Por Marcio Roberto Ramirez |
Tem-se verificado nos últimos anos um rápido aumento da disponibilidade e fiabilidade da tecnologia do reconhecimento facial e digital. Além disso, esta tecnologia foi integrada nos serviços para identificação, autenticação/verificação ou categorização de pessoas.
Os tipos de biometrias avalizadas pelo Comitê Gestor da ICP-Brasil para a identificação dos titulares dos Certificado Digital na ICP-Brasil, com o apelo de redução de fraude, possuem algumas particularidades a serem consideradas [1][2]:
1 – Digital
Tem um alto grau de unicidade, com uma quantidade de pontos unívocos geométricos entre si, e acurácia na resposta em encontrar as combinações possíveis com uma ótima performance dos algoritmos em uso atualmente. Contudo, a sua coleta pode ser burlada através de técnicas simples de cópia apresentada ao coletor, o que o coloca em maior fragilidade e aumenta os custos para equipamentos e processos para maior segurança na coleta, principalmente de dedos vivos e presentes no momento da coleta;
Outro fator negativo é o fato da sua taxa da característica de permanência ser afetada por acidentes naturais ou mesmo pelo desgaste natural. O que pode elevar os casos de exceção à regra.
2-Facial
Tem um alto grau de “coletabilidade”, é pouco invasiva e portanto, tem maior aceitabilidade, contudo o seu grau de permanência é baixo devido a fatores como objetos que podem ofuscar ou bloquear os pontos coletados (barba, óculos, chapéu, etc), aumentando o grau de complexidade, performance e acurácia dos algoritmos de reconhecimento;
A biometria, qualquer uma delas, possui seu ponto fraco no uso como instrumento de identificação e autenticação: uma vez roubada, pode ser utilizada sem a contra evidência de quem usou é realmente quem diz ser, e não pode ser revogada ou cancelada pelo verdadeiro dono. Sendo assim, se alguém copiar a sua biometria e usá-la, você não conseguirá revogá-la.
O que nos traz para alguns princípios de segurança no uso da biometria:
- o uso deveria ser em um canal restrito e seguro;
- a comprovação do uso, deveria requerer indício de que se trata de uma pessoa viva, e presente no local, e a coleta da biometria foi realizada no momento da autenticação, evitando assim o uso da cópia por foto, imagem, silicone ou similaridade;
- o sistema de coleta deveria ser protegido desde a coleta até o servidor, sendo que o servidor deve ter a garantia que a coleta foi originada no software cliente confiável;
- não deveria ser transportada no meio digital desejavelmente, sendo que para processos de autenticação, no máximo o “hash” da biometria deveria ser usado. Idealmente que fosse realizado um processo de MOC (Match On Card), onde a operação de confirmação do match da minúcia na autenticação fosse realizada dentro do dispositivo criptográfico e seguro;
- se for transportada no meio digital, deveria ser criptografada, no mínimo com chaves simétricas de alta grandeza e algoritmos robustos gerados apenas para a sessão de uso;
- se for armazenada em um servidor, deveria ser protegida por múltiplas camadas de segurança perimetral, física e lógica. Sendo que deveria também ser cifrada com criptografia forte, com acesso restrito, sendo que este acesso deveria ocorrer somente com múltiplas pessoas (3 ou mais) conjuntamente.
Em 4 de Junho de 2015, 5,6 milhões de registros de biometria digital foram roubados dos 20 milhões de funcionários do governo dos EUA cadastrados [3]; que tinham registros de coleta biométrica em seus arquivos; conforme comunicado do OPM (Office Personnel Management).
Aqui no Brasil, segundo o site do TSE (Tribunal Superior Eleitoral), mais de 24 milhões de pessoas já tiveram suas biometrias coletadas, sendo o maior caso de estudo neste segmento. Como sabemos, bancos já possuem coleta de biometria, com o uso em caixas eletrônicos e na boca do caixa. Mas onde essas biometrias coletadas estão armazenadas, e de que forma? Quem audita? Qual a regulação?
Em uma consulta ao que dizem os advogados especialistas em Certificação Digital ICP-Brasil, compilamos as seguintes anotações:
Independente dos meios de obtenção das imagens, é necessária uma base jurídica para proceder ao seu tratamento.
Eis algumas recomendações jurídicas a serem tomadas:
Se o responsável pelo tratamento de dados obter as imagens diretamente, deve-se assegurar que tem o consentimento válido das pessoas em causa, antes da obtenção, e fornecer informações suficiente acerca do momento em que a câmera está a funcionar para efeitos de reconhecimento facial;
Se os utilizadores estiverem a obter imagens digitais e a publicá-las para efeito de reconhecimento facial, o responsável pelo tratamento de dados deve assegurar-se de que as pessoas que publicaram as imagens deram o consentimento para o tratamento das mesmas, e que podem ser efetuados para efeitos de reconhecimento facial;
Se o responsável pelo tratamento dos dados estiver a obter imagens digitais de pessoas a partir de terceiros (por exemplo, copiadas de um sítio Web ou compradas a outro responsável pelo tratamento), deve analisar cuidadosamente a fonte e o contexto em que as imagens originais foram obtidas e tratadas, mas apenas se as pessoas em causa tiverem dado o consentimento para o tratamento.
Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais e os padrões são utilizados apenas para o objetivo específico para que foram fornecidas. Devem também estabelecer os controles técnicos necessários para reduzir o risco de que as imagens digitais sejam submetidas a tratamento ulterior por terceiros para finalidades para as quais o utilizador não tiver sido dado o seu consentimento. Os responsáveis pelo tratamento dos dados devem incorporar ferramentas para que os utilizadores possam controlar a visibilidade das imagens que tiverem publicado, sempre que a configuração por defeito limite o acesso de terceiros.
Os responsáveis pelo tratamento dos dados devem assegurar-se de que as imagens digitais de pessoas que não sejam utilizadores registrados do serviço ou que não tiverem dado, de qualquer outra forma, o seu consentimento para o tratamento só serão tratadas se o responsável pelo tratamento tiver um interesse legítimo em fazê-lo.
O responsável pelo tratamento dos dados deve tomar as medidas necessárias para garantir a segurança da transferência dos dados. Isto pode incluir canais de comunicação codificada ou codificação da própria imagem. Sempre que possível, sobretudo no caso da autenticação/verificação, deverá optar-se pelo tratamento local dos dados pelos motivos expostos acima.”
Não podemos nos esquecer do Marco Civil da Internet, sendo o artigo 7º, que nos traz garantias aos usuários sobre a coleta e armazenamento dos dados pessoais, mas no âmbito de acesso a internet:
Art. 7º. O acesso à internet é essencial ao exercício da cidadania, e ao usuário são assegurados os seguintes direitos:
I – inviolabilidade da intimidade e da vida privada, sua proteção e indenização pelo dano material ou moral decorrente de sua violação;
II – inviolabilidade e sigilo do fluxo de suas comunicações pela internet, salvo por ordem judicial, na forma da lei;
III – inviolabilidade e sigilo de suas comunicações privadas armazenadas, salvo por ordem judicial;
IV – não suspensão da conexão à internet, salvo por débito diretamente decorrente de sua utilização;
V – manutenção da qualidade contratada da conexão à internet;
VI – informações claras e completas constantes dos contratos de prestação de serviços, com detalhamento sobre o regime de proteção aos registros de conexão e aos registros de acesso a aplicações de internet, bem como sobre práticas de gerenciamento da rede que possam afetar sua qualidade;
VII – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado ou nas hipóteses previstas em lei;
VIII – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
IX – consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
X – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
XI – publicidade e clareza de eventuais políticas de uso dos provedores de conexão à internet e de aplicações de internet;
XII – acessibilidade, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, nos termos da lei; e
XIII – aplicação das normas de proteção e defesa do consumidor nas relações de consumo realizadas na internet.
E mais especificamente sobre a matéria; mas ainda não em vigor; o projeto de Lei, proposto pelo Deputado Lucas Vergílio, com justificação que tem origem no Projeto de Lei nº 3.558, de 2012, de autoria do Deputado Armando Vergílio.
Fonte e Bibliografia:
ITI (www.iti.gov.br)
[1] Biometric Research Group: http://www.cse.msu.edu/biometrics/pubs/index.html
[2] Biometric Consortium: http://www.biometrics.org/links.php
[3] Stealing Fingerprints by Bruce Schneier on Security: https://www.schneier.com/blog/archives/2015/10/stealing_finger.html
* Marcio Roberto Ramirez | Consultor Sr em PKI e Desenvolvimento de Sistemas de Segurança. Com pós-graduação em informática no Mackenzie, desenvolvendo produtos e soluções de PKI, Autoridade Certificadora e protocolos de segurança desde 1996 e Colunista do CryptoID.
mramirez@consultsoftware.com.br
.