatega, et tuvastada päringuga seotud identiteet. [3]

Üldiselt on biomeetrilisel süsteemil kaks toimimise etappi - registreerimine ja äratundmine. Registreerimine viitab etapile, kus süsteem salvestab andmebaasis inimese kohta mõne biomeetrilise teabe. See teave võib olla malli kujul (biomeetrilisest proovist eraldatud tunnused või matemaatilise mudeli parameetrid) või biomeetriline valim ise (nägu, sõrmejälg). Paljudes rakendustes salvestatakse koos inimese biomeetrilise teabega ka isiku kohta käivad identiteedi andmed (nimi, ID number). Kui aga need andmed puuduvad, siis märgistatakse see info üldjuhul süsteemi poolt genereeritud ID-ga tuleviku tarbeks. Tuvastuse etapis skanneerib süsteem kasutaja biomeetrilised tunnused, eraldab omadused ning võrdleb neid andmebaasis talletatud biomeetriliste võrdlusandmetega. Kõrge sarnasuse aste päringu ja võrdlusandmete vahel on kasutaja autentimise ja tuvastamise aluseks. [4]

Biomeetriline tuvastus mõõdab ja vastandab kasutaja konkreetsed biomeetrilised tunnuseid jandmebaasis olevatega, et kontrollida, et konkreetne isik, kes soovib ligipääsu süsteemile või mingit tegevust sooritada, on vastavalt volitatud. Kui isiku tunnused sarnanevad piisaval määral, tagatakse ligipääs või kinitatakse isiku identiteet.[5]


Tehnoloogiad

Silmaiirise/retina skänneri kasutamine inimese identifitseerimiseks [6]

Antud peatükis, kirjeldame põgusalt enamlevinud tehnoloogiaid mida hetkel kasutatakse biomeetriliste andmete salvestamiseks ja biomeetrilise isikutuvastuse läbi viimiseks.

Biomeetrilisi autentimise meetodeid saab kasutada ka kahe- või mitmefaktorilise autentimise vormis, kombineerides mitu biomeetrilist mustrit või koos tavapärase parooliga või mehhaaniliste ligipääsuseadmetega (paroolikaardid, võtmegeneraatorid), mis on biomeetrilise tuvastuse täienduseks. Biomeetrilist tuvastamist on võimalik paigaldada ka füüsilistesse keskkondadesse, kontrollides näiteks läbipääsupunkte - uksi, väravaid jne. Levinud biomeetrilise autentimise tüüpe paigaldatakse üha enam tarbijate seadmetesse, eeskätt arvutitesse ja nutiseadmetesse. Biomeetrilisi autentimistehnoloogiaid kasutavad valitsused ja eraettevõtted, muuhulgas on tehnoloogia kasutusel ka sõjaväebaasides, lennujaamades, riigipiiride sisenemis aladel (sellest lähemalt järgmises peatükis).[7]

Biomeetrilised tuvastusseadmed saab jagada viide laiemasse kategooriasse:

  • Visuaalsed seadmed - Kõige levinum kategooria, sisaldades sõrmejälje-, näo-, retina, termokaamera jms. tuvastusmeetodeid
  • Akustilised seadmed - Kategooria mis on hakanud laialt levima seoses hääljuhitavate seadmetega (Amazon Alexa, Google Voice jne.) ja tegeleb kasutaja tuvastamisega tema kõne või häälemustri järgi.
  • Käitumuslikud seadmed - Hetkel veel vähe levinud, aga siiski kasutuses, kategooria, mis analüüsib inimese käitumismustreid, näiteks kõnnakut või trükkimismustrit klaviatuuril.
  • Keemilised seadmed - Reaalse implementatsioonina veel teoreetiline kategooria seadmetest, mis tegelevad DNA reaalaajas tuvastamisega [8]. Samas võib laboratoorseid DNA analüüsi seadmeid, mis koostavad digitaalse profiili, siia alla juba liigitada.
  • Olifaktoorsed seadmed - Hetkel samuti teoreetiline kategooria, seademetest mis tuvastavad kasutajale omase spetsiifilise lõhna.


Järgnevalt kirjeldame nelja konkreetset ja hetkel enim kasutatavat biomeetrilise tuvastuse tehnoloogiat:

Sõrmejälje skännerid

Sõrmejälje skännerid kui vanamoodsa tindi ja paberi sõrmejälgede digitaalne versioon, põhinevad üksikute sõrmejälgede moodustavate ainulaadsete mustrite ja servade registreerimisel. Sõrmejälje skännerid on biomeetrilise autentimise üks levinumaid ja juurdepääsetavaid viise. Sõrmejälgede skaneerimise uuemad meetodid ulatuvad sõrmejälgede servadest kaugemale, naha alla, hinnates inimeste sõrmede veresoonte mustreid, mis muudab tehnoloogia rohkem usaldusväärsemaks.[7]

Sõrmejälje skännerid jaotuvad hetkel kaheks, optilised seadmed ja mahtuvusel põhinevad (capacitive scanner i.k.). Esimene neist teeb sisuliselt kiire ereda valgussähvatusega digitaalse foto sõrmejäljest. Mahtuvusel põhinev skänner töötab sõrmejälje elektrilisel mõõtmisel. Sõrmejälje servad puudutavad sensorit ja servade vahed (vaod) ei puuduta. See loob ebaühtlase elektrilise mahtuvuse (capacity) üle sensori ning lubab selle põhjal sõrmejälje digitaalse pildi luua.[9]

Vaatamata juhuslikule ebatäpsusele on sõrmejälgede skännerid igapäevaste tarbijate seas kõige populaarsem ja enim kasutatud biomeetriline tehnoloogia.

Näotuvastus

Näotuvastuse tehnoloogia põhineb kümnete erinevate mõõtmiste sobitamisel kasutaja näoga. Näotuvastuse seadmed mõõdavad fotolt või videokaadrist ubmakudu 68 erinevat geomeetrilist mõõdet näol, näiteks silmade vahekaugus, kaugus laubast lõuani. Need identifitseerivad mõõtmed, loovad kogumina unikaalse mustri - isiku näo signatuuri.[10]

Mõõtmise täpsus sõltub sellest mitut mõõdet on võimalik korraga tuvastada (sõltub pildi kvaliteedist ja rakursist).

Tänapäeval on näotuvastus lisatud mitmetele seadmetele - nutitelefonidele, arvutitele, tahvlitele.[7]

Häältuvastus

Häältuvastuse tehnoloogiad mõõdavad hääle omadusi, et indiviide eristada. Häältuvastusega kaasneb mõnes mõttes suurem keerukus kui eelmainitud meetoditega. Kõigepealt suunatakse helisalvestis läbi analoog-digitaalkonverteri (ADC) mis teeb helist "valimi" (sample i.k.), see tähendab, et väga kindla ajavahemiku tagant, mõõdetakse heli erinevate lainepikkuste sagedust. Mida väiksema ajavahemiku tagant mõõtmine toimub (me räägime murdosasekunditest) ja mida suuremat sagedusvahemikku on võimalik tuvastada, seda kvaliteetsem ja täpsem on salvestus aga ka seda suurem maht. [11]

Esimene probleem häältuvastusel on ajaline ühtivus. Inimese kõnekiirus on varieeruv ja nii peab olema tuvastussüsteem võimeline arvestama ka salvestatust aeglasema või kiirema kõnega. Samuti on probleemiks see, et inimese kõne sõltub tema tervislikust ja emotsionaalsest seisunudist. Selle tõttu üritatakse salvestatud häälemustrid, mille vastu valideerimisi teha, hoida võimalikult neutraalsed (rahulik toon, terve inimene). Tuvastüssteem jagab iga öeldud sõna, teatud dominantsete sageduste (nn. Formantide) järgi segmentideks ja üritab iga segmendi unikaalseid sagedusi ja sellega tonaalsust, võrrelda andmebaasi salvestatuga.[12]

Kaasaegsem tehnoloogia keskendub veel lisaks ka kõneleja suu ja kurgu kuju mõõtmisele, häälikute moodustamisel. See vähendab turvaprobleeme, mis võivad olla põhjustatud hääle varjamise ja jäljendamise katsetest ning ebatäpsusi mis võivadd või olla põhjustatud hääle varieerumisest, näiteks haiguse või kellaja tõttu. Lisaks võivad olla sõnad, mida kasutatakse häältuvastusega kaitstud seadmel, mõnevõrra normeeritud, toimides niiviisi paroolina ja hõlbustades kinnitatud hääle võrdlemist kasutaja unikaalse häälega.[7]

Silma skännerid

Kaubanduslikult on saadaval mitut erinevat tüüpi silma skännereid - võrkkesta ja iirise tuvastamiseks. Võrkkesta skannerid projitseerivad silma suunas ereda valguse, mis teeb nähtavaks silma võrkkesta veresoonte mustri, mida skänner sisuliselt jälle pildistab ning võrdleb andmebaasis salvestatud infoga. Iirise skännerid töötavad sarnaselt - pilt tehakse pupilli ümber olevast värvilisest rõngast ning siis otsitakse sealt ainulaadseid mustreid. Mõlemat tüüpi silma skaneerimise tehnoloogiad on kasulikud ka kui käed-vabad verifitseerimise meetodid, kuid ka sellisel autentimise meetodil võib ebatäpsusi tekkida, näiteks kui isikud kannavad kontaktläätsi või prille. Kuna silma skännerite petmiseks on kasutatud ka fotosid, siis on tehnoloogia pidevas arenemises ning kontrollskeemidesse lisatakse juurde erinevaid tuvastuse tegureid, näiteks silma liikumise tuvastamine.[7]

Vähemlevinud tuvastustehnoloogiad

  • Sõrme/käe veenipilt
  • Käe geomeetria
  • Kõrva kuju
  • Hammaste jäljend või hambumuse pilt
  • Termograafiline pilt (keha unikaalne soojusmuster, soojemad ja külmemad piirkonnad kehal)
  • Kõnnak (käitumuslik)
  • Huulte liikumine (käitumuslik)
  • Allkiri (käitumuslik - tuvastamine mitte pildi vaid kirjutamise viisi ja rütmi järgi)
  • Trükkimismuster (käitumuslik)


Kohad, kus biomeetria on kasutusel

Biomeetrilise isiktuvastuse kasutamine lennujaamas, lennukipardale asumise kiirendamiseks [13]

Ajalooliselt on biomeetrilisi andmeid kasutavaid rakendusi arendanud peamiselt sõjavägi (näiteks juurdepääsu kontrollimiseks) või muud asutused kriminaalseks või tsiviil otstarbeliseks tuvastamiseks ning seda rangelt reguleeritud õigusliku ja tehnilise raamistiku alusel. Täna on mitmetes uutes sektorites, näiteks pangandus, jaekaubandus ja telekommunikatsioon, tekkinud vajadus kasutada biomeetria eeliseid. Seda muutust on toetanud üldine teadlikkuse kasv sellest, mis biomeetria on, ja selle aktsepteerimine olukorras, kus miljonid nutitelefonide kasutajad lukustavad täna telefoni lahti sõrmejäljega. [14]

Kuid mis on biomeetrias nii erilist? Biomeetrilised süsteemid on suurepärased igas valdkonnas, kus tuvastamine ja autentimine on kriitilise tähtsusega. Biomeetriliste tehnoloogiate kõige tüüpilisemad kasutusjuhud võib laias plaanis jagada seitsmesse kategooriasse, millest igaüht on täpsemalt kirjeldatud allpool:

  • Õiguskaitse ja avalik julgeolek (kriminaalne / kahtlustatav isik)
  • Sõjaline (vaenlase / liitlase tuvastamine)
  • Piiri-, reisi- ja rändekontroll (reisija / rändaja / reisija tuvastamine)
  • Isikuandmete tuvastamine (kodaniku / elaniku / valija andmed)
  • Tervishoid ja toetused (patsiendi / abisaaja / tervishoiutöötaja tuvastamine)
  • Füüsiline ja loogiline juurdepääs (omaniku / kasutaja / töötaja / töövõtja / partneri tuvastamine)
  • Kommertsrakendused (tarbija / kliendi tuvastamine)


Õiguskaitse ja avalik julgeolek

Õiguskaitseorganite poolt kasutatavate biomeetriliste rakenduste hulka võivad kuuluda erinevad isiku tuvastamise lahendused. Kõige tuntum on kindlasti automatiseeritud sõrmejälgede (ja mõnel juhul ka peopesa jälgede) tuvastamissüsteem (inglise keeles: Automated Fingerprint Identification Systems või AFIS), mille puhul kasutatakse andmebaasis olemasolevate sõrmejälgede informatsiooni ning võrreldakse seda kuriteo toimepanemises kahtlustatava isiku sõrmejälgede vastu. Tänapäeval saab automatiseeritud biomeetriliste tuvastus süsteemide abil luua ja salvestada ka muud biomeetrilist teavet peale sõrmejälgede. Seepärast räägitakse ka sageli, et AFIS on muutumas ABIS-eks ehk automatiseeritud biomeetriliseks tuvastussüsteemiks (inglise keeles: Automated Biometric Identification System), pakkudes õiguskaitseasutustele veelgi võimsamat tööriista. Üha enam püütakse leida viise, kuidas tuvastada inimese nägu reaalajas või pärast mingi sündmuse toimumist – see on just avaliku julgeoleku küsimus olukorras, kus tekib vajadus tuvastada inimese nägu rahvamassis mingi sündmuse järgselt (näiteks terroriakt). Neid valvesüsteeme testitakse või kasutatakse paljudes riikides, kuid nendega on seotud mitmeid väljakutseid (näiteks peetakse neid jälitustegevuse tõttu inimeste privaatsust rikkuvateks). [15]


Sõjavägi

Pole palju teada, kuidas kaitseagentuurid kogu maailmas biomeetrilisi andmeid kasutavad, kuna see teave pole sageli avalik. Mis on teada, on see, et näiteks USA sõjavägi on alates 2009. aasta jaanuarist kogunud andmeid nägude, silma võrkkesta (iirise), sõrmejälgede ja DNA kohta biomeetrilises tuvastussüsteemis. See programm algas juba 2004. aastal ja algselt koguti informatsiooni ainult sõrmejälgede kohta. Seda süsteemi haldab The Defense Forensics and Biometrics Agency (DFBA) ning vastavalt OneZero andmetele on selles andmebaasis olevad 7,4 miljonit identiteeti valdavalt pärit sõjalistest operatsioonidest Iraagis ja Afganistanis [16]. Selles andmebaasis oleva biomeetriliste ja kohtuekspertiisi vastete põhjal on omakorda perioodil 2008-2017 vahistatud või mõrvatud 1700 isikut [17]. Lisaks on selles olevaid andmeid võimalik kasutada, et teostada hukkunute biomeetrilist tuvastamist lahinguväljal [18].


Piirikontroll, reisimine ja ränne

Elektrooniline pass (e-pass) on samuti täna juba paljudele tuttav biomeetriline reisidokument, mis sisaldab mikrokiipi biomeetrilise informatsiooniga. Tavapäraselt on seal lisaks fotole informatsioon ka omaniku sõrmejälgede kohta [19]. Väidetavalt on 2020. aastal ringluses üle 1,2 miljardi e-passi [20]. See on eelduseks nii automaatsete piirikontrolli süsteemide (ehk e-väravate), aga ka iseteeninduskioskite kasutusele võtuks. E-passis olev foto kiirendab piiriületust skänneri abil, mis kasutavad biomeetrilise tuvastamise põhimõtet. Nimelt, biomeetriline autentimine toimub, kui võrrelda piiriületusel reaalselt nähtavat nägu/sõrmejälgi passi mikrokontrolleris oleva näo/sõrmejälgedega. Kui mõlemad biomeetrilised andmed kattuvad, kinnitatakse autentimine. Austraalias asuv Brisbane'i lennujaam oli biomeetrilise tehnoloogia kasutusele võtmisel üks „teerajajaid“ ja seda protsessi alguses reisijate registreerimisel ehk check-in’is. Biomeetrilise tehnoloogia kasutuselevõtt 2017. aasta märtsis võimaldab reisijatel registreerida enda biomeetrilised andmed näotuvastusega iseteeninduskioskis check-in’i protsessi käigus. Lennureisi järgmised sammud, nagu pagasi registreerimine ja pardaleminek, tehakse algselt check-in’i protsessi käigus näotuvastuse abil kogutud biomeetrilise informatsiooni baasil, ilma et oleks vaja esitada pardakaarti, passi või muud reisidokumenti.[21]

Lisaks on paljud riigid loonud biomeetrilised infrastruktuurid, et kontrollida sisse- ja väljarännet enda riiki. Näiteks, sõrmejälgede skannerid ja/või kaamerad piiripunktides koguvad teavet, mis aitavad täpsemalt tuvastada riiki sisenevaid reisijaid. Üheks näiteks on Euroopa Liidu poolt arendatav European Entry/Exit System (EES), mida soovitakse Euroopa Liidu piiridel rakendada lähiaastatel. Sisuliselt on tegemist süsteemiga, kus soovitakse hakata registreerima kõigi kolmandatest riikidest Schengenisse sisenevate isikute andmeid, sealhulgas pilti näost (teatud juhtudel ka informatsiooni sõrmejälgede kohta), isiklikku informatsiooni (eesnimi, perenimi, sünniaeg, sugu, rahvus(ed)) ja teavet reisidokumendi kohta (tüüp, väljaandnud riik, kehtivusaeg).[22]


Tervishoid ja toetused

Paljud riigid üle maailma on võtnud kasutusele riiklikud isikutunnistused (ID-kaardid), millel on olemas biomeetrilised funktsioonid (näiteks talletatud informatsiooni kaardi omaniku sõrmejälgede kohta). Seda informatsiooni kasutatakse näiteks kaardi omaniku isiku tuvastamiseks, võimaldamaks ligipääsu valitsuse poolt pakutavatele teenustele (sealhulgas tervishoiuteenustele). [23]

Üks Aafrika riike, kes sellist süsteemi kasutab, on Gabon [24]. Gabonis juurutati riiklik tervishoiuprogramm, mis annab, teatud kriteeriumitele vastavatele, inimestele ligipääsu tasuta tervishoiuteenustele [25]. Kõikidel inimestel, kes kvalifitseeruvad programmi, on individuaalne tervisekindlustuskaart koos ravikindlustuse numbriga. Tervisekindlustuskaardi mikroprotsessoris on salvestatud omaniku andmed – digitaliseeritud kujul omaniku foto ja kaks sõrmejälge. Andmete kaitse on tagatud krüpteerimise läbi. Haiglad, kliinikud ja apteegid kasutavad tervisekindlustuskaarti, et kontrollida sotsiaalkindlustusõigusi, kaitstes samal ajal isikuandmete konfidentsiaalsust. Selleks on kasutusel terminalid, mis kontrollivad sõrmejäljeanduritega tervisekindlustuskaardi esitanud inimese identiteeti kaardile salvestatud informatsiooni vastu. [26]


Rahvastiku ja valijate registreerimine

India Aadhaari projekt on vaieldamatult maailma suurim biomeetriline tuvastussüsteem ning selle nurgakiviks on isiku usaldusväärne tuvastamise ja autentimine. Aadhaar (inglise keeles: foundation või base) on 12-kohaline unikaalne isikukood, mis antakse, vabatahtlikkuse alusel, välja kõigile India elanikele või India passi omanikele. See number on seotud elaniku põhilise demograafilise ja biomeetrilise teabega, nagu foto, kümme sõrmejälge ja kaks iirise skanneeringut, mida säilitatakse tsentraliseeritud andmebaasis. Inimene saab endale füüsilise kaardi koos Aadhaar numbriga, mida saab ristviidete abil seostada andmebaasis hoitavate biomeetriliste andmetega [27]. Aadhaari kaart ei ole tõend kodakondsuse kohta, kuid kodanikud peavad selle esitama, kui soovivad saada teatud sotsiaaltoetusi ja -teenuseid [28]. 1. märtsi 2020. aasta seisuga on 1 255 109 872 inimesel Aadhaari number, mis hõlmab enam kui 99% India täiskasvanud elanikkonnast ja millega on tehtud 39 miljardit autentimist [29]. Algselt oli projekt loodud riiklike toetuste ja töötushüvitiste skeemideks juhtimiseks, kuid nüüd hõlmab see ka palju muud. India rahandusminister Arun Jaitley ütles oma 1. veebruaril 2018. aastal peetud kõnes, et Aadhaar pakub igale indialasele identiteeti, mis on muutnud paljud teenused inimestele kättesaadavamaks. Lisaks on see väidetavalt vähendanud riigis korruptsiooni ja avalike teenuste osutamise kulusid.[30]

Mitmeid näiteid biomeetria kasutamisest, et läbi viia parlamendi- või presidendi valimisi, on pärit Aafrikast. Juba 2012. aastal kasutas või implementeeris 23 Aafrika riiki biomeetrilist valijate tuvastussüsteemi eesmärgiga muuta valimised „ausamaks ja läbipaistvamaks.“ [31]


Füüsilise ja loogilise juurdepääsu kontroll

Biomeetrilised juurdepääsu kontrollsüsteemid aitavad vältida volitamata isikute juurdepääsu biomeetrilisel autentimisel põhinevatele ehitistele/ruumidele (füüsiline juurdepääsu kontroll) või arvutisüsteemidele ja võrkudele (loogiline juurdepääsu kontroll) [32]. Infotehnoloogia valdkonnas võib biomeetriline juurdepääsu kontroll olla täiendav kasutaja autentimisfaktor ja toetab organisatsioonide identiteedi ja juurdepääsuhalduse põhimõtteid. Erinevalt koodidest, staatilistest paroolidest, ühekordsetest paroolidest või juurdepääsukaartidest, mida saab unustada või kaotada, põhineb biomeetriline autentimine sellel, kes inimene on, ja mitte sellel, mis neil on või mida nad teavad.[33]

Näiteks sellisest juurdepääsu kontrollimisest on nutitelefoni avamine sõrmejäljega. iPhone 5 tutvustas sõrmejälgede abil tuvastamist esmakordselt 2013. aastal (koos Touch ID-ga) ja näotuvastus muutus trendikaks 2017. aasta novembris turule tulnud iPhone X-ga (koos Face ID-ga). Väidetavalt suudab see süsteem tuvastada näo hiljem ka sõltumata sellest, kas isikul on ees prillid, rohkem make-up’i või habe/vuntsid [34]. Tänapäeval on ka paljudel Android operatsioonisüsteemidel põhinevatel telefonidel see funktsioon (Face Unlock) [35]. Counterpointi hinnangul müüakse 2020. aastal maailmas rohkem kui 1 miljard nutitelefoni, mis kasutavad mingisugust inimese näol põhinevat telefoni lukust vabastamise biomeetrilist lahendust [36].


Kommertsrakendused

Tunne oma klienti (inglise keeles: know your client või KYC) on näiteks pangakonto avamisel ja hiljem perioodiliselt kliendi identiteedi tuvastamise ja kontrollimise kohustuslik protsess. Täna on see oluline võitluses finantskuritegudega ja tõkestamaks rahapesu [37]. Biomeetria abil saavad pangad, Fintech-ettevõtted või isegi telekommunikatsiooniettevõtted teha kohustuslikke KYC-kontrolle kiiremini ja tõhusamalt [38]. Näiteks on Indias alates 2019. aastast lubatud kasutada Aadhaari informatsiooni pangakonto avamiseks või mobiiliühenduse saamiseks (st mobiilioperaatoriga lepingu sõlmimiseks) [39].

Mobiiltelefonides kasutusel olevaid biomeetrilisi lahendusi soovivad järjest enam ära kasutada pangad, kes tutvustavad järjest enam enda mobiiltelefonides töötavatel platvormidel biomeetrilise autentimise lahendusi [40]. Biomeetrilisi lahendusi mobiilmaksetes peetaksegi järgmise põlvkonna maksetehnikaks. Heaks näiteks siin on Apple Pay, millega on võimalik näiteks iPhone’iga maksta restoranis enda arve eest. Sisuliselt on tegemist Apple Inc. poolt arendatud rakendusega, mida enda mobiili alla laadides on võimalik kasutada restorani pangaterminalis (POS) kontaktivaba makse tegemiseks. See sarnanebki kontaktivabale maksele pangakaartide puhul, kuid sellele on lisatud kahefaktoriline autentimine Touch ID, Face ID, PIN-koodi või pääsukoodi kaudu.[41]

Jaemüüjad saavad näotuvastust kasutada, et tuvastada kas eksklusiivseid püsikliente või vastupidi, poevargaid, hetkel kui nad poodi sisenevad. Näiteks, kui süsteem tunneb poevarga ära, siis saadab see poe juhatajale turvahoiatuse. Suurbritannia väljaanne The Guardian väidab, et mõttetu on teatada poes aset leidvatest kauba vargustest politseile, ning jaemüüjad peavad ise leidma lahenduse probleemiga võitlemiseks (ja hinnanguliselt 700 miljoni naelsterlingi suuruse kahjumi vähendamiseks) [42]. Selleks on poeomanikud pöördunud näotuvastuse lahenduste poole. Näotuvastus on väidetavalt kasutuses ka USA-s. Mitmetel USA juhtivatel jaemüügi ettevõtetel on kavas kas näotuvastuse kasutuselevõtt või on uuritud selle potentsiaali ja läbi viidud testimisi enda kauplustes. Väidetavalt näiteks Walmart mõtles selle peale, kuid loobus sellest, Lowe’s kasutab seda tehnoloogiat ja Saks Fifth Avenue kasutab seda Kanadas. [43]


Biomeetrilise isikutuvastuse eelised

Biomeetrilise isiktuvastuse ärilised eelised [44]

Biomeetria laiem kasutuselevõtt

Suur osa informatsioonist biomeetria kohta räägib isikutuvastusest ja sellega seotud turvalisusest. Sellistes aruteludes räägitakse terrorismi tõkestamisest ja kriminaalide asukoha määramisest jms. See ei ole vale, kuid peegeldab biomeetria kasutamisvõimalustest ainult ühte osa. Seda osa, mis aitaks lennujaamades ja politseijaoskondades kriminaalide ja terroristide elu keerulisemaks teha. Kui jätta see külg kõrvale ja mõelda laiemalt, teeb biomeetria suurel osal inimestest elu hoopis mugavamaks. Juba täna kasutatakse sõrmejäljelugejaid telefoni avamiseks, häälkäsklusi Alexale jne. Meid ootavad ees põnevad ajad. [45][46]

Ajajärgul, mil enamik tehinguid on automatiseeritud ning enamik neist on ka võrgus teostatavad, on turvalisus saanud väga oluliseks teemaks. Tavapäraselt on turvalisus tagatud millegi omamise kaudu (näiteks ID kaart ja võtmed) või millegi teadmise kaudu (näiteks parool ja PIN). Sellist tüüpi turvalisus hakkab ajale jalgu jääma. Omatavaid asju võib kaotada ja teadmistel põhinevaid asju võib unustada või petturid võivad sellele lihtsalt jälile saada. Sellest tulenevalt oli puudus tugevamast autentimise meetodist. Uurimustööde tulemusena jõuti juba aastaid tagasi biomeetrilise isikutuvastuseni. Jõuti arusaamani, et inimese kehaosad või teatud käitumisviisid võivad olla isiku tuvastamise aluseks. [47]

Süsteemide hulk, mis nõuavad usaldusväärseid isikutuvastamise skeeme on suur ja üha kasvav. Biomeetriline isikutuvastus võimaldab, lisaks senisele, kasutada isiku identiteedi tuvastamiseks ka füüsilisi või käitumuslikke karakteristikuid ehk siis ligipääsusid võimaldaks asjaolu, „kes see isik on“ mitte enam pelgalt see, „mis sellel isikul on“ või „mida isik mäletab“. [48]


Eelised ja võimalused

Selleks, et tuua välja biomeetrilise isikutuvastuse positiivsed küljed, peame esmalt rääkima mõnedest traditsioonilistest isikutuvastuse meetoditest. See aitab avada biomeetrilise isikutuvastuse positiivseid külgi.

Traditsioonilised isikutuvastuse meetodid on teadmiste ja millegi omamisel põhinev (paroolikaart, token vms). Erinevad uuringud on välja toonud, et suur osa inimestest seab parooliks enda või lähedase nime, sünnipäeva, lemmik raamatu või – filmi. Sellised paroolid on kergesti lahti murtavad. [48]

Kuigi on (rangelt) soovitatav, et erinevatesse süsteemidesse sisenemiseks kasutataks erinevaid paroole, kasutab enamik inimesi siiski sama parooli mitmesse süsteemi logimiseks. Seal juures paroole pigem muudetakse harva või ei muudeta üldse. Sellisest käitumisest tulenevalt saab öelda, et ühe parooli lahti muukimisel saab pettust teostada sooviv inimene, siseneda mitmesse süsteemi. See on väga suur turvarisk. [48]

Ei ole ebatavaline, et petturid loovad võlts veebilehti, kus lastakse inimestel luua kasutajanimed ja paroolid. Tõenäosus on üsna suur, et inimesed kasutavad samu paroole, mida nad kasutavad ka erinevatel teistel veebilehtedel ja tööalaselt kasutatavates rakendustes. Selliselt tekib võimalus, et häkker saab logida sisse ka tööalasesse rakendusse. Palju on räägitud ka sellest, et pikemad või mitmetest erinevatest tähemärkidest (tähed, numbrid, sümbolid jms) koosnevad paroolid on turvalisemad. Samas on need ka raskemini meelde jäävad. Sellest tulenevalt hakatakse neid üles kirjutama ja asetama märkmiku vahele, klaviatuuri alla, sahtlisse vms. kohta, kust neid lihtsalt kätte saab. [48]

Väga oluline on mõista, et häkkeril piisab lahti murda vaid üks parool, kui ta saab ligi mõne ettevõtte rakendustele. Süsteem on täpselt nii turvaline, kui on selle kõige nõrgem parool.Palju probleeme esineb ka erinevate paroolikaartide, PIN-kalkulaatorite jms. Neid võib lihtsalt kaotada, jagada ja varastada. Selle tulemusena võivad sattuda need võõra valdusesse. Võõras võib neid kopeerida ja kasutada ebaeetilisel eesmärgil. [48]

Biomeetriat aga ei saa kaotada või unustada. Online biomeetrial põhinev tuvastussüsteem nõuab isiku kohalviibimist tuvastamise hetkel. Biomeetrilisi näitajaid on raskem kopeerida ja järgi teha. Kui süsteem kasutab biomeetrilist isikutuvastust, siis on keeruline ümber lükata, et isik ise arvutivõrku ei sisenenud. Kõige olulisemaks siin juures on asjaolu, et kui paroolide tugevused ja inimeste hoolsus hoida oma paroolikaarte ja PIN kalkulaatoreid on väga erinvad, siis biomeetriline isikutuvastus tagab selle, et üks konto ei ole lihtsamini lahti muugitav kui teine. Just selle tõttu on biomeetria kasutamisest tingitud minimaalne turvalisus, siiski oluliselt kõrgem kui näiteks pelgalt paroolidega kaitstud süsteemi puhul.[49]

Kõik ligipääsusüsteemide ja piirangute puhul konkureerivad omavahel alati kaks põhimõtet, turvalisus ja kasutusmugavus. Turvalisemad süsteemid on inherentselt ebamugavamad kasutada (pikad, keerulised paroolid, lisaseadmed jne.) ning lihtsasti kasutatavad süsteemid on tavaliselt ebaturvalisemad (väiksem entroopia ja sellega suurem tõenäosus vale-positiivse tulemuse saamiseks). Biomeetriline isikutuvastus on hetkel ilmselt optimaalseim kombinatsioon kasutusmugavusest ja turvalisusest. Selle kasutamisega kaasneb võimalus oluliselt vähendada riske. Samaväärselt turvaliste paroolide kasutamine sunniksid kasutajat mäletama, vahetama ja varjama pikki mitmetest erinevatest sümbolitest ja tähemärkidest koosnevaid kombinatsioone. [48]


Utopistlik tulevikuvisioon

Stiliseeritud pilt. Autor: Jackie Niam [50]

Üks põnevaimaid tulevikuvisioone on kindlasti ajulaine skaneerimine. Neuroteadlane Lawrence Farwell kutsub seda ka aju sõrmejälje lugemiseks (Brain Fingerprinting i.k.). Ajulainete skaneerimisega saab tuvastada informatsiooni, tuginedes elektrofüsioloogiliste infotöötluse ilmingutele ajus. Tänaseks on tuvastatud elektriline aju kiirgus, mida tuntakse P300 nime all. See ilmneb siis, kui isikule näidatakse midagi või ta viiakse kuhugi tuttavasse kohta. Näiteks kui isikule, kes tappis teise isiku, näidatakse relva, millega ta selle isiku tappis, peaks tema ajust kiirgama just P300. Kui talle näidatakse suvalist relva, siis seda ei juhtu. [51]

Teiseks huvitavaks lahenduseks võiks olla biomeetrilise isikutuvastuse kasutamine valimistel. Selliselt ei saaks keegi kasutada teise isiku allkirja või digitaalallkirja, et hääletada. Valimisõigus on vabas maailmas väga oluline õigus. Seetõttu on oluline tagada selle protseduuri turvalisus. Biomeetrilise isikutuvastuse korral oleks see tagatud. Inimene läheb valimisjaoskonda või kasutab kodus sõrmejälje lugejat ja/või vastavat kaamerat, mis biomeetria alusel tuvastab isikusamasuse. [51]

Siin on tõenäoliselt kõige keerulisemaks küsimuseks see, et kas sellel juhul on valimised anonüümsed. Samas sama küsimus on tekkinud ka digiallkirja kasutades.

Biomeetriat saaks kindlasti kasutada pangaautomaatides. Selleks, et raha kätte saada, ei peaks enam kasutama pin-koodi, aga võiks kasutada näiteks sõrmejälje tuvastajat ja/või näotuvastajat.

Siit edasi võib mõelda kindlasti sellele, et milleks meile üldse pangakaardid? Sisuliselt võiks pangas skaneerida oma biomeetrilised tunnused. Seejärel saaks poes nende samade tunnuste alusel tasuda. Ei ole enam vaja pangakaarti, mis võib kaduda ja mida keegi teine saab kuritarvitada.

Sama võiks teha kõikide kliendikaartidega. Selle asemel, et jaga erinevaid kaarte või koguda seda infot ID kaardile, võiks see info olla biomeetriliste tunnuste alusel tuvastatav.

Biomeetriat võiks kasutada näiteks ka autodel. Selleks, et auto uksi avada ja see liikuma saada, võiks võtmete asemel kasutada biomeetrilist isikutuvastust. Vastavasse autosse tuleks lihtsalt programmeerida nende isikute biomeetria, kellel on selle sõiduki kasutamise õigus. See vähendaks ilmselt oluliselt autovargusi.

Samuti saaks biomeetrilist isikutuvastust kasutada ühissõidukites. Selleks, et tuvastada, kas isikul on sõiduõigus, peaks ta näiteks sõrmejälje või silma iirise laskma skaneerida. Süsteem ütleks kohe, kas isik peab sõidu eest maksma või on tal tasuta sõidu õigus.

Kui mõelda värbamiste peale, siis on mitmeid ameteid, kuhu näiteks kriminaalse taustaga inimesed ei sobi. Oleks väga lihtne, kui intervjuu alguses saaks sõrmejäljelugejaga kinnituse riiklikest süsteemidest, et isikul puudub kriminaalne taust. Täna peab värbamisel kogu protseduuri läbi tegema ja alles valiku viimases staadiumis tehakse päring riiklikesse institutsioonidesse vastava info saamiseks. Säästaks oluliselt aega, kui kohe alguses oleks informatsioon käes.

Milleks meile koduvõtmed, uste paroolid või kontori uksekaart? Pigem võiks registreerida biomeetrilised parameetrid ja avada uksi hoopis nende abil. See aitaks vähendada erinevate vahendite olemasolu selleks, et uksi avada. Samuti ei peaks enam meeles pidama paroole, mis lisaks meelespidamise vajadusel ka ajas muutuvad.

Olemas on asutusi, kuhu alla teatud vanuses isikud sisse pääsema ei peaks (ööklubid, kasiinod jne). Biomeetriline isikutuvastus annab selge vastuse, kas isik pääseb sisse või mitte. Isik ei saa kasutada vale ID kaarti või öelda, et isiku tuvastamise vahend jäi koju. Kui oled ise kohal, on kohal ka isiku tuvastamiseks vajalik materjal.

Need on vaid mõned näited selle kohta, millistel elualadel võib ja saab biomeetrilist isikutuvastust kasutada.

Tasub ka mõelda sellele, millele üleüldse baseerub kogu meie praegune arusaam inidivualismist ja sellest "kes-on-kes". Kogu inimsuhtlus on aegade algusest baseerunud biomeetrilistel karakteristikutel, füüsiline välimus, manerismid, hääletoon ja kõla. Käies notari juures tuvastatakse meie isik samuti kõigest kahe faktori järgi, midagi mis meil on (dokument) ja midagi mis me oleme (meie ise, meie välimus). Notar ei tunne meid, ta tuvastab meid ainult viies kokku meie välimuse, meie dokumendil kujutatuga.

Me oleme infosüsteemide arenguetapis kus masinõppe ja tehisintellekti abil loodud süsteemid võivad olla OLULISELT täpsemad ning kiiremad isikutuvastuse mehhanismid kui meie enda meeled. Initsatiivid selles osas on käimas juba praegu ja näitavad suurt edupotentsiaali, näiteks Eesti päritolu ettevõte Veriff, mis tegeleb online digitaalse isikutuvastusega.[52]


Biomeetrilise isikutuvastuse puudused

Thomas Keenan ettekanne, kuvatõmmis videost [53]

Biomeetrilise isikutuvastuse tumedamaks küljeks on privaatsuse riive ja turvariskid, mida see tehnoloogia endas kätkeb.[53]

Biomeetrilised andmed pole midagi muud kui digitaalne profiil, mis kirjeldab selle omanikku. Sisuliselt on tegemist lihtsalt järjekordse „parooliga“. Samas selle parooli näol on tegu peavõtmega (master key i.k.) mille lekkimisel saab lahti lukustada, mistahes ressursid mis sellega seotud on.

Problemaatiline on sealjuures see, et erinevalt teistest turvalisuse faktoritest on biomeetrilist profiili võimatu muuta. Pärast seda kui see on lekkinud või röövitud, saab ründaja (või kes iganes sellele ligipääsu saab) seda kasutada mis tahes otstarbel ja millal iganes – igavesti!

Kui kellegi sõrmejälje profiil on lekkinud siis muudab see faktori ebausaldusväärseks ja sellega ei saa enam tagada millegi olulise turvalisust. Mida rohkem me asendame koode ja salasõnu biomeetriliste paroolidega, seda väärtuslikumaks muutuvad sedasorti andmed hallil ja mustal turul ja seda rohkem muutuvad biomeetrilise profiile hoidvad süsteemid lukratiivseteks ründe objektideks.


Ohud biomeetrilistele andmehoidlatele

Biomeetrilised profiilid on andmed. Täpselt samasugused nagu kõik teisedki. Neid saab muuta, varastada, lunavara abil pantvangi võtta. Ning sarnaselt teistele andmetele, saab illegaalselt hangitud biomeetrilisi profiile agregeerida legaalsetega ning sootuks kolmandate süsteemidega. Luues andmebaase või tarkvara mille negatiivset mõju küberturbe tulevikule on keeruline üle tähtsustada.

Eelmise aasta lõpus andis Kaspersky Lab ICS CERT välja raporti, turvaohtudest biomeetrilistele süsteemidele. Raporti hinnangul üritati suunatult rünnata 37% ehk rohkem kui kolmandikku, nendest biomeetriat salvestavatest infosüsteemidest mida Kasperski turvata aitab.[54]

Ohtlikumaks ründevektoriks peab Kasperski nuhkvara (spyware/RAT i.k.) ja õngitsemist (phising malware i.k.). Raporti koostajad on veendunud, et biomeetriliste süsteemide haavatavus, sisuliselt suvalistele, kürberturbe ohtudele on tohutu risk nii teenusepakkujatele kui inimestele kes on oma andmed nende hoolde usaldanud. [54]

Raporti autorid on veendunud, et biomeetriliste andmehoidlate omanikud ja küberturbe riskide hindajad ei suhtu piisava tõsidusega, biomeetriliste profiilide lekke võimalikesse tagajärgedesse. [54]

Kaasaegse arvutustehnoloogia ja masinõppe arenguga on järjest suurenenud võimekus biomeetrilise profiili tuleviku interpoleerimiseks, ehk siis lihtsustatult – on võimalik olemasoleva profiili põhjal välja arvutada, milline see võiks olla aasta(kümne)id hiljem.

Markantne näide sellest on äpp nimega FaceApp. Mobiilirakendus, kuhu on võimalik üles laadida enda praegune foto ning mis, kasutades neuraalvõrku, lisab pildile filtri mis näitas kasutajat vananenult.

Äpi tootja Wireless Lab on vene päritolu ettevõte, mille kasutajalepingu tingimused olid ambivalentsed selles osas, mida biomeetriliste profiilidega edasi tehakse. On süüdistatud, et rakendus laeb andmed pilve (väide mida ettevõte ise eitab) ning andmed võib kasutajalepingu järgi jagada „seotud ettevõtetega“ (affiliates i.k.).[55]

Sedasorti tehnoloogia areng võimaldab tulevikus tõenäoliselt, mistahes pildi põhjal, genereerida biomeetrilise profiili mida kasutada näotuvastusega süsteemide ründamiseks ka aastakümneid hiljem.

Jättes kõrvale isegi Wireless Lab’i kahtlased ärivõtted siis tahes-tahtmata tekib (sarnaselt Kaspersky analüütikutele) küsimus, kui tõsiselt võtab väikeettevõte küberturvalisust, valdkonnas mida nad ise näevad pelgalt meelelahutusena.

See ongi biomeetriliste andmehoidlate suurim probleem. Ükski süsteem pole täiuslik ning ründed ja lekked on kahjuks kaasaegsete infosüsteemide igapäev. Küberturvalisuses, nagu igas preventatsioonis, kehtib põhimõte, et kui kaitsjal peab vedama iga kord siis ründajal peab vedama ainult ühel korral. Groteskseid näiteid selle kohta leiab juba praegu.

2006. aastal kopeeris Iisraeli Justiitsministeeriumi töötaja, 9 miljoni Iisraeli kodaniku biomeetrilised andmed, mis lekkisid lõpuks „Agron 2006“ nimelise rakendusena internetiavarustesse ja on tõenäoliselt siiani failjagamisteenuste või torrent tehnoloogia abil leitavad. [56][57]


Lai valik ründevektoreid

Isegi kui me jätame korraks kõrvale andmehoidlad nende turvaprobleemid ja kahtlased rakendused mis andmepüügiga tegelevad, põrkume me kohe järgmise ohuga, milleks on digitaalsed salvestusseadmed. Tänapäeval kannab kolmandik maailmast taskus kaamerat mis on võimsam kui esimeste satelliitide omad ning protsessorit mis vaid 40 aastat tagasi oleks klassifitseerunud superarvutina.

Tehnoloogia areng on teinud võimalikuks, mistahes isikust kes avalikus ruumis liigub, suhteliselt kerge vaeva, biomeetrilise profiili loomise.

2014 aastal õnnestus grupil häkkeritel, tavaliselt pressi fotolt, kopeerida Saksa kaitseministri sõrmejälg ning teha sellest tõmmis mida saanuks kasutada näiteks tema telefoni lahti lukustamiseks (peatume sellel lähemalt 8. peatükis). [58]

Entusiastidel on korduvalt õnnestunud erinevate sõrmejälje lugejate petmine ja lahtilukustamine, kopeeritud sõrmejälgede abil. Näiteks sõrmejälje abil telefoni lahti lukustamise populariseerinud iPhone’i TouchID. [59]

2018 aastal kasutasid õiguskaitseorganid esimest korda fotolt võetud sõrmejälge, kurjategija kinnipidamiseks. Nimelt postitas narkodiiler WhatsApp’i nimelise rakenduse abil pildi pakutavast kaubast enda klientidele viisil, et pildil oli (kusjuures veel isegi ainult läbi mati kilepakendi) näha ka tema käsi. Sellest piisas, et politsei teaduse tugiüksus (scientific support unit i.k.) saaks osalised tõmmised, mis olid aluseks arreteerimisele. [60] Kuigi see võib kõlada positiivse näitena, illustreerib see hästi kuivõrd võimsaks on digitaalne kaameratehnoloogia ja pilditöötlus muutunud. See näitab kui vähesest piisab, sõrmejälje biomeetrilise profiili kopeerimiseks.

Lihtsamaid näotuvastusseadmeid saab ära petta kõigest subjekti fotoga ning keerulisemate puhul (mis võtavad arvesse kolmedimensionaalset sügavust), piisab 3D prinditud pea replikast. Sellise replika genereerimine foto (ehk 2D allika pealt) on juba praegu online teenusena kättesaadav.[61][62]

Häältuvastuse puhul on võimalike meetodite ampluaa laiemgi veel. Näiteks võib ründaja tegeleda sotsiaalse manipulatsiooniga (social engineering i.k.) ja helistades ohvrile, küsida küsimusi millele ohver vastab oma nimega või sõnadega “Jah” ja “Ei”. Ründaja võib lihtsalt, helimontaazi põhjal, sellest arvestatava kvaliteediga biomeetrilise profiili kokku panna.

Tehnoloogilise spektri teisest äärmusest, demonstreeris 2018 juunis ilmunud teadustöö, kuidas pelgalt 5 sekundi salvestatud kõne pealt, suudeti neuraalvõrgu abil luua süvavõltsingu (deep fake i.k.) süntesaator, mis teoreetiliselt suudaks mis tahes teksti esitada nagu oleks see pärinenud salvestuse autorilt. [63]

Juba definitsiooni kohaselt on biomeetriline turvalisuse faktor „midagi mis sa oled“ (something you are i.k.) ning seda on, realistlikult mõeldes, võimatu muuta ja avalikus ruumis keeruline (avaliku elu tegelaste puhul, tööst tulenevalt, võimatu) varjata. Mis tahes biomeetrilist infot me ka isikutuvastuseks ei kasutaks – kõike seda on võimalik, suhteliselt lihtsalt, salvestada.

Biomeetria käsitlemine ühe tuvastava või turvalisuse faktorina ei ole selles plaanis ilmtingimata üldse korrektne. Arvestades probleeme on küsitav, kas biomeetrilist isikutuvastust tohiks üleüldse kasutada millegi kriitilise või olulise kindlustamiseks või võimaldamiseks?


Probleemid õiguse mõistmisel

Kohtuprotsessid, jõustruktuurid ja õiguse mõistmine üle-üldse on aastasadu tuginenud biomeetriale kui ultimatiivsele vahendile isikute tuvastamiseks. Sõrmejäljed, fotod, video- ja helisalvestised, DNA andmed on teeninud "tõe allikana" ja otsese tõendina loendamatutes protsessides.

Samas maailm on muutunud ja andmed nagu sõrmejäljed või heli-/videopilt on demonstreeritult võltsitavad, väga kõrgel tasemel. Kui biomeetrilist tuvastust ei saa usaldada, siis ei saa ka karistusõiguses süüd omistada. Kurjategijad võivad (võltsitud biomeetriat kasutades ja nii asitõendeid võltsides) karistusest pääsed ning süütud inimesed karistust kanda. Igal juhul muudab see õiguse mõistmist ja isikute tuvastamist keerulisemaks ning segasemaks.

Kuigi sedasorti perspektiiv tundub esialgu ebarealistlik ja peaks võib-olla liigituma tuleviku düstoopia alla, siis arengud masinõppes ja tehisintellektiga, ei jäta meile erilist lootust. Generatiivsed vastanduvad neuraalvõrgud ehk GAN (Generative Adversarial Networks i.k.), tehnoloogia mille abil süvavõltsinguid luuakse [64] on olemuselt nii lihtsad ja levinud, et ainus mis vaja on on piisavalt arvutusvõimsust - faktor mis suuresti endiselt järgib Moore'i seaduspära eksponentsiaalset arengut. [65]

Näiteks ei saa varsti, süüstava ega süüst vabastava (nn. "alibi") tõendina ilmselt enam usaldada mobiili- või sotsiaalmeedia fotosid.

Tulevikuperspektiivis tuleb ilmselt üle ja ümber mõelda biomeetriliste andmete (isegi DNA) kasutamine otseste tõenditena kohtuprotsessis.


Geneetilise materjaliga seotud probleemistik

Suurimaks ohuallikaks võivad olla aga hoopis DNA repositooriumid, mis on samuti osa biomeetriast („midagi mis sa oled“). Need pole veel nii populaarsed kui muud biomeetriliste andmete kogumid ent need on vägagi silmapiiril. Karistusõiguslikud DNA registrid eksisteerivad praegu 64 riigis maailmas, Eesti nende hulgas. [66]

Ka massiliste tsiviil(õiguslike) DNA repositooriumitega on meil juba laialdaselt algust tehtud. Selle artikli kirjutamise hetkeks on geenivaramus salvestatud enam kui 200 000 eestlase DNA andmed. [67][68]

Ei pruugi kaugel olla hetk kus sünnitusosakonnad, võivad olla kohustatud võtma vastsündinult DNA proovi ja selle mõnda riikliku andmebaasi sisestama. Seda võidakse teha mis tahes põhjusel või ettekäändel: teadus, rahvatervis, pärilike haiguste analüüs.

Kuigi nii Geenivaramu kui praegu uuringuid läbi viiva Synlab’i korduma kippuvate küsimuste hulgas on küsimuse: „Kes ei saa kindlasti minu geeni- ega terviseandmeid teada?“ all vastusena kirjas: „Geenivaramu kasutamine tsiviil- või kriminaalprotsessi tõendite kogumiseks või jälitustegevuseks on keelatud. Samuti ei saa neid andmeid kasutada kindlustusfirmad ega tööandjad.“ [67]

Ei täida see käesoleva kirjutise autoreid liigse usaldusega. Pelgalt deklaratiivne ja õigusaktidest tulenev turvalisus on fiktsioon. Alustades sellest, et piisava avaliku huvi korral saab kehtivat seadusandlust muuta ning geenivaramu andmed avada ka seni lubamatuteks kasutusteks.

Õiguskaitseorganid üritavad maailmas pidevalt saada juurdepääsu sedasorti baasidele ning vähemalt ühel juhul (aga ilmselt rohkematelgi) on inimene, DNA tuvastuse põhjal, ekslikult arreteeritud. [69]

Veel suurem oht on, täielikult jõustruktuuride kasutuses olevate, üldiste DNA andmebaaside loomine. Näiteks võttis Kuveit, 2015 aastal, esimese riigina maailmas, vastu seaduse, mille eesmärk oli sundida kõiki riigis viibijaid (kodanikud, elamisloaga riigis viibijad aga ka turistid!) andma geeniproov, mida kasutatakse otseselt kuritegevuse ja terrorismiga võitlemiseks. Ehk siis kriminaalprotsessis jälitustegevuseks. [70]

Õnneks vaidlustati see seadus kohalike juristide poolt 2016. aastal ja 2017. aastal pööras Kuveidi ülemkohus seaduse tagasi, kui põhiõigustega vastuolus oleva. [71][72]

Samas oleks see jõustunud siis igaüks kes oleks Kuveiti reisinud, pidanuks arvestama, et lisaks passi kontrollile, võetakse talt ka süljeproov, geenimaterjali saamiseks. Kuna tegemist pidi olema jõustruktuuride andmebaasiga siis oleks see kindlasti olnud nii relatsiooniline kui ka isikustatud. On ju jõustruktuuride eesmärk ikkagi isikud tuvastada. [70]

Küsimused, mis ulatuses Kuveit seda andmebaasi kasutanud oleks, kellele (sh. millistele teistele riikidele) võimaldataks (rahvusvahelise) koostöö raames ligipääs, või kuidas olnuks tagatud andmete turvalisus, pole õnneks enam relevantsed.

Samas suund ja surve sedasorti baaside osas on olemas. Isegi kui me ei ürita luua universaalset baasi nagu Kuveit siis kuriteopaigalt võetakse DNA analüüse ning need salvestatakse. See on reaalsus ja oluline osa kurjategijate tabamisel.

2014 aastal, avaldati globaalne ülevaateartikkel, Forensiliste DNA andmebaaside eetiliste ja õiguslikke standardite kohta. [73]

Artikli autorid toovad välja 6 põhilist probleemi mis sedasorti andmehoidlatega kaasnevad:

  • DNA andmete väga privaatne ja isiklik olemus
  • Andmebaasi (ka juhuslikult) sattunute käsitlemine kurjategijatena (ebaõiglus)
  • „Suure Venna“ ehk riikliku andmete väärkasutuse oht (inimeste, inimgruppide ja nende perekondade jälgimine/jälitamine)
  • Andmekadu või andmete väärkasutus (korrumpeerunud politseinikud, äri- arendus/partnerid, spionaaž ja infiltreerumine)
  • Implikatsioonid mis kaasnevad „karistusregistris olemisest“ (sh. probleemid tööhõivega, viisa saamisega, politsei käitumisega).
  • Võimalikud valesüüdistused (vale-positiivsete analüüside põhjal)

Välja pakutud lahendustena, tuuakse vajadus selgelt eristada proove mis on viinud süüdi mõistmiseni. Põhjusel, et suur osa kuriteopaigalt võetud analüüse, ei ole kurjategijaga tavaliselt seotud. Need võivad kuuluda ohvrile endale, suvalistele möödakäijatele või mistahes muudele isikutele. [73]

Teiseks rõhutatakse vajadust kogutud bioloogiline materjal korrektselt hävitada ning süütute inimeste andmed baasist kustutada. [73]

Artikkel toob välja kitsaskohad mis on seotud, veel väljakujunemata, parimate praktikatega kuidas DNA andmeid kohtus kasutada nii, et ei toimuks õiguse väärkasutust. Aga ka jätkuvat debatti selle üle kuidas peaks olema reguleeritud proovide võtmine kahtlustatavatelt ning andmete piiriülene jagamine ja andmeturve. [73]


Tuleviku düstoopia ja kuidas seda vältida

Kunstniku kujutis Hiina SenseFace biomeetrilisest jälgimisüsteemist. [74]

2002 aastal linastus kinoekraanidel Steven Spielbergi adaptsioon Pilip K. Dick'i 1956 aasta düstoopialikust lühijutustusest Minority Report, mis aitas laiemale üldsusele teadvustada, biomeetria väärkasutuse ohtusid. [75]

See tech noir film presenteerib muuhulgas fantaasiat, kus kõik ühiskonna liikmed on pideva jälgimise all nii riigi kui erasektori poolt. See on saavutatud äärmiselt efektiivsete iirise-/retinaalskännerite laialdase kasutusega. Skännerid on kõikjal, avalikus ruumis, poodides, inimeste kodudes. Isikud tuvastatakse hetekga ning neile (ja ainult neile) kuvatakse personaliseeritud reklaame, ekraanidel mida nad vaatavad, siis kui nad neid vaatavad. [76]

Kuna sama tehnoloogiat kasutavad filmis ka jõustruktuurid (oma robotiparves) siis viib süžee selleni, et peategelane peab lõpuks oma silmamunad operatiivselt vahetama, et tuvastamist vältida ja globaalset jälgimissüteemi petta.

Seda sünget tulevikuvisiooni ei ole raske endale ette kujutada. Eriti vaadates praktikaid mida ettevõtted nagu Facebook reklaami optimeerimiseks ja kasutajate käitumismustrite ning andmete kogumiseks rakendavad. Erinevalt nutiseadmete sidevõrgu positsioneerimisest, IP aadressist või GPS'ist (mille kasutamine on välditav kui soovitakse jääda anonüümseks) on biomeetria ultimatiivne jälitustööriist. Eriti kui infosüsteemid arenevad nii kaugele, et suudetakse kontaktivabalt ja distantsilt, jälgida ning salvestada mitut erinevat biomeetrilist aspekti (näiteks sidudes, käitumise, pildi-/näotuvastuse ning lõhnatuvastuse).

Ja kuigi esmapilgul võib tunduda, et sootsium ei aksepteeriks seda, ei ole käesoleva töö autorid selles sugugi kindlad. On mõnevõrra hirmutav kui varmalt ollakse valmis loobuma oma privaatsusest ning laskma näiteks Google'il, minuti ja meetri täpsusega, pidevalt salvestada enda asukohta. Sedasorti privaatsusriivega on, täiesti vabatahtlikult, praeguseks nõustunud rohkem kui kaks miljardit inimest üle maailma. [77]

Samas eraelu puutumatus ja õigus privaatsusele on põhjusega üks põhiõigustest ning inimõiguste harta osa. [78]

Pideva jälgimise probleemistikuga on tegelenud mitmed autorid, kellest vast tuntum on George Orwell, oma märgilise teosega "1984". Samas jälgimise kognitiivseid mõjusid inimpsüühikale on uuritud ka teaduslikult ning seda nimetatakse Hawthorne'i efektiks või Hawthorn'i eelarvamuseks (Hawthorne bias i.k.). [79]

Nii fantaasiakirjanikud kui teadlased on ühel meelel selles osas, et inimesed muudavad oma käitumist kui nad arvavad või tajuvad, et neid jälgitakse. Sedasorti mõju käitumisele ja psüühikale, kui see on kestev, on hävitav. See põhjustab depressiooni, ärevushäireid, vähendab produktiivsust ja enesehinnangut. [80][81][82][83]

Põgusalt peatusime selle juures geneetilise materjali peatükis aga kaugel ei pruugi olla aeg kus käitumuslike ja biomeetriliste andmete loovutamine võib saada kohustuslikuks. GDPR ja muud Euroopa seadusandlus pakuvad esialgu üsna head kaitset aga selline kaitse võib kiirelt väheneda kui tuuakse mängu terminid nagu rahvatervis või avalikes huvides.

Ning maailm on oluliselt laiem kui Euroopa. Ameerika Ühendriikides on küll iseomane kõrge privaatsustaju ent samas ka kehvad sotsiaalsed garantiid ning eraettevõtluse suur kapitalistlik mõju. Mündi teise küljena on totalitaarsed riigid nagu Hiina, kes oma isiktuvastuse ja masinõppe projektide arendamisel, absoluutselt kindlasti privaatsust oluliseks pea (vastupidi, privaatsuse vähendamine ongi eesmärk).

Veel enam, ka Euroopas, võivad kodanikud, riigi kaitsest hoolimata, ise ja täiesti vabatahtlikult oma privaatsusest ja biomeetriliste andmete puutumatusest loobuda.

Biomeetria laialdane kasutamine isikutuvastuseks, eriti kommertslikel- või julgeolekukaalutlustel, on midagi mis peaks meid täitma suure umbusalduse ja ettevaatusega. Senisest rohkem rõhku tuleks pöörata teadvustamisele, kuivõrd olulise ja delikaatse infoga on tegemist – ning seda vastavalt käidelda ja turvata.

Äärmiselt oluline on laiem diskussioon ja tähelepanu globaalse isiktuvastuse ja biomeetria kasutamise probleemidele. Oluline on lisaks selle tehnoloogia mugavustele ja eelistele, rääkida ka põhimõttelistest probleemidest - mis ei ole ilmtingimata seotud tehnoloogia endaga, vaid sellega milleks me seda rakendame.

Riiklikesse DNA repositooriumitesse aga eriti karistusõiguslikkudesse või jõustruktuuride baasidesse peaksime ühiskonnana pigem konservatiivselt suhtuma. Ohud väärkasutuseks on suured ja globaalsete standardite või laiema arutelu puudumine, loob võimaluse arenguteks mida on hiljem keeruline piirata või tagasi pöörata.

Mis puudutab turumajanduslikku ja eraettevõtete survet, siis riik peab ja saab kaitsta kodanikku ka tema enda rumaluse eest. Aga meie, kodanikud, peame seda kaitset nõudma.

Maailm liigub edasi ja tehnoloogiad arenevad edasi omas vääramatus jõus ja võib näida, et indiviidina on raske midagi ette võtta. See ei ole kindlasti nii. Jälgimine ja jälitamine ning vastumeetmed ja käitumine mida sellel puhul rakendatakse on pika ajalooga ja vanem kui biomeetria. Kogukonnad kohanevad ja adapteervuad. [84][85]


Kehtiv Seadusandlus

Vastavalt Isikuandmete kaitse üldmäärusele (General Data Protection Regulation ehk GDPR) klassifitseeruvad isikuandmeteks järgmised nimetajad: ees- ja perekonnanimi, kodune aadress, e-maili aadress, isikukood, passi number, IP aadress, autonumber, kasutajanimi, hüüdnimi, juhiloa number, krediitkaardi number, digitaalne identiteet, sünniaeg, sünnikoht, telefoni number, geneetiline informatsioon, nägu, sõrmejälg, allkiri ja biomeetriline informatsioon.[86]

Biomeetriliste andmete töötlemine

Isikuandmete erikategooriate näited GDPR'i järgi [87]

GDPR artikkel 9 lõige 1 käsitleb biomeetrilisi andmeid kui isikuandmete erikategooriat, mille töötlemine on põhimõtteliselt keelatud. Artikkel 9 lõige 2 hõlmab endas aga piiratud erandeid, mis tulenevad artikkel 9 lõige 1 keelust, kui andmesubjekt on andmete töötlemisega selgesõnaliselt nõustunud.[88]

Selleks, et nõusolek oleks kehtiv, nõuab GDPR artikkel 4 lõige 11, et nõusolek peab olema antud vabalt, olema konkreetne, informeeritud ja üheselt mõistetav. Andmesubjektil peab olema õigus igal ajal nõusolek tagasi võtta (GDPR artikkel 7 lõige 3). Kehtiva nõusoleku läve on samas keeruline saavutada tööalastes suhetes, kus tööandja ja töötaja vahel on alluvussuhe. Töötajad võivad näiteks karta karistust ja tunda survet nõusoleku andmiseks - sellisel juhul ei oleks antud nõusolek andmekaitseseaduse kohaselt kehtiv.[88]

Artikkel 9 lõige 2 loetleb erandid, siinkohal on välja toodud neist mõningad:

  • punkt b - töötlemine on vajalik seoses vastutava töötleja või andmesubjekti tööõigusest ning sotsiaalkindlustuse ja sotsiaalkaitse valdkonna õigusest tulenevate kohustuste ja eriõigustega niivõrd, kuivõrd see on lubatud liidu või liikmesriigi õigusega või liikmesriigi õiguse kohase kollektiivlepinguga, millega kehtestatakse asjakohased kaitsemeetmed andmesubjekti põhiõiguste ja huvide kaitseks;
  • punkt c - kui töötlemine on vajalik selleks, et kaitsta andmesubjekti või teise füüsilise isiku elulisi huve, kui andmesubjekt on füüsiliselt või õiguslikult võimetu nõusolekut andma;
  • punkt f - töötlemine on vajalik õigusnõude koostamiseks, esitamiseks või kaitsmiseks või juhul, kui kohtud täidavad oma õigust mõistvat funktsiooni;
  • punkt h - töötlemine on vajalik ennetava meditsiini või töömeditsiiniga seotud põhjustel, töötaja töövõime hindamiseks, meditsiinilise diagnoosi panemiseks, tervishoiuteenuste või sotsiaalhoolekande või ravi võimaldamiseks või tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuste korraldamiseks.[86]

Artikkel 9 lõige 3 ütleb, et lõikes 1 osutatud isikuandmeid võib töödelda lõike 2 punktis osutatud eesmärkidel, kui neid andmeid töötleb töötaja, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel ametisaladuse hoidmise kohustus, või kui neid andmeid töödeldakse sellise isiku vastutusel või kui neid andmeid töötleb mõni teine isik, kellel on liidu või liikmesriigi õiguse või pädevate riiklike asutuste kehtestatud eeskirjade alusel samuti saladuse hoidmise kohustus. Lisaks on välja toodud klausel artikkel 9 lõikes 4, et liikmesriigid võivad säilitada või kehtestada täiendavad tingimused, sealhulgas piirangud seoses geneetiliste, biomeetriliste või tervise andmete töötlemisega.[86]

Tuues võrdluseks Ameerika Ühendriigid, siis seal ei ole ühtset terviklikku föderaalseadust, mis reguleeriks biomeetriliste andmete kogumist ja kasutamist. Washington võttis Illinois ja Texase osariigi järel 2017. aastal vastu seaduse, mis käsitleb biomeetrilise eraelu puutumatust. California osariik täiustas enda eraelu puutumatuse kaitset käsitlevat määrust 2018. aastal. Alates 2020. aasta jaanuarist on 46 osariigis legaalne kasutada tarkvara, mille abil on võimalik tuvastada isikut piltide alusel, mis on tehtud avalikus ruumis, ilma konkreetse isiku nõusolekuta. Erandiks on California, Washingtoni, Illinois ja Texase osariigid, kes ei luba neid andmeid ärilistel eesmärkidel kasutada. Enamikes osariikides on võimalik teha isiku näotuvastust suhteliselt silmapaistmatult, ilma et isik oleks ise aktiivselt teavet edastanud. On olemas näotuvastus tarkvarad, mida poed saavad kasutada, et saada märguandeid eelnevalt tuvastatud poevarastest või saada infot klientide kohta, kes tagastavad liiga tihti kaupu. Vaadates aga privaatsuse seisukohast on need praktikad vastuolus kriitiliste põhimõtetega nagu anonüümsus, eesmärk ja nõusolek.[89]

Kuigi GDPR on suur samm, ühtse, ülemaailmse regulatsiooni loomise kohta ka biomeetriliste andmete vaates on reaalsuses õiguskord sporaadiline ja lapsekingades ning ei ole välja kujunenud ühtset arusaama, mil viisil ja mis ulatuses võib biomeetrilisi andmeid koguda või kasutada. Riikide arv kus kus biomeetriliste andmete kasutus on reguleeritud, jääb endiselt mõnekümne ringi.[89]


Edulood ja intsidendid

Käesolevas peatükis on veidi lähemalt lahti kirjutatud mõned näited erinevatest biomeetriaga seotud õnnestumistest ning ebaõnnestumistest.

Presidendivalimised Kongos

Valijate biomeetriline registreerimine Aafrikas. [90]

Heaks näiteks on Kongo Demokraatliku Vabariigi 2018.a valimised.

Kongo Demokraatlik Vabariik on Aafrika mandri suuruselt teine riik. Elanike arv on üle 86 miljoni ning valimisõiguslikke kodanikke on nende seas 46,7 miljonit. Kongot peetakse üheks maailma rikkaimaks riigiks, maavarade poolest, ning võimuvõitlus on seal kestnud pea 60 aastat. Kui eelmise presidendi Joseph Kabila ametiaeg hakkas lõpule jõudma, alustati ettevalmistusi järgmisteks presidendivalimisteks. Eesmärgiks oli need korraldada võimalikult rahumeelsed ning õiglased. Tuli tagada kõigi valimisringkondade õiglane esindatus parlamendis. Vabariigi rahvusassamblee põhineb valimisringkonna valijate arvul, seega oli väga oluline olla valijanimekirjade koostamisel võimalikult täpne.[91]

Valimisõiguslike isikute tuvastamiseks alustati suuremahulise projektiga - erinevate välioperatsioonide käigus koguti 2 kuu jooksul kokku 46,7 miljoni elaniku multibiomeetrilised andmed (10 sõrmejälge ning näokujutis). Peale andmete kogumist tuli saadud andmestik üle kontrollida, võimalike duplikaatite ning muude valimisõigust välistavate tegurite osas. Selleks kasutati MegaMatcher Accelerator Extreme (MMA Extreme) programmi, mis on võimeline läbi töötama ja analüüsima kuni 1,2 miljardit sõrmejälge ning näopilti sekundis. Programmi kiirendamiseks ei jagatud inimesi piirkondade ega demograafiliste tunnuste (vanuse, soo jms) järgi väiksematesse gruppidesse, kuna see oleks võinud vähendada ka tulemuste täpsust.

Kogu kontrollsüsteem ei olnud ainult automatiseeritud protsess - palgatud oli lisaks üle 300 töötaja, kes kontrollisid ja kinnitasid kõik programmi poolt tuvastatud duplikaatide ja alaealiste kirjed.[92]

Kokku töötleti läbi 46 815 156 isiku multibiomeetrilised andmed. Tänu kasutatud meetmetele leiti 6 002 346 duplikaati, mis moodustas 12% kogu andmestikust. Samuti tuli välja üle 300 juhtumi, kus isikud olid valimistele registreerinud enam kui 6 korda. Tervelt 902 290 registreeritud valijat olid alaealised ning ei omanud õigust hääletada.[92]

Sellised tulemused oleks kindlasti valimiste lõpptulemust muutnud, valimised võitnud Felix Tshisekedi edestas teiseks jäänud Martin Fayulu vähem kui 4% häälteenamusega (38.57% vs 34.83%).[93]

Sõrmejäljekujutis fotolt

Jan Krissler ettekanne, kuvatõmmis videost [58]

2014. aastal tekitas meedias palju kõmu uudis, et pelgalt foto abil on võimalik pahaaimamatu isiku sõrmejäljekujutis kätte saada. Seda raporteeris üks Euroopa suurimaid häkkerite kommuune “Chaos Computer Club”, lühidalt CCC. Nad on endi sõnul praeguseks tegutsenud juba üle 30 aasta ja nende kommuuni kuulub hetkeseisuga üle 7700 liikme.[94][95]

Õnneks ei olnud nende eesmärk saadud infot kuritegelikul viisil ära kasutada, vaid pigem üldsuse tähelepanu turvalisuse kitsaskohtadele tõmmata.

See juhtum oli selles mõttes tähelepanuväärne, et kui seni oli pahatahtlikul eesmärgil sõrmejäljekujutise saamiseks kasutatud ikkagi reaalseid sõrmejälgi, näiteks klaasilt kleepsuga kopeerides või hullemal juhul inimeselt sõrme maha võttes, siis nüüd piisas vaid paarist fotost, mis oli tehtud täiesti tavalise fotoaparaadiga. CCC valitud “ohver” ei olnud juhuslik, selleks oli tollane Saksamaa kaitseminister Ursula von der Leyen.[96]

CCC ühenduse liider Jan Krissler, keda tuntakse ka nime "Starbug" all, kirjeldas, et kogu protsess oli olnud ülimalt lihtne. Ta printis väljs ühe uudisteartikli juures kasutatud fotod, mis olid võetud erinevate nurkade alt ning pani nendest kokku von der Leyen’i pöidla sõrmejälje kujutise. Kopeerpaberit (tracing paper i.k.) kasutades, kopeeris ta jälje plastikust tahvlile, kattis kogu pinna grafiidiga ning seejärel puiduliimiga. Puiduliimi sisse impressioneeritud füüsiline sõrmejäljekujutis oligi suhteliselt väikese vaevaga olemas. [97]

Krissler toonitas oma avalduses, et biomeetrilistele andmetele ei tasu liialt kindel olla. Näiteks erinevaid PIN koode vahetavad inimesed regulaarselt teatud intervallide tagant, kuid sõrmejälje muutus on äärmiselt haruldane.[97]

Kuigi Chaos Computer Club eksperiment puudutas konkreetselt ühe isiku andmeid, on biomeetrilised tuvastussüsteemid väga suure inimeste hulga juures mõnikord möödapääsmatud ja haavatavad.

Clearview AI

2020. aasta alguses tekitas biomeetriliste andmete kasutamise osas meediakära firma nimega Clearview AI.[98] See väike firma asutati austraalia kodaniku Hoan Ton-That poolt ning kuni 2019 aastani ei olnud üldisem avalikkus selle olemasolust isegi teadlik. Ton-That kirjutas näotuvastusprogrammi ning koondas kokku hiigelsuure andmebaasi, mis sisaldas üle 3 miljardi foto. Sellise mahuga andmebaasi ei ole teadaolevalt keegi teine seni suutnud kokku koondada. Väidetavalt pärines kogu andmebaas miljonitelt erinevatelt netilehekülgedelt - näiteks Facebook, Youtube, Venmo jms. Suuremaid ja tuntumaid neist süüdistati ka Clearview’iga koostöö tegemises.[99]

Programmi enda põhimõte on lihtne - isiku foto tuleb programmi üles laadida ning vastuseks antakse kõik avalikud pildid koos pärinemise (algse üleslaadimise) detailide ja linkidega. Aastaga tekkis sellel programmil üle 600 kliendi - peamiselt erinevad USA ametiasutused, alates kohalike osariikide politseiüksustest ning lõpetades FBI-ga. USA politsei ka tunnistab, et kuigi neil ei olnud palju infot Clearview programmi ülesehitusest ja tööpõhimõtetest, kasutati seda paljude kuritegude lahendamisel, näiteks: poevargused, identiteedivargused, krediitkaardipettused, mõrvad, laste seksuaalse ärakasutamise juhtumid. Nii mitmedki isikud mõisteti, programmi tulemustele tuginedes, kuritegudes süüdi, isegi kui varasemalt isikut politsei enda andmebaasis ei olnud.[99]

Politsei ja muud avaliku sektori ametiasutused ei olnud Clearview ainsad kliendid - kuigi firma ise keeldus oma täpset klientide nimekirja jagamast, on teada, et sama programmi kasutasid ka muud ettevõtted ja asutused. Siin tulebki mängu äärmiselt suur turvarisk - kui programm suudab tuvastada, suvaliselt fotolt, kõik isikud ning kuvab juurde kõigi pildilolevate isikute isikuandmed (nimi, aadress, töökoht), siis valedesse kätesse sattununa on tegu väga võimsa relvaga. Samuti on erinevates ekspertides tekitanud vastakaid arvamusi firma väide, et nende tuvastussüsteem on 75% täpsusega - ei ole andmeid, kui suur on programmi veaprotsent. Ei ole ka võimalik ühelgi viisil kindlaks teha, kas nende väidetav tuvastusprotsent on õige. [99]

Oma andmete Clearview andmebaasist eemaldamiseks peab isik saatma Clearview e-posti aadressile 2 fotot - üks passipildi nõuetele vastav portreefoto ning foto isikut tõendavast dokumendist. See nõue tekitab rohkem küsimusi kui lahendab, kuidas ja mil viisil niimoodi kogutud (veelgi detailsemaid) andmeid töödeldakse ja kas/kuidas hoidma hakatakse, firma ei avalikusta.[100]

Veidi aega peale seda, kui ajakirjandus hakkas asja vastu huvi tundma, langes Clearview ka häkkerite rünnaku alla - firma sõnul on tegu “normaalse elu osaga 21. sajandil”. 3 miljardi fotoga andmebaas jäi küll häkkerite poolt puutumatuks, kuid kätte saadi kogu nimekiri, toodet tellinud ja teenuseid kasutanud asutustest. Kliendibaasis oli 600 asutuse ja firma andmed koos infoga, kui palju erinevaid päringuid olid nad juba teinud. Praeguseks hetkeks on vähemalt USA politsei teinud avalduse, et nad lõpetavad Clearview andmebaasi kasutamise. Firmat on ka mitmeid kordi andmete ebaseadusliku kasutamise eest kohtusse kaevatud. [101]


Kokkuvõte

Tahame me seda või ei, biomeetria ja biomeetriline isiktuvastus on "siin, et jääda". Ning tundub, et vähemalt esialgu kaaluvad selle mugavus ja kiirus üle töökindluse või turvalisusega seotud probleemid. Biomeetrial on potentsiaal muuta oluliselt seda kuidas inimesed arvutitega suhtlevad. Selle tehnoloogia edukas areng võib leevendada paljusid andmeturbe ja privaatsuse probleeme - kuid väärkasutatuna võib tekitada mitmeid uusi.

Selge on see, et nii riigid kui tehnoloogiafirmad paigutavad sellesse valdkonda praegu tohutuid investeeringuid. Biomeetrilise tehnoloogia turumahuks hinnatakse 2025 aastaks ligi 60 miljardit dollarit. Käesoleva kirjutise hetkel päevakajalisena, seoses ülemaailmse pandeemiaga on oluliselt suurenenud investeeringud justnimelt kontaktivabadesse isikutuvastuse tehnoloogiatesse. [102][103][104]

Kuigi biomeetria kui kontsept pole uus idee siis selle tehnilise kasutuse valdkond on napilt sadakond aastat vana ning selle tõus on käinud käsikäes infoajastuga. Nii on biomeetrilisel isikutuvastusel sarnased probleemid teiste võrsuvate tehnoloogiatega nagu masinõpe või tehnisintellekt. Nii seadusandlus kui regulatsioon on lapsekingades ja vaidlused eetiliste, moraalsete või õiguslike raamide osas pole kaugeltki veel peetud.

Kogukonnad seisavad, biomeetria näol, silmitsi lootuste ja hirmudega. Biomeetria (taas, sarnaselt teistele võrsuvatele tehnoloogiatele) on kindlasti midagi mis vajab laiemat arutelu ja kõlapinda. See on tehnoloogia ja tehnoloogia pole inherentselt ei hea ega halb, ei õige ega vale.

See on meist igaühe asi, indiviidina ja ühiskonnana, otsustada, mis viisil ja ulatuses me soovime biomeetrilist isikutuvastust rakendada.


Allikad

  1. https://www.merriam-webster.com/dictionary/biometrics
  2. Zhao Z. et al, Heart Sound Biometric System Based on Marginal Spectrum Analysis, https://doi.org/10.3390/s130202530 (18.02.2013)
  3. 3.0 3.1 3.2 What is biometrics?, https://www.gemalto.com/govt/inspired/biometrics (20.03.2020).
  4. Anil K.Jain, 2008. Biometric authentication.
  5. What is biometric authentication?, https://www.iovation.com/topics/biometric-authentication (21.03.2020)
  6. Types of Biometric Coprocessors, https://electronics360.globalspec.com/article/9327/types-of-biometric-coprocessors (19.07.2017)
  7. 7.0 7.1 7.2 7.3 7.4 Common types of biometric authentication, https://www.iovation.com/topics/biometric-authentication (21.03.2020)
  8. https://www.scientificamerican.com/article/experts-touch-dna-jonbenet-ramsey/
  9. Biometric fingerprint scanners, https://www.explainthatstuff.com/fingerprintscanners.html (20.09.2019)
  10. How does facial recognition work?, https://us.norton.com/internetsecurity-iot-how-facial-recognition-software-works.html (01.04.2020)
  11. How Speech Recognition Works, https://electronics.howstuffworks.com/gadgets/high-tech-gadgets/speech-recognition1.htm/ (01.04.2020)
  12. Homeland Security - Voice Verification, https://www.globalsecurity.org/security/systems/biometrics-voice.htm (01.04.2020)
  13. How airports use biometric technology, https://www.economist.com/the-economist-explains/2018/11/12/how-airports-use-biometric-technology (18.11.2018)
  14. Biometrics: authentication & identification (definition, trends, use cases, laws and latest news) - 2020 review, https://www.gemalto.com/govt/inspired/biometrics (02.03.2020)
  15. Automated Fingerprint Identification System (AFIS) – a short history, https://www.gemalto.com/govt/biometrics/afis-history (02.03.2020)
  16. EXCLUSIVE: This Is How the U.S. Military’s Massive Facial Recognition System Works, https://onezero.medium.com/exclusive-this-is-how-the-u-s-militarys-massive-facial-recognition-system-works-bb764291b96d (02.03.2020)
  17. United States Government Accountability Office Report to Congressional Committees. (2017). Progress Made in Establishing Long Term Deployable Capabilities, but Further Actions Are Needed, https://www.gao.gov/assets/690/687207.pdf (02.03.2020)
  18. Biometrics: authentication & identification (definition, trends, use cases, laws and latest news) - 2020 review,https://www.gemalto.com/govt/inspired/biometrics (02.03.2020)
  19. Biometric passport, https://en.wikipedia.org/wiki/Biometric_passport (02.03.2020)
  20. Biometrics: authentication & identification (definition, trends, use cases, laws and latest news) - 2020 review,https://www.gemalto.com/govt/inspired/biometrics (02.03.2020)
  21. Negri, N. A. R., Borillea, G. M. R., Falcãob, V. A. (2019). Acceptance of biometric technology in airport check-in. Journal of Air Transport Management, Volume 81, 101720.
  22. Schengen Visa Info. Entry/Exit System (EES), https://www.schengenvisainfo.com/entry-exit-system-ees/ (02.03.2020)
  23. Biometrics: authentication & identification (definition, trends, use cases, laws and latest news) - 2020 review,https://www.gemalto.com/govt/inspired/biometrics (02.03.2020)
  24. Gelb, A., Clark, J. (2013). Identification for Development: The Biometrics Revolution. Working Paper. Center for Global Development. https://www.files.ethz.ch/isn/159149/1426862_file_Biometric_ID_for_Development.pdf (02.03.2020)
  25. Mibindzou Mouelet, A., El Idrissi, M., Robyn, P. (2018). Gabon Indigents Scheme: A Social Health Insurance Program for the Poor. Universal Health Coverage Study Series No. 31, World Bank Group, Washington, DC
  26. The Gabon Health Program, https://www.gemalto.com/brochures-site/download-site/Documents/gov-gabon.pdf (02.03.2020)
  27. Aadhaar, https://en.wikipedia.org/wiki/Aadhaar (02.03.2020)
  28. Perrigo, B. (2018). India Has Been Collecting Eye Scans and Fingerprint Records From Every Citizen. Here's What to Know, https://time.com/5409604/india-aadhaar-supreme-court/ (02.03.2020)
  29. Unique Identification Authority of India, https://uidai.gov.in/aadhaar_dashboard/ (02.03.2020)
  30. Speech of Arun Jaitley, Minister of Finance (February 1, 2018), http://www.thehindu.com/news/resources/article22619699.ece/BINARY/Jaitley%20full%20speech (02.03.2020)
  31. Gelb, A., Diaofasi, A. (2016). Biometric Elections in Poor Countries: Wasteful or a Worthwhile Investment? Working Paper, Center for Global Development. https://www.cgdev.org/sites/default/files/biometric-elections-poor-countries-wasteful-or-worthwhile-investment.pdf (02.03.2020)
  32. Scheafer, C. (2017). Understanding the Difference Between Physical Access Control and Logical Access Control, http://www.mintcontrols.com/understanding-the-difference-between-physical-access-control-and-logical-access-control/ (02.03.2020)
  33. Biometrics: authentication & identification (definition, trends, use cases, laws and latest news) - 2020 review,https://www.gemalto.com/govt/inspired/biometrics (02.03.2020)
  34. Touch ID, https://en.wikipedia.org/wiki/Touch_ID (02.03.2020)
  35. Face Recognition, https://www.samsung.com/global/galaxy/what-is/face-recognition/ (02.03.2020)
  36. Naiya, P. (2018). More than one billion smartphones to feature facial recognition in 2020, https://www.counterpointresearch.com/one-billion-smartphones-feature-face-recognition-2020/ (02.03.2020)
  37. Know Your Customer, https://en.wikipedia.org/wiki/Know_your_customer (02.03.2020)
  38. Know Your Customer in Banking, https://www.gemalto.com/financial/issuance/id-verification/know-your-customer (02.03.2020)
  39. Sabha, R. (2019). Parliament passes the Aadhar amendment bill. https://economictimes.indiatimes.com/news/politics-and-nation/parliament-passes-aadhaar-amendment-bill/articleshow/70130501.cms?from=mdr (02.03.2020)
  40. Das, A., Galdi, C., Han, H., Ramachandra, R., Dugelay, J., Dantcheva, A. (2018). Recent Advances in Biometric Technology for Mobile Devices. IEEE 9th International Conference on Biometrics Theory, Applications and Systems (BTAS), Redondo Beach, CA, USA, pp. 1-11
  41. Apple Pay, https://www.apple.com/apple-pay/ (02.03.2020)
  42. Chivers, T. (2019). Facial recognition… coming to a supermarket near you, https://www.theguardian.com/technology/2019/aug/04/facial-recognition-supermarket-facewatch-ai-artificial-intelligence-civil-liberties (02.03.2020)
  43. Tabor, N. (2018). Smile! The Secretive Business of Facial-Recognition Software in Retail Stores, https://nymag.com/intelligencer/2018/10/retailers-are-using-facial-recognition-technology-too.html (02.03.2020)
  44. The Top Seven Advantages of a Biometric Identification Management System, http://www.m2sys.com/blog/workforce-management/the-top-seven-advantages-of-a-biometric-identification-management-system/ (01.04.2020)
  45. M. Singh, R. Singh, A. Ross. 2019. A Comprehensive Overview of Biometric Fusion
  46. W. Biecz. 2006. Future of Biometrics
  47. J. Ashok, V. Shivashankar, P. V. G.S. Mudiraj. 2010. An Overview of Biometrics
  48. 48.0 48.1 48.2 48.3 48.4 48.5 V. Dhir, A. Singh, R. Kumar, G. Singh. 2010. Biometric Recognition: A Modern Era for Security
  49. A. K. Jain, A. Ross, S. Prabhakar. 2004. An Introduction to Biometric Recognition
  50. Jackie Niam, Shutterstock, https://www.shutterstock.com/pt/g/jakarin+niamklang (01.04.2020)
  51. 51.0 51.1 S. Boukhonine, V. Krotov, B. Rupert, 2005. Future Security Approaches and Biometrics
  52. Veriff, https://www.veriff.com/ (01.04.2020)
  53. 53.0 53.1 Hidden Risks Of Biometric Identifiers And How To Avoid Them, https://www.youtube.com/watch?v=cfQCOICIliQ (28.12.2015)
  54. 54.0 54.1 54.2 Biometric data processing and storage system threats, https://ics-cert.kaspersky.com/reports/2019/12/02/biometric-data-processing-and-storage-system-threats/ (02.12.2019)
  55. FaceApp takes social media by storm despite privacy concerns, https://www.businesstoday.in/technology/what-is-the-faceapp-challenge-transform-your-face-using-ai-photo-editor/story/365100.html (18.07.2019)
  56. Agron 2006 Population Registry data theft exposed, https://www.ynetnews.com/articles/0,7340,L-4138387,00.html (24.10.2011)
  57. Population Database Hacked in 2006 Reached the Internet, https://www.haaretz.com/1.5203169 (25.10.2011)
  58. 58.0 58.1 Gefahren von Kameras für (biometrische) Authentifizierungsverfahren [31c3] von starbug/Jan Krissler, https://www.youtube.com/watch?v=pIY6k4gvQsY (28.12.2014)
  59. Why I hacked TouchID (again) and still think it’s awesome, https://blog.lookout.com/iphone-6-touchid-hack (28.03.2020)
  60. WhatsApp photo drug dealer caught by 'groundbreaking' work, https://www.bbc.com/news/uk-wales-43711477 (15.04.2018)
  61. Beating biometrics: Why biometric authentication alone is not a panacea, https://www.helpnetsecurity.com/2019/06/24/beating-biometrics/ (24.06.2019)
  62. 2D to 3D Conversion, https://www.threedy.ai/ (31.03.2020)
  63. Transfer Learning from Speaker Verification to Multispeaker Text-To-Speech Synthesis, https://arxiv.org/abs/1806.04558 (02.12.2019)
  64. Generative Adversarial Networks: The Tech Behind DeepFake and FaceApp, https://interestingengineering.com/generative-adversarial-networks-the-tech-behind-deepfake-and-faceapp (12.08.2019)
  65. Investopedia - Moore's Law, https://www.investopedia.com/terms/m/mooreslaw.asp (05.09.2019)
  66. http://dnapolicyinitiative.org/wiki/index.php?title=Global_summary (28.03.2020)
  67. 67.0 67.1 Eesti Geenivaramu Korduma kippuvad küsimused, https://geenidoonor.ee/kkk (28.03.2020)
  68. Synlab geenidoonori Korduma kippuvad küsimesed, https://minu.synlab.ee/teenusest/kkk/geenivaramu-geenodoonori-uuring (28.03.2020)
  69. Your Relative's DNA Could Turn You Into a Suspect, https://www.wired.com/2015/10/familial-dna-evidence-turns-innocent-people-into-crime-suspects/ (13.10.2015)
  70. 70.0 70.1 Kuwait set to enforce DNA testing law on all – Officials reassure tests won’t be used to determine genealogy, https://news.kuwaittimes.net/website/kuwait-to-enforce-dna-testing-law-on-citizens-expats-visitors-tests-wont-be-used-to-determine-genealogy-affect-freedoms/ (23.01.2016)
  71. Kuwait lawyers fight world’s first mandatory DNA sampling law, https://www.newscientist.com/article/2106835-kuwait-lawyers-fight-worlds-first-mandatory-dna-sampling-law/ (22.09.2016)
  72. Kuwait: Court Strikes Down Draconian DNA Law, https://www.hrw.org/news/2017/10/17/kuwait-court-strikes-down-draconian-dna-law (17.10.2017)
  73. 73.0 73.1 73.2 73.3 Forensic DNA databases–Ethical and legal standards: A global review, https://doi.org/10.1016/j.ejfs.2014.04.002 (28.03.2020)
  74. One Month, 500,000 Face Scans: How China Is Using A.I. to Profile a Minority, https://www.nytimes.com/2019/04/14/technology/china-surveillance-artificial-intelligence-racial-profiling.html (14.04.2019)
  75. Minority Report (2002) summary, https://www.imdb.com/title/tt0181689/plotsummary (30.03.2020 )
  76. Minority Report - Personal Advertising in the Future, https://www.youtube.com/watch?v=7bXJ_obaiYQ (07.12.2010)
  77. AP Exclusive: Google tracks your movements, like it or not, https://apnews.com/828aefab64d4411bac257a07c1af0ecb/AP-Exclusive:-Google-tracks-your-movements,-like-it-or-not (14.08.2018)
  78. Universal Declaration of Human Rights, https://www.un.org/en/universal-declaration-human-rights/ (28.03.2020)
  79. Catalogue of Bias - Hawthorne effect, https://catalogofbias.org/biases/hawthorne-effect/ (28.03.2020)
  80. Harward Magazine - The Watchers, https://harvardmagazine.com/2017/01/the-watchers (28.03.2020)
  81. NSA and GCHQ: the flawed psychology of government mass surveillance, https://www.theguardian.com/science/head-quarters/2013/aug/26/nsa-gchq-psychology-government-mass-surveillance (26.08.2013)
  82. Harward Law Review - The Dangers of Surveillance, https://harvardlawreview.org/2013/05/the-dangers-of-surveillance/ (20.05.2013)
  83. What Constant Surveillance Does to Your Brain, https://www.vice.com/en_us/article/pa5d9g/what-constant-surveillance-does-to-your-brain (14.11.2018)
  84. How to protect your privacy in a surveillance state, https://www.pandasecurity.com/mediacenter/security/how-to-protect-your-privacy/ (28.03.2020)
  85. THE HARMS OF SURVEILLANCE TO PRIVACY, EXPRESSION AND ASSOCIATION, https://giswatch.org/thematic-report/internet-rights/harms-surveillance-privacy-expression-and-association (28.03.2020)
  86. 86.0 86.1 86.2 Euroopa Parlamendi ja Nõukogu määrus (EL) 2016/679, https://eur-lex.europa.eu/legal-content/et/ALL/?uri=CELEX:32016R0679 (27.04.2016)
  87. Sensitive personal data - special category under the GDPR, https://dataprivacymanager.net/sensitive-personal-data-special-category-under-the-gdpr/ (13.02.2020)
  88. 88.0 88.1 The use of biometric data in an employment context, https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/the-use-of-biometric-data-in-an-employment-context (20.03.2020)
  89. 89.0 89.1 Biometric data and data protection regulations (GDPR and CCPA), https://www.gemalto.com/govt/biometrics/biometric-data (20.03.2020)
  90. ONU felicita a Sierra Leona por exitosa celebración de elecciones, https://news.un.org/es/story/2012/11/1258271 (26.11.2012)
  91. Cordell, D.D, Republic of the Congo, https://www.britannica.com/place/Republic-of-the-Congo (20.03.2020)
  92. 92.0 92.1 MegaMatcher Automated Biometric Identification System Case Study (2018-2019), https://download.neurotechnology.com/CaseStudy_DRC_Voter_Registration_Project.pdf (20.03.2020)
  93. RDC : Félix Tshisekedi élu président, selon les résultats provisoires (10.01.2019), https://www.jeuneafrique.com/701452/politique/rdc-felix-tshisekedi-elu-president-de-la-republique-selon-les-resultats-provisoires-proclames-par-la-ceni/ (20.03.2020)
  94. Chaos Computer Club, https://www.ccc.de/en/home (20.03.2020)
  95. Santus, R. (29.12.2014), Hackers claim they can copy fingerprints from photos, https://mashable.com/2014/12/29/fingerprint-photo-copy/?europe=true (20.03.2020)
  96. German Defense Minister von der Leyen's fingerprint copied by Chaos Computer Club (28.12.2014), https://www.dw.com/en/german-defense-minister-von-der-leyens-fingerprint-copied-by-chaos-computer-club/a-18154832 (20.03.2020)
  97. 97.0 97.1 Goldman, D. (30.12.2014), Hackers recreate fingerprints using public photos https://money.cnn.com/2014/12/30/technology/security/fingerprint-hack/index.html (20.03.2020)
  98. Clearview AI, https://clearview.ai/ (20.03.2020)
  99. 99.0 99.1 99.2 Hill, K. (18.01.2020), The Secretive Company That Might End Privacy as We Know It, https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html (20.03.2020)
  100. Want your photo removed from our facial recognition database? Just send us your photo and government-issued ID, https://www.grahamcluley.com/clearview-ai-facial-recognition-database-twitter/ (24.02.2020)
  101. O'Flaherty, K. (26.02.2020), Clearview AI, The Company Whose Database Has Amassed 3 Billion Photos, Hacked, https://www.forbes.com/sites/kateoflahertyuk/2020/02/26/clearview-ai-the-company-whose-database-has-amassed-3-billion-photos-hacked/#14bc09d57606 (20.03.2020)
  102. Biometrics Technology Market Size Worth $59.31 Billion By 2025, https://www.grandviewresearch.com/press-release/global-biometrics-technology-market (28.03.2020)
  103. https://findbiometrics.com/topics/investments/ (28.03.2020)
  104. Contactless biometrics market to see significant growth: ABI Research, https://www.biometricupdate.com/202003/contactless-biometrics-market-to-see-significant-growth-abi-research (25.03.2020)