אתגר המידע הביומטרי

נושא אבטחת המידע עולה שוב ושוב לכותרות, ובמיוחד בימים אלה עם תחילת השימוש בתעודת הזהות הביומטרית. למעשה, כמעט בכל יום שומעים על פצחנים (האקרים) שהשיגו גישה למידע פרטי או רגיש. רק לאחרונה נגנבו למעלה מ-500 מיליון סיסמאות מענקית האינטרנט יאהו בעקבות פרצה באבטחה. ברור כיום יותר מתמיד שככל שהמערכת מתוחכמת יותר, וככל שהמידע הפרטי האגור בה קריטי יותר, כך מערכת ההגנה עליה צריכה להיות מתקדמת יותר.

לשם כך קיימות השיטות הביומטריות, שמאמתות את זהותו של אדם על סמך מאפיין ביולוגי שייחודי לו בלבד. שתי שיטות נפוצות הן זיהוי על פי טביעות אצבע או קשתית העין. אולם טביעות אצבעות אפשר לגנוב וסריקות קשתית ניתן לשכפל. אף אחת מהשיטות הללו איננה חסינה מפני פצחנים.

"שיטות האימות הסטנדרטיות, כגון סיסמה, מאמתות את זהותך רק פעם אחת – לפני תחילת השימוש שלך בשירות המבוקש", מסביר עבדול סרוודה (Serwadda), מומחה לאבטחת מידע מאוניברסיטת טקסס טק, "אולם מרגע שנכנסת לשירות אין למערכת דרך לדעת שאתה הוא המשתמש, והיא עיוורת לזהותך. אימות התנהגותי דומה לאימות ביומטרי, אבל מסתכל על דפוסים אחרים, שמאפשרים למערכת להיות ערה לזהות המשתמש ולעקוב אחריה לאורך זמן. כאשר היא מזהה חשש שאדם לא רצוי משתמש בזהות של משתמש מורשה היא מגיבה מיד ומבקשת אימות מחודש באמצעות סיסמה".

המוח הייחודי

אחד מהדפוסים ההתנהגותיים הללו יכול להיות השימוש בגלי מוח, שאפשר לזהות בבדיקת  EEG – שיטה מקובלת למדידת פעילות חשמלית במוח. כמה קבוצות מחקר בארצות הברית הציגו לאחרונה מערכות מבוססות גלי מוח שמאמתות את זהות המשתמשים בדיוק גבוה מאוד.

אולם אליה וקוץ בה, גלי המוח יכולים לחשוף מידע הרבה יתר עשיר על האדם, מעבר לזהותו – למשל מידע רפואי ואפילו פרטים על אישיותו או מצבו הרגשי, שעשויים להביך אותו או להזיק לו אם ייחשפו. ככל שתפוצת מכשירי ה-EEG תעלה, וככל שיהיה פשוט יותר לקרוא את הסריקות שלהם, גדלה הסכנה שזה יקרה.

לטענת סרוודה, אנחנו הולכים ומתקרבים למצב הזה, שכן כיום אפשר לרכוש במאה דולר בלבד מכשיר שמתאים לראש כמו זוג אוזניות. "יש כיום בשוק יישומים של חישת מוח שאפשר להוריד ישירות לטלפון הנייד. אם בעבר אותות המוח הללו היו נגישים רק לרופאים, כיום כמעט כל אדם יכול לגשת אליהם. כל אחד יכול לכתוב יישום שיקבל גישה לאותות מוח של משתמשים, ולנסות לעשות עליהם מניפולציה כדי לגלות מה מתרחש במוחם".

בדיוק בנקודה הזו, סרוודה ותלמידו ריצ'רד מטובו (Matovu) ממקדים את תשומת הלב שלהם: הם מנסים לבדוק אם אפשר לקבל מידע על תכונות של אדם על סמך גלי המוח שלו. את ממצאיהם הם הציגו לאחרונה בכינוס הבינלאומי על ביומטריה.

גלי מוח ואבטחת מידע

הקרן הלאומית למחקר (NSF) של ארצות הברית מממנת פרויקט תלת-שנתי שבו סרוודה ועמיתים משתי אוניברסיטאות אחרות בוחנים איך אפשר להשתמש בדפוסי EEG כדי לחזק את שיטות האימות המסורתיות. באופן ספציפי הם מנסים לגלות אלו תכונות ייחודיות בגלי המוח של אדם יוצרות תבנית שמאפשרת לזהות אותו בצורה המדויקת ביותר ולאלו אזורים במוח יש להצמיד את האלקטרודות.

לאחר שיימצאו התבניות הללו יש שאלות נוספות שצריכות להישאל. למשל, אם גורם עוין ישיג גישה לתבניות במערכת האימות, האם הוא יוכל לנצל את זה לרעה כדי לקבל מידע על המשתמש מעבר לאימות זהותו? ואם כן, אלו תכונות בתבנית הזאת יכולות להפחית את האיום או להגביר אותו?

כדי לענות על כך בדקו סרוודה ומטובו שתי מערכות אימות שונות וחיפשו בעזרתן מידע פרטי רגיש על אלכוהוליזם. לשם כך הם חקרו 25 אלכוהוליסטים ו-25 נבדקים שאינם אלכוהוליסטים. התברר שהמערכת הצליחה לזהות את האלכוהוליסטים בערך ב-75 אחוז מהמקרים. כיוונון עדין נוסף של המערכת הגביר עוד יותר את היכולת שלה לגלות התנהגות אלכוהוליסטית, על חשבון ירידה קלה באיכות האימות של זהות המשתמש.

האם אפשר להשתמש בגלי המוח להשגת מידע אישי? בדיקה במכשיר EEG לרישום הפעילות המוחית | צילום: Science Photo Library

הגנה על מידע אישי

מטרתם המחקר לא הייתה להוכיח שאפשר להשתמש בגלי מוח כדי לחשוף מידע אישי טעון, אלא דווקא למנוע את השגת המידע. לדברי סרוודה, עושר המידע שמתקבל מסריקת גלי מוח מקביל למצב שבו בדיקת טביעת אצבע הייתה מחייבת לדקור את אצבעו של האדם. מצב כזה יהיה כמובן בעייתי, משום שאז יהיה אפשר להשתמש בדם לקבלת מידע רפואי רב על האדם, למשל אם הוא סובל ממחלות מסוימות ואפילו מהן התכונות המולדות שלו.

נכון להיום, במרבית המחקרים על אימות זהות באמצעות גלי מוח, החוקרים מנסים לצמצם ככל האפשר את שיעור הטעויות של המערכת. לעומת זאת, כמעט שלא שוקלים איך תכונות מסוימות בעיצוב המערכות הללו, כלומר התכונות שמשמשות לעיצוב תבנית המשתמש – עלולות להזיק למי שמידע אישי שלהם ידלוף. למשל אם מערכת עם שיעורי טעויות נמוכים חושפת מידע פרטי רב, לא יהיה נכון לטעון שהיא בהכרח יעילה יותר ממערכות מדויקות פחות אבל בטוחות יותר. משתמשים יקבלו את התועלת המלאה של המערכת רק אם פרצות הפרטיות האפשריות שלה יובנו היטב ויינקטו צעדים להפחית אותן.

הקידמה מציבה בפני האנושות אתגרים רבים, ואחד החשובים ביניהם כיום הוא ההגנה על הפרטיות. הודות למאמציהם של סרוודה וחוקרים אחרים, נושא הזליגה של מידע אישי רגיש דרך טכנולוגיות האימות החדשות מתחיל לעורר הדים בקהילה המדעית. יש לקוות שטכנולוגיות אימות מדויקות יותר לא יגרמו דווקא לנזק שהן אמורות להגן מפניו – פגיעה בפרטיות המידע של משתמשים.