Sociale media geven ons de mogelijkheid te communiceren met vrienden, familie of zelfs om wereldwijd bekendheid te krijgen. We delen deze persoonlijke ervaringen in foto-, video- en audioformaat maar al te graag. Uit recent onderzoek door Trend Micro blijkt dat we door het delen van persoonlijke content ook onze gevoelige biometrische patronen blootgeven.
Zo zijn er bijna tien miljoen berichten die de hashtag #EyeMakeup op Instagram gebruiken. Video’s met de hashtag #EyeChallenge zijn in TikTok meer dan twee miljard keer bekeken. Beide hashtags tonen gebruikers die hun iris-patronen prijsgeven.
Tegenwoordig speelt biometrische technologie een belangrijkere rol in ons leven dan tien jaar geleden. In de volgende alledaagse gevallen wordt bijvoorbeeld gebruikt gemaakt van biometrische technologie:
- Passeren van een grenscontrole via geautomatiseerde middelen;
- Openen van een bankrekening om geld op te nemen bij geldautomaten;
- Betalen voor voedingswaar in een moderne supermarkt;
- Betalen voor openbaar vervoer met biometrische sensoren.
Door deze scenario’s krijgen we een duidelijk beeld van de rol die biometrische technologie in ons leven speelt. Nog belangrijker om te beseffen is dat deze gebeurtenissen in specifieke omstandigheden plaatsvinden en duidelijke gevolgen hebben voor de gebruikers. Een gebruiker die een automatische grenscontrole passeert, wordt gewaarschuwd en mag doorlopen als het systeem hem of haar herkent, net zoals deze persoon gewaarschuwd en geweigerd kan worden als er geen herkenning is in het systeem.
Scenario’s
In andere scenario’s zijn onze handelingen zo alledaags dat we nauwelijks merken hoe vaak we onze biometrische gegevens gebruiken. Denk aan het ontgrendelen van onze smart devices met onze vingerafdrukken of ons gezicht. Al moeten we bepaalde handelingen verrichten – zoals het correct aanraken van een sensor of het in de juiste positie plaatsen van de camera – deze handelingen zijn een tweede natuur geworden en voelen bijna automatisch aan.
Uit genoemd rapport blijkt dat we, door bepaalde soorten content publiekelijk te delen op sociale media, we kwaadwillenden de kans geven onze biometrische gegevens te onderscheppen. Door onze spraakberichten te plaatsen, geven we stem-patronen prijs. Door foto’s en video’s te plaatsen, onthullen we onze gezichten, het netvlies, de iris, de vormen van onze oren en in sommige gevallen zelfs handpalmen en vingerafdrukken.
Aangezien dergelijke gegevens voor iedereen beschikbaar kunnen zijn, hebben we beperkte controle over de verspreiding ervan. We weten dus niet wie de gegevens al heeft gezien. We weten evenmin hoe lang of voor welke doeleinden de gegevens worden bewaard.
Blootstelling
Wat zijn de gevolgen van deze blootstelling? En wanneer zullen we ons bewust worden van deze gevolgen – als we ons er al bewust van worden?
Er zijn veel vragen over deze gegevens en er zijn verschillende redenen waarom deze vragen in het huidige klimaat nog belangrijker zijn geworden. Momenteel bevinden we ons op een kantelpunt. De combinatie van nieuwe technologische mogelijkheden – zoals de smartphonecamera’s met een hoge resolutie, ondersteuning van mediaplatforms voor 4K-video’s en -foto’s, cloud en datamining, ai en machine learning – zullen de veiligheidsrisico’s aanzienlijk vergroten.
Deze smeltkroes van innovaties begint al te leiden tot ‘nichetoepassingen’ van biometrische gegevens. Bewakingscamera’s volgen bijvoorbeeld personen met gezichtsherkenningsalgoritmen op basis van de gegevens van een persoon zelf – gegevens die eerder zijn geüpload op sociale media. Cybercriminelen zouden dezelfde gegevens van sociale media kunnen gebruiken voor identiteitsdiefstal of het maken van deepfakes (met name deepfakes van publieke figuren). Hoewel gebruik van deze gegevens door criminelen nu nog laag is, zal de drempel voor toegang alleen maar verder dalen. Daarmee zal ook de schaal van het misbruik in de loop der tijd toenemen.
Op het eerste gezicht lijken biometrische gegevens een totaaloplossing: ze zijn uniek en kunnen worden gebruikt voor identificatie en authenticatie en je hebt ze altijd bij je. Decennialang zijn biometrische gegevens gebruikt voor verschillende nichetoepassingen, bijvoorbeeld om strafrechtelijk en forensisch onderzoek te vergemakkelijken of om toegang te krijgen tot overheidsgebouwen. Tegenwoordig is de rol van biometrie uitgebreid en maken honderden miljoenen mensen er dagelijks gebruik van. Helaas betekent dit ook dat hetzelfde aantal mensen ten prooi kan vallen aan de kwetsbaarheden en zwakheden van technologieën en processen die betrokken zijn bij de verwerking van biometrische gegevens.
Hoe biometrische patronen op sociale media onze toekomst beïnvloeden
Om de risico’s te evalueren, besloot Trend Micro om bekende gebruikssituaties te onderzoeken die nu of in de nabije toekomst biometrische gegevens gebruiken. Daarbij is ook de onderliggende technologie onderzocht die door biometrische systemen wordt gebruikt voor identificatie en authenticatie. Wanneer content wordt gepubliceerd, zijn veel mensen zich er helaas niet van bewust hoe gevoelig deze content is. Het spreekt voor zich dat zij de huidige en toekomstige risico’s niet kennen.
De belangrijke risico’s over het publiceren van content op sociale media, welke gevoelige informatie al is blootgesteld of nog kan worden blootgesteld door gepubliceerde inhoud worden uitgebreid belicht. Daarnaast omvat het rapport en beschrijving van hoe de publicatie van dergelijke content niet alleen individuele levens kan beïnvloeden, maar ook de dagelijkse activiteiten van organisaties die biometrische gegevens gebruiken of verwerken. Trend Micro beschrijft ook huidige en toekomstige aanvalsscenario’s die gebruikmaken van blootgelegde biometrische kenmerken en gedragsgegevens. Ten slotte geeft het rapport aanbevelingen om de risico’s in verband met de blootstelling en het gebruik van biometrische gegevens tot een minimum te beperken.
Het gebruik van biometrische gegevens op de chip in mijn paspoort op het vliegveld om door de controle te komen scheelt me gemiddeld anderhalf uur. Hetzelfde geldt voor het regelen van mijn bankzaken omdat het dichtstbijzijnde loket zo’n 40 minuten rijden is. Onomstotelijk het ‘wie ben ik’ bewijzen met een actieve toestemming door een chip uit te laten lezen voor een controle van de biometrische gegevens is dus wat anders dan een artikel-10 camera die de mugshot van sociale media voor een identificatie gebruikt.
Een 4K camera van een paar tientjes koppelen aan de cloud voor gezichtsherkenningsalgoritmen geeft vele mogelijkheden maar het is een inbruik op ons grondwettelijke recht om onbespied te mogen leven dus wat anders dan een ‘match-on-card’ van een ja/nee dat persoon en het identificatiemiddel bij elkaar horen. Het actief aanbieden van zo’n middel is wat anders dan het ongevraagd gebruiken om een persoon aan een handeling te koppelen. Oja, het scannen van onderhuidse bloedvaten met zoiets als handpalm herkenning is ook nog wat anders dan je vingerafdruk achterlaten maar dat is de praat van wij van WC-eend adviseren WC-eend.
Het betalen met Palm Vein neemt dan ook een vlucht in Amerika terwijl lokale partners zich meer bezig houden met het gebruik hiervan voor de fysieke toegang. Want de 2FA met match-on-card van biometrie is heel wat beter dan de makkelijk uitwisselbare sleutel van iets hebben en iets weten. Dat dit veiliger is en minder impact op de privacy heeft lijkt me duidelijk, een gebruiker heeft namelijk de volledig controle over zijn biometrische gegevens doordat deze NIET centraal opgeslagen zijn maar op de chip bewaard worden die hij/zij in eigendom heeft.