Biometrisk identifikation fås i mange afarter og er et effektivt værktøj til at kontrollere et menneskes identitet. Men mulighederne er så mange og teknologierne så fremskredne, at der er brug for klare retningslinjer, hvis vi som samfund skal sikre en etisk forsvarlig anvendelse af teknologierne.

Biometrisk autentificering. Det lyder knoklet og komplekst, men er faktisk ret ligetil: Biometrisk autentificering handler om, hvordan man kan bruge noget unikt fysisk fra et menneske – såsom et fingeraftryk eller ansigt – til at foretage en kontrol og bekræftelse af dette menneskes identitet.

“Fingeraftryk, iris- og ansigtsgenkendelse er de mest etablerede former for biometrisk autentificering,” siger Will King, Head of AI Analytics & Biometrics i Northgate Public Services, som udvikler biometriske løsninger til private og offentlige virksomheder i det meste af verden. “Men det er et område i vækst, og der foregår research hele tiden. Blandt andet indenfor soft biometrics, som er identifikation ved hjælp af sådan noget som gangart og tastetryk på et tastatur. Man arbejder også på at kunne identificere personer på baggrund af deres øreanatomi eller stemme.” 

“Jeg har sågar hørt om et firma i Japan, der udvikler toiletsæder med biometrisk autentificering. Så en person kan sætte sig på toiletsædet, og hvis sædet genkender personens unikke numseaftryk, kan det afspille bestemt musik, varme brættet op til en bestemt temperatur, skylle på en bestemt måde og så videre.”

Vingummibamse som falsk fingeraftryk

Ligesom indenfor computerverdenen foregår der et kapløb mellem dem, der lever af at udvikle biometriske sikkerhedsløsninger, og dem, der lever af at omgå dem. Da den biometriske sikkerhedsverden udviklede software, der anvendte ansigtsgenkendelse til eksempelvis at lukke en telefon eller tablet op med, rejste det spørgsmål om, hvorvidt man kunne holde et billede op foran enheden for at komme ind. Da sikkerhedsindustrien stillede som krav, at ansigtet skulle bevæge sig, rejste det spørgsmål om, hvorvidt man kunne afspille en video af ansigtet, der bevægede sig for at komme ind. Siden er kampen fortsat med udvikling af blandt andet 3D-baseret ansigtsgenkendelse og irisgenkendelse.

En japansk forsker stod for ét af de mest kendte eksempler på et hack af en biometrisk autentificeringsløsning. For ca. 20 år siden lykkedes det forskeren at fremstille et falsk fingeraftryk ved hjælp af et digitalkamera, Photoshop, noget hobbyudstyr og en pose vingummibamser omsmeltet og hældt i en form, så det lignede en finger.
“Siden dengang har krigen raset mod svindel med biometri, og kapløbet vil fortsætte i det uendelige. Præcis ligesom det gør inden for udviklingen af antivirussoftware,” siger Will King.

GDPR er en hjælp

For offentlige eller private virksomheder, der ønsker at anvende biometriske autentificeringsløsninger, er det vigtigt at udarbejde en risikoprofil. Skåret ud i pap er der forskel på risikoprofilen for en online-bank, der bruger en biometrisk løsning til at beskytte kundernes penge, og risikoprofilen for et lokalt fitnesscenter, der bruger en biometrisk løsning til at give kunderne nem adgang til centerets faciliteter. One size doesn’t fit all, og man skal vælge en løsning med en sikkerhedskompleksitet, der matcher forretningens behov.

Men den rigtige risikoprofil hænger ikke kun sammen med beskyttelsen af forretningens aktiver. Det hænger også sammen med de etiske dilemmaer, anvendelsen af biometrisk autentificering automatisk rejser.

“I Europa har vi heldigvis – og jeg mener heldigvis – GDPR, som udstikker en klar retning for anvendelsen af teknologi. GDPR kan ikke stå alene og skal suppleres af andre regulativer, men det er et godt rammeværktøj,” siger Will King og tilføjer, at der i Europa også eksisterer en meget stærk offentlighed, som er med til at diktere anvendelsesområdet for ny teknologi. Den form for offentlige masseovervågning, der finder sted i andre dele af verden, er der ganske enkelt ikke opbakning til de fleste steder i Europa.

Terrorisme og børneporno

GDPR og andre politiske initiativer er med til at definere, hvordan man ikke må anvende teknologi. Men hvornår er det så okay eksempelvis at anvende ansigtsgenkendelse i det offentlige rum?

“Lad os sige, myndighederne i Danmark fik et tip om, at en kendt terrorist havde planer om at springe en bestemt togstation i luften. Ville risikoprofilen for den togstation så ikke være anderledes end risikoprofilen for alle andre togstationer i Danmark?,” spørger Will King.

“På samme måde kunne jeg spørge, om ikke det ville være okay at anvende ansigtsgenkendelsessoftware på websites, der indeholder børneporno, så man kan bruge videomaterialet til at identificere den person, der begår overgrebene, og hjælpe med at beskytte ofrene?” 

Transparens er nøglen

Sådan har fortalerne for overvågning og registrering af menneskers færden længe advokeret for opsætning af eksempelvis flere videokameraer i det offentlige rum. Men hvor stopper det? I hvilken grad kan risikoen for kriminelle handlinger retfærdiggøre en udvidelse af anvendelsesområdet for teknologi, der potentielt indskrænker borgernes frihedsrettigheder?

“Gennemsigtighed i anvendelsen af biometriske løsninger koblet sammen med en stærk juridisk og politisk struktur skal sikre, at vi bruger løsningerne efter hensigten. Vi arbejder blandt andet sammen med South Wales Police. De offentliggør statistik fra hver eneste gang, de har anvendt ansigtsgenkendelse. De resultater lægger de online, så offentligheden kan følge med. Statistikken fortæller, hvad teknologien er blevet brugt til, hvor mange ansigter der blev genkendt, hvor mange anholdelser det førte til og så videre. Det skal tilføjes, at ansigterne i systemet ikke bliver opbevaret, med mindre der er et match med en kendt opmærksomhedsliste,” siger Will King.

Kasino afviser ludomaner ved døren

Han forklarer, at Northgate Public Services også arbejder sammen med et kasino, der anvender ansigtsgenkendelse. Kasinoet har en officiel ansigtsgenkendelsespolitik, hvor de fremlægger, præcis hvordan de bruger teknologien. Som en del af deres politik har de besluttet, at de har et ansvar for at forhindre personer, der frivilligt har opgivet, at de har spilproblemer, i at komme ind på kasinoet, og derfor bliver de afvist ved døren, hvis ansigtsgenkendelsesløsningen registrerer dem.

“Det giver kasinoet mulighed for at tage et større socialt ansvar. Til gengæld ville det være et misbrug af ansigtsgenkendelsesløsningen, hvis kasinoet brugte det til at genkende særligt gode kunder og give dem en VIP-behandling.” 

Man skal tænke sig grundigt om

Biometrisk autentificering er et meget effektivt værktøj til kontrol og bekræftelse af menneskers identitet. Men værktøjet har brug for klar lovgivning og en stærk offentlighed, der igen og igen kan rejse debatten om, hvor grænserne for forsvarlig anvendelse af teknologi går.

“Noget af det, der bekymrer folk ved anvendelsen af biometriske løsninger, er, at løsningerne bruger noget dybt personligt til at validere et menneskes identitet. Andre sikkerhedsløsninger anvender noget, du ved, såsom et password, eller noget, du har, såsom et token. Hvis et password eller et token bliver misbrugt, kan man få et nyt. Men biometriske sikkerhedsløsninger baserer sig på noget, du er. Du kan ikke bare få et nyt fingeraftryk, hvis det bliver kompromitteret. Hvis du kombinerer den usikkerhed med ingen eller mangelfuld lovgivning, der sætter grænsen for, hvordan vi vil anvende løsningerne, bliver det virkelig skræmmende,” siger Will King.

“Derfor er mit råd til private eller offentlige virksomheder, der vil anvende biometriske løsninger: Tænk grundigt over den rammestruktur, der skal kontrollere anvendelsen af løsningerne. Tænk grundigt over årsagerne til at anvende løsningerne. Og brug den samlede viden til at skabe en stærk offentlig mening og en løsning, der matcher risikoprofilen.” 

Vil du vide mere? 

Læs rapporten "KMD Analyse: Ansigtsgenkendelse" og bliv klogere på brugen af ansigtsgenkendelse, mulighederne og diskussionerne om emnet. 

Læs mere her