nieuws

Biometrische identificatie nieuw doelwit voor cybercriminelen

Schade 1207

Biometrische beveiliging biedt gebruiksgemak. Maar er kleven ook risico’s aan voor bedrijven. Privacyschending is het grootste gevaar. Verzekeraars moeten hier rekening mee houden bij de beoordeling van de risico’s. 

Biometrische identificatie nieuw doelwit voor cybercriminelen

Pinnen zonder bankpas of zonder een pincode in te toetsen. Online boodschappen doen zonder een gebruikersnaam of wachtwoord in te voeren. Met biometrische identificatie kan dat werkelijkheid worden. In tegenstelling tot wachtwoordcontrole dat berust op iets dat u weet, berust biometrische identificatie op wat u hebt: een vingerafdruk, uw stemgeluid of een beeld van uw gezicht.

Groeiende markt

De voordelen van biometrische identificatie liggen voor de hand. U kunt uw wachtwoord vergeten of uw pas verliezen, maar niet uw vingerafdruk, stem, of gezicht. Bovendien is even in de camera kijken veel gemakkelijker dan een lang wachtwoord intypen.

De technologie kan in vrijwel elke sector van de economie worden toegepast. Denk aan gezichtsherkenning in ziekenhuizen, het scannen van vingerafdrukken op bouwplaatsen, of stemherkenning voor telefonische bankdiensten. Biometrische producten worden dan ook steeds populairder. Onderzoeksbureau MarketsandMarkets voorspelt dat de wereldwijde markt voor gezichtsherkenning zal groeien van 3,1 miljard euro in 2016 naar 6,5 miljard euro in 2021.

Vastberaden hackers

Biometrische beveiliging is echter niet waterdicht. Veel biometrische lezers, vooral goedkopere uitvoeringen die bijvoorbeeld in smartphones zitten, digitaliseren maar een deel van de biometrische informatie. Data worden cryptografisch verwerkt met een proces dat we ‘hashing’ noemen. Daarna zijn de geregistreerde biometrische gegevens vergelijkbaar met een wachtwoord van gemiddelde lengte. Een vastberaden hacker kan in de beveiliging omzeilen, zegt Karsten Nohl, lid van het Duitse beveiligingscollectief Security Research Labs.

“Een ingewikkeld wachtwoord is vrijwel niet te kraken.”, zegt hij. “Een vingerafdruk kan beter zijn dan een eenvoudig wachtwoord, maar niet beter dan een sterk wachtwoord.” En het hacken van een stemherkenningsysteem is al helemaal gemakkelijk: “Je kunt vrijwel elke stem laten klinken als een andere.”

Bewaren zonder hashing

Het grootste risico is dat een hacker de biometrische gegevens die bij een bedrijf liggen opgeslagen, in handen krijgt. Sommige bedrijven bewaren de vingerafdrukgegevens in een vorm die dicht bij het origineel ligt, zonder hashing. “Sommige systemen slaan het exacte beeld op dat de lezer registreert”, vertelt hij. “Dan ligt dus alle informatie die je (als hacker) nodig hebt, voor het grijpen.”

“Biometrische technologie kan in vrijwel elke sector van de economie gebruikt worden, van ziekenhuizen tot bouwlocaties”

Een veelgenoemd probleem met biometrische data is dat klanten wel hun wachtwoorden kunnen veranderen, maar niet hun vingerafdrukken, stem of gezicht. In theorie is dat geen probleem omdat een bedrijf gedigitaliseerde biometrische gegevens kan ‘opwaarderen’. Als de gegevens dan in verkeerde handen vallen, kunnen er nieuwe biometrische gegevens worden aangemaakt door biometrische kenmerken te combineren met andere gegevens. In feite is dit het biometrische equivalent van het wijzigen van de wachtwoorden van alle gebruikers.

Medische gegevens

Volgens Matthew Clark, directeur Global markets bij verzekeringsmakelaar La Playa, heeft het grote gevolgen als de biometrische data van klanten gestolen worden. “Biometrische gegevens zijn een registratie van fysieke kenmerken. Ze lijken erg op medische gegevens”, legt hij uit. “Als door nalatigheid een datalek ontstaat, kun je het flink aan de stok krijgen met toezichthouders. Zelfs als het lek aan de nalatigheid van derden te wijten is, kun je geconfronteerd worden met de kosten voor onderzoek, het informeren van klanten en nog veel meer.”

Clark benadrukt dat de voorschriften gelden voor alle gegevens die tot de identificatie van een persoon kunnen leiden, dus ook biometrische data. “Toezichthouders passen de wetgeving op dit gebied aan.”, licht hij toe. “Biometrische technologie valt binnen de Algemene verordening gegevensbescherming van de EU.” Die treedt in 2018 in werking en vervangt de Richtlijn gegevensbescherming uit 1995.

Wettelijke boetes

De gevolgen van deze verordening kunnen aanzienlijk zijn, waarschuwt Karen Strong, technology manager for UK and Ireland bij Chubb. “Persoonlijke gegevens moeten streng bewaakt worden en de boetes voor het niet naleven van deze regels zijn niet mals”, vertelt ze. Verzekeraars bieden alleen dekking voor boetes en straffen als dit wettelijk is toegestaan. “In het Verenigd Koninkrijk zijn wettelijke boetes over het algemeen echter niet verzekerbaar.”

“Biometrische gegevens zijn een registratie van fysieke kenmerken. Ze kunnen beschouwd worden als medische gegevens”

“Privacyschending is het grootste risico voor een bedrijf dat biometrische data opslaat, samen met de directe gevolgschade van een gegevenslek voor de betrokken personen”, zegt Strong. Bij het beoordelen van een risico moeten verzekeraars hier rekening mee houden.

“Aangezien al onze verzekerden technologie-aanbieders zijn, bespreken we welke stappen er nodig zijn om ervoor te zorgen dat de persoonsgegevens die ze hosten niet worden gebruikt voor andere doeleinden dan die met de betrokken persoon werden afgesproken. We bekijken hoe ze hun data beschermen, of die versleuteld en gescheiden worden en op verschillende plekken worden opgeslagen. Hoe ziet hun systeembeveiliging eruit? Zijn ze ISO 27001-gecertificeerd of voldoen ze aan de PCI DSS-normen?” Datzelfde geldt voor de toeleveranciers in de supply chain.

Derdenaansprakelijkheid

Er zijn ook andere risico’s. Strong: “Wat gebeurt er als een systeem voor leeftijdscontrole niet goed werkt? Stel dat er alcohol wordt verkocht aan een minderjarige omdat een biometrisch identificatiesysteem het laat afweten. Wat gebeurt er dan als die persoon een ongeluk krijgt of letsel veroorzaakt?” Dit zijn vragen die meespelen bij derdenaansprakelijkheid.

“Als verzekeraars moeten we elke risicoblootstelling van onze klanten vanuit het oogpunt van zowel directe als derdenaansprakelijkheid beoordelen. Degenen die verantwoordelijk zijn voor de gegevens en de bijbehorende meldingen bij een lek, lopen het risico op directe kosten. Daarnaast kunnen ze aansprakelijk worden gesteld voor de boetes en straffen die hun klanten krijgen opgelegd wegens het niet leveren van een veilige service en het niet beschermen van persoonlijke gegevens in de vorm van biometrische data.”

De invloed van biometrische identificatie zal volgens Strong snel toenemen. “Persoonlijk denk ik dat deze technologie steeds belangrijker wordt in ons dagelijks leven. De verzekeringsmarkt moet daarop reageren met zowel risicobeoordelingen als dekking”, concludeert ze.

Drie belangrijke tips voor risicomanagers:

  1. Biometrische gegevens moeten worden bewerkt en een versleutelingsproces ondergaan (‘hashen’) voordat ze worden opgeslagen. Als dat niet goed gebeurt, vallen de gegevens waarschijnlijk in de categorie ‘gegevens die tot identificatie van personen kunnen leiden’. Een gegevenslek kan dan ernstige gevolgen hebben.
  1. Deze technologie valt onder de werkingssfeer van de nieuwe Algemene verordening gegevensbescherming van de EU die in 2018 van kracht wordt.
  1. Gegevenslekken zijn altijd duur, maar als de gebruikers van biometrische identificatiesystemen zichzelf opnieuw moeten registreren (bijvoorbeeld door hun vingerafdruk opnieuw te laten scannen) kan dat duurder en tijdrovender zijn dan wanneer gebruikers alleen hun wachtwoord hoeven te veranderen.

Lees het volledige Engelstalige artikel in Progress Magazine van Chubb.

Reageer op dit artikel

Gerelateerde tags

Lees voordat u gaat reageren de spelregels

Reageren kan op twee manieren.

Meld uzelf als gebruiker aan, uw naam verschijnt dan automatisch bij de reacties.

Of vink de optie gast aan en reageer onder eigen naam of een schuilnaam. Inlog en wachtwoord zijn dan niet nodig. Het kan maximaal 1 minuut duren voordat uw reactie zichtbaar wordt.

Een e-mailadres wordt altijd gevraagd maar nooit getoond.