<
>

生物计量数据:滥用和滥用的根源?

作者:BeyondTrust首席技术官Morey Haber
  
在对各种类型的数据的敏感度进行分类时,很少(如果有)数据类型的敏感度比生物统计数据高。然而,尽管越来越多地放弃收集生物识别数据,但这种做法却受到了严格审查,这将我们进一步推向了 数据反乌托邦.

什么数据是“敏感”数据?

那么,当今人们如何看待“敏感”数据?可能因人而异,因公司而异,甚至因法规而异。

个人身份信息 (PII)指被认为是敏感数据的一揽子广泛数据,因为它可以用来识别一个人。 PII包括您的姓名,电子邮件地址,用户名,密码,生日,地址,社会保险号,信用卡信息,病历,生物特征数据等。

但是,尽管更传统的PII类型一直受到审查,但是生物识别数据,尤其是有关当今使用和访问它的新方式的数据,并未得到足够的重视,尤其是在考虑到它的敏感度和不变性时。生物识别数据是您的一部分 身份 并且永远无法改变。具体来说,我在这里重点介绍的生物识别数据是指纹,语音,视网膜或虹膜,识别DNA序列和面部特征。

如今,我们的生物识别数据越来越多地通过云中的IoT设备和服务进行收集,存储和传输,而对此的影响却很少。您可以通过祖先DNA试剂盒或使用现代笔记本电脑,移动设备或通过指纹或面部识别存储健康或登录数据的智能手表来参与此操作。

在此博客中,我们将介绍生物识别数据收集/存储所带来的一些独特风险,要求您提供生物识别数据的一些新兴产品和服务,以及为更好地保护数据而可以采取的步骤,以及扩展,您的身份。

生物数据:滥用和滥用的时机已经成熟

暴露生物特征数据会带来独特的数据隐私风险,并在多个层面上造成后果。例如,一旦您的生物特征数据泄露或受到破坏,就会使您不断遭受基于身份的攻击的风险。
通常,作为一个人,您只有一个身份。我们可能会争辩说,即使您是间谍或具有犯罪别名,您仍然只有一个身份,因为无论您使用何种别名,化身或假冒方式,您都只有一组生物识别数据。您无法更改指纹,声音,面部,眼睛,心电图或静脉。

信息技术利用生物特征数据进行授权或身份验证时,必须将结果与生物特征数据的银行电子档案进行比较。严格的安全保护(包括加密)可以帮助保持生物特征数据的静止。但是,要利用生物特征数据,必须将其重新组合(至少部分分解)以与评估输入进行比较。存储设计缺陷,漏洞和主机系统配置错误只是使生物特征数据暴露成熟的众多方式中的几种。这样的命运在2015年美国管理和预算局(US Office of Budget and Budget)遭受了打击,指纹属于560万个人,因此被网络攻击者窃取。

还应考虑,即使是最先进的生物识别系统也可能容易受到欺骗。例如,安全研究人员最近 入侵了手臂静脉生物认证设备 使用照片和复制手臂。
但是,生物特征数据最重要的问题不是由使用的存储或身份验证技术提出,而是由生物特征数据本身的静态性质提出的。密码遭到破坏后,您只需更改密码即可缓解密码重用攻击。但是,您无法更改生物识别数据,因此一旦遭到破坏,它就可以作为基于身份的威胁而持续存在。您的眼睛,脸部或指纹永远与您的身份相关联(不包括生物黑客攻击-另一天就是话题)。任何未来仅依赖于受损生物特征数据的黑客都可能成为威胁参与者的容易攻击目标。

因此,永远不应仅依靠生物识别技术作为认证或授权的唯一方法。对于此类用例,生物识别数据应始终与密码配对,或者最好是两因素或多因素身份验证解决方案。

新兴产品和技术要求访问您的生物特征数据

尽管某些供应商将生物识别数据的安全性放在优先位置(苹果安全飞地),许多其他人将此数据保护视为事后的想法(例如,在收到有关泄露或数据滥用的不必要的宣传之后)。近年来,一个臭名昭著的例子是消费类产品 资料私隐 关注问题Vtech的受欢迎程度 我的朋友凯拉会说话的娃娃。我的朋友Kayla使用语音识别软件,并嵌入了支持蓝牙的设备来收集和接收数据。该玩具在许多国家/地区都违反了隐私标准, 一位直言不讳的作家 “相连的洋娃娃凯拉是间谍,必须予以销毁。”
以下是一些可能会拥有您的生物识别数据的新兴技术的小样本。

  • 移动设备和物联网: 考虑一下现代手机,平板电脑,甚至是门摄像机(旨在防止包裹小偷,故意破坏行为或入侵者的攻击),它们中的每一个都会捕获某种形式的生物特征数据并将其存储在设备或云中,即使它们不用于认证或授权。一些门摄像机会根据移动情况捕获照片或视频,并可能只是通过步行或驶过而记录下来的镜头或图片。现在,您未知的相似度可能驻留在另一个最终用户的设备上或云中。而且,您的手机或平板电脑现在也存储了指纹和面部指标。如果您有足够的工具和文档,则如何绕过这些安全模型。 手中的设备。您不能仅仅依靠生物识别技术就相信这些安全模型,而AI可能通过执行 PII联动 for threat actors.
  • 虚拟助手(Siri,Alexa,Cortana等): Google,Amazon,Microsoft,Apple和其他公司的设备可以处理语音识别命令,并且可以进行编程以理解单个语音。您独特的人声模式在云中存储和处理。虽然人类语音模式的威胁向量仍是非常理论上的,但请注意,此数据正在存储中。而且,风险确实存在,例如  这件事 of someone’s 个人互动 助手被转移给其他人。
  • DNA试剂盒: 如果您购买或使用了My Ancestry或23&我,您的DNA现在已存档。而且,如果您提供许可,则执法部门可以使用您的数据来帮助解决刑事案件。您最私人和最敏感的数据,即您的DNA,现在已由第三方掌握。您应该知道他们可以使用它做的所有事情,以及如果这些服务遭到破坏所带来的后果。例如,在消费者家谱网站上考虑此违规行为, 我的遗产,其中暴露了9200万个帐户的数据。
  • 城市相机– 在许多主要城市,例如 纽约市,每天有成千上万个基于监视的路边摄像头捕获数TB的视频,以帮助确保城市安全。数据的存储和处理方式属于执法部门的管辖范围,并且已采取主流措施来确保面部识别和其他配置文件的处理受到法律的限制。但是,每次您在公共场合看到监视摄像机时,都会提出一个问题,谁在监视它,以及他们以我的身份在做什么?

完全控制如何访问和使用您的数据

当您购买设备,使用新技术或考虑使用新服务时,询问您自己,并可能询问供应商(尤其是该技术是否用于工作),请注意以下事项:

  • 您如何存储生物特征数据?
  • 它存储在哪里? (尤其是哪个国家/地区,因为这可能会对其他法律和合规性产生影响。)
  • 我的生物特征数据如何得到保护?
  • 谁有权访问数据?
  • 我的生物识别数据是否随着时间推移而被清除?
  • 您是否出售/放弃我的生物特征数据?
  • 执法部门是否可以访问我的生物识别数据或日志?即使有认股权证?

我们需要坦诚和严格地讨论我们将允许存储哪些有关我们的身份的信息,以及哪些风险太大。并且,最重要的是,仔细检查谁有权存储,传输或访问此数据。

我们每个人在我们的一生中都拥有一个唯一的独特身份。最好是控制如何捕获,存储,处理,传输和访问我们的生物识别数据和其他敏感数据。
我已经讨论过的一些令人困扰的数据隐私问题已开始通过法规解决。例如,美国国会的一项新立法将  2019年商业面部识别法引入旨在提高数百万人对如何处理和存储其生物识别数据的认识。如果获得通过,该法案将迫使公司有义务在使用面部识别技术跟踪个人并处理数据以进行任何类型的监视,配置文件或其他未知分析之前获得同意。

另外,很多 IT安全解决方案,例如BeyondTrust的 端点特权管理解决方案嵌入了一些特殊功能,可以在数据收集过程中模糊用户的身份,而又不会在报告,警报和分析方面造成损失。目标是将这些概念应用于全球范围内已立法保护用户身份的政府法规中,无论其来源是基于生物特征识别还是基于用户活动。
我们正处于生物识别数据存储和处理革命的开始。每个人都应意识到其身份的风险,以及在工作中我们如何保护自己的基本匿名性。

分享我们的想法

0 Comment 登录 要么 寄存器 发表评论