Ogen, duimen en GDPR: breekt Biometrie door bij bedrijven?
Biometrie boomt. Beveiliging doormiddel van unieke persoonlijke kenmerken vindt zijn weg naar de consumentenmarkt door onder andere vingerafdruksensoren op smartphones en gezichtsherkenning met Windows Hello, maar ook bedrijven tonen steeds meer interesse in biometrische toegangscontrole. “Onder andere banken kijken naar een extra beveiligingslaag door middel van biometrie”, weet Ronald Huijgens, directeur van biometrische technologieën bij Unisys. “Door biometrische data van klanten op te slaan, kunnen banken een extra controlelaag invoeren bij de uitvoering van bijvoorbeeld grote betalingen.”
Biometrische bankautomaat
Erg tastbare voorbeelden daarvan vind je in Azië en Zuid Amerika, waar bankautomaten uitgerust zijn met handpalmscanners. Wie kaart en pincode steelt, loopt zo nog steeds tegen een muur aan. Gelijkaardige technologie steekt steeds meer de kop op in andere sectoren. “Handpalmscanners winnen aan populariteit in havens”, weet Huijgens. “Vingerafdrukken worden dan weer een routine-onderdeel van grenscontroles en irisscanners blijven de voorkeurstechnologie voor de toegangscontrole van gevoelige installaties zoals kerncentrales.”
[related_article id=”168441″]
Geavanceerde en betaalbare biometrische oplossingen maken de technologie interessant voor tal van sectoren. Biometrie is immers inherent veiliger dan toegangscontrole door middel van een sleutel, pincode of wachtwoord. “De kwaliteit van een type biometrische beveiliging hangt af van de gebruikte kenmerken en de kwaliteit van de sensor”, verduidelijkt Huijgens. Nauwkeurige en betaalbare sensoren zijn op die manier een katalysator voor de implementatie van biometrische oplossingen. Welke vorm van biometrie het meest geschikt is in een concreet scenario, hangt dan weer van de omstandigheden af.
Uniek, maar niet helemaal
“Vingerafdrukken zijn minder uniek dan bijvoorbeeld scans van de iris of infraroodscans van het aderpatroon in de handpalm”, illustreert Huijgens. In het voorbeeld van toegangscontrole bij havens is een handpalmscan helemaal ideaal, omdat die technologie best goedkoop is en in staat is het aderpatroon in iemands hand te detecteren. (Sommige handpalmscanners, zoals geavanceerde versies van Fujitsus Palmsecure, kunnen het aderpatroon zelfs door handschoenen heen lezen.) Wie echt op grote schaal werkt, kan dan weer overwegen om meerdere biometrische kenmerken te combineren. “Een vingerafdrukscan van een duim heeft een foutmarge van 0,5 procent. In India, waar 1,3 miljard mensen samenwonen, volstaat een duimscan dus niet om mensen voldoende van elkaar te onderscheiden. De overheid houdt daarom een database van tien vingers en een irisscan bij ter identificatie van haar inwoners.”
Ook in België plaatst de overheid vingerafdrukken en data voor gezichtsherkenning op het paspoort. Dat wil niet zeggen dat de overheid een grote database bezit van biometrische gegevens van alle paspoortbezitters. “Biometrische data hoeft niet centraal bewaard te worden”, weet Huijgens. “Bij biometrische herkenning wordt een persoonlijk kenmerk vergeleken met een template, geregistreerd in gecontroleerde omstandigheden. Die template kan je als overheid of bedrijf op een centrale server bewaren, maar ook op een microchip op een toegangskaartje.” Dat laatste gebeurt bij de overheid in het kader van de eIDAS-standaard, en is eveneens de manier waarop banken de biometrische herkenning aanpakken. Bij het voorbeeld van de ATM’s wordt het originele template van het aderpatroon in de handpalm op de betaalpas bewaard, en niet op een centrale bankserver. Ook Microsoft houdt geen Windows Hello-data bij. Die staat opgeslagen op een beveiligde chip in je laptop zelf.
[related_article id=”171797″]
GDPR-euvels
Zo’n aanpak brengt een extra voordeel met zich mee: als de biometrische data van klanten of werknemers niet op een centrale server staat, kunnen hackers er niet mee aan de haal gaan. Huijgens: “Biometrische gegevens zijn immers persoonsgegevens, en die worden met de GDPR-regelgeving strikter dan ooit beschermd.” Wie biometrische controle toch via een centraal systeem laat verlopen, dient dus strenge voorzorgsmaatregelen te nemen. “Je kan de gegevens best anoniem opslaan en ze versleutelen. Bovendien doe je er goed aan je netwerk in de gaten te houden, zodat je een eventuele inbraak tijdig kan detecteren.” Steelt iemand de vingerafdrukken van je werknemers, dan ben je vanaf 25 mei immers verplicht om daar meteen melding van te maken.
Denk daarom niet dat biometrie een must is. In veel scenario’s biedt de technologie een meerwaarde omdat ze toegankelijker is dan ooit, en een extra veiligheidslaag biedt. “Maar begin alsjeblief niet met biometrische toegangscontrole voor het lokale zwembad”, lacht Huijgens. “Veilig omgaan met de gevoelige gegevens zal alleen maar nodeloze stress met zich meebrengen.”
https://www.smartbiz.be/achtergrond/173471/hoe-een-hacker-met-een-drone-en-een-raspberry-pi-je-netwerk-leegplundert-2/