Čovjek koji nosi identifikaciona dokumenta sa svojim biometrijskim podacima, koji su vezani za elektronske baze podataka i čije kretanje prate kamere, nije slobodan čovjek.
SOZ Brčko, 08.02.2008
+++
Više od toga, on je logoraš u svojevrsnom elektronskom konc-logoru. U društvu koje pristaje na takav nadzor sve priče o demokratiji, slobodi, ličnom dostojanstvu, umjetnosti, padaju u vodu. Jer, ljudi koji su dobrovoljno pristali na takav život niti su dostojni slobodnog ljudskog života, niti će ga dostojno živjeti.
Privid sigurnosti koji pruža pristajanje na takav život je upravo to – samo privid. Jer, ako ste prepustili vlasti nadzor nad svim stranama vašeg života, onda ste joj takođe dali i moć kontrole nad svim stranama vašeg života.
U društvu u kojem su svi povezani za sveznajući informacioni centar kojeg kontroliše centralna vlast, u kojem je novac isključivo elektronski, u tom društvu svako uskraćivanje povezanosti sa sistemom dovodi do gubitka posla, gladi, smrti. Sve UN i Evropske konvencije o zaštiti ljudskih prava i privatnostiu su u koliziji same sa sobom.
Već smo objavili brojne tekstove o opasnostima koje nose tzv. RFID čipovi, tj. čipovi-predajnici, koji se očitavaju na daljinu. Međutim, tehnologija toliko brzo napreduje, da, po riječima iz Svetog pisma, „prođe jedno zlo, evo već sljedećeg“.
Sa mogućnošću tetoviranja ljudi nevidljivim RFID mastilom bukvalno je na pomolu svijet iz poslednjih vremena opisanih u Otkrovenju Sv. Jovana. S tim što mnogi možda neće ni znati da su „žigosani“. Prvi su to kod nas doživjeli psi, preko besplatne ugradnje čipova pod kožu, stvarajući ambijent za ugradnju istih na ljude. Neće to uskoro biti u BiH, ali u SAD već mnogi dobrovoljno pristaju na ugradnju čipova. Ima pokušaja i da se na radnike ugrade isti, kako bi se pratio lakše njihov rad.
Uvođenje ovakvih uređaja, dovelo je do uprošćavanja mnogih rutinskih radnji vezanih za identifikaciju i autorizaciju građana u raznim životnim situacijama. Odnosno, neki građani SAD-a su već primili specijalne RFID-pasoše (Njemci su uspjeli da ih iskopiraju), a Japanci su prilagodili RFID metode za efikasniju realizaciju pomoći u vrijeme raznih nesreća.
Dok preovlađuje nezadovoljstvo u državama zapadne Evrope koju je podgrijala priča britanskog „Gardijana“, čiji je novinar krajem novembra prošle godine uspio da „pročita“ informacije sa „sigurnog“ biometrijskog pasoša, i to pomoću običnog čitača kartica koji je svakome dostupan i košta oko 350 evra, u BiH se pokušava nametnuti uvođenje istih bez ikakvih javnih rasprava i bez pitanja i mišljenja građana ove države. Naime, standarde za nova biometrijska lična dokumenta propisala je Međunarodna organizacija za civilni avio-saobraćaj, koja preporučuje da se svi podaci o određenoj osobi „skladište“ na RFID (Radio Frequency Identification) mikročipu, koji se „čita“ sa male udaljenosti pomoću radio-talasa.
Slični čipovi se često koriste u trgovinama, gdje služe za provjeru količine zaliha određene robe. Činjenica da dokumenti sa biometrijskim podacima lako mogu da budu falsifikovani izazvala je pravu buru u Parlamentu Ujedinjenog Kraljevstva, koje je svojim državljanima već izdalo oko tri miliona „sigurnih“ pasoša, a od 2008. godine isto planira da učini i sa ličnim kartama.
Biometrijski pasoši mogu da budu falsifikovani na vrlo jednostavan način. Uz pomoć informatičkog stručnjaka Adama Lorija, novinar „Gardijana“ je otkrio informacije kodirane na mikročipu novog pasoša. Naime, ispostavilo se da informacije na čipu nisu enkriptovane, odnosno zaštićene od čitanja. Svi podaci koji su potrebni za pristup mikročipu su datum rođenja osobe kojoj pasoš pripada, kao i broj pasoša, koji su jasno ispisani na samom pasošu.
– Ako možemo da pročitamo podatke s čipa, onda možemo vrlo jednostavno i da ga kloniramo, odnosno da napravimo lažni pasoš. A osoba kojoj pasoš pripada nikad neće prijaviti krađu jer mu pasoš nije fizički ukraden – kaže informatičar Lori. On je podatke sa biometrijskog pasoša „očitao“ sa daljine od desetak centimetara, što znači da vam identitet može ukrasti neko ko sjedi u vašoj blizini, a igrom slučaja zna datum vašeg rođenja.
U septembarskom izvještaju organizacije FIDIS (Future of Identity in the Information Society), čiji je osnivač Evropska unija, kaže se da „vlade evropskih država prisiljavaju građane da usvoje novi vid ličnih dokumenata, koji dramatično zadiru u njihovu privatnost i povećavaju rizik krađe identiteta“. FIDIS ukazuje na činjenicu da je nova biometrijska dokumenta moguće „pročitati“ sa udaljenosti do čak deset metara, bez potrebe za fizičkim kontaktom biometrijskog dokumenta sa čitačem. Pored toga, smatra FIDIS, evidentna je opasnost od kloniranja biometrijskih dokumenata, kao i praćenje osobe koja nosi biometrijski dokument sa sobom od strane neovlašćenih lica.
Upravo iz shvatanja tog njihovog dalekosežnog uticaja neophodno je da se razgraniče pozitivna i negativna dostignuća savremene tehnologije na društvo i na pojedinca. Posljedično, vrlo je važno da postoji jasna nacionalna strategija u njenom sprovođenju i primjeni koja bi se oslanjala na pozitivno iskustvo i praksu najrazvijenijih, a koja bi bila prilagođena specifičnim uslovima koji karakterišu našu privredu u datom trenutku istorijskog razvoja. To podrazumjeva prije svega dvije stvari:
- 1) pokretanje šire i stručne rasprave uz angažman stručnjaka iz ovih oblasti, stanovnika BiH, naučnih radnika i inih o tome kakve implikacije na slobodu ličnosti, privatnost i na društvo u cjelini mogu proisteći iz prihvatanja određenih tehničko tehnoloških projekata (npr. uvođenje pomenutih biometrijskih pasoša, ličnih karti, zdravstvenih knjižica i slično).
- 2) Donošenje strogog zakona o zaštiti ličnih podataka, uz kako rekosmo, prethodnu javnu raspravu. Takav pristup jasno podrazumjeva i odbacivanja nus produkata koji nužno iz tih iskustava proizilaze, a ne samo kopiranje gotovih rješenja u jedan potpuno drugačiji ekonomski, tehnološki, kulturološki i duhovni kontekst.
Dakle, zloupotrebe o kojima ovde govorimo se, prije svega odnose na opasnost od kršenja osnovnih ljudskih prava iz domena zaštite privatnosti i osnovnih ljudskih sloboda od strane novih globalističkih elita. Naime, mogućnost stvaranja nekog vida „digitalnog totalitarizma“ i sveobuhvatnog sistema tehnotrone kontrole nad životom pojedinca nije samo naučna fantastika (o takvom totalitarnom projektu je, između ostalih, pisao Džordž Orvel u svom kultnom tada s/f delu, 1984.), već nažalost, može vrlo brzo postati stvarnost.
Čuveni profesor Australijskog univerziteta, Rodžer Klark, jedan od vrhunskih stručnjaka iz oblasti kompjuterskog prava i prava na privatnost, kaže da će država ostvariti totalni nadzor nad svojim građanima ako stvori niz baza podataka za razne svrhe, poveže te baze podataka jedinstvenom mrežom i identifikuje ih na konzistentan način.
Razmislimo šta sve može da nastane ako neko nedobronamjeran prodre u bazu podataka i, za nekoliko minuta, sazna sve o svakom od nas. Ima li ko to u vidu? Ili sve svodimo na robotiku? Hoćemo li svi biti roboti koji rade na „dugme“?
ZAŠTO SMO PROTIV?
•1. Biometrijski pasoši na nacionalnom nivou su uvedeni u nekoliko država svijeta, uglavnom dalekoistočnih i siromašnih. U Evropskoj uniji velika većina zemalja nema takve pasoše, niti planira njihovo uvođenje. One nisu uslov za ulazak u Evropsku uniju, niti njihovo uvođenje doprinosi bržem ulasku. Ponovo se pokazuje da je BiH eksperimentalni poligon.
•2. Zemlje koje su planirale ili planiraju da uvode biometrijske pasoše suočene su sa otporom misleće javnosti i društvene zajednice uopšte. U Velikoj Britaniji je pokušaj uvođenja biometrijskih pasoša doveo do višemjesečnih debata u parlamentu i burnih reakcija akademskih građana. U BiH se uopšte i ne najavljuju javne rasprave ni debate, nego se ovo nameće kao konačno rješenje iz ko zna kakvih sumnjivih razloga, kao što je to slučaj od prošle godine bio sa stavljanjem u funkciju visoko sofisticirane oprema za prisluškivanje, koja je itekako ugrozila privatnost svakog građanina u BiH.
•3. Stručni organi, kakav je Zajednički komitet za ljudska prava Britanske vlade, procjenjuju da je projekat uvođenja biometrijskih pasoša i drugih ličnih dokumenata na nacionalnom nivou potencijalno u koliziji sa evropskom Konvencijom o ljudskim pravima, a zvanične studije o izvodljivosti pokazuju da takvi biometrijski dokumenti ne garantuju stoprocentnu pouzdanost i autentičnost.
•4. U BiH projekat nabavke opreme za izradu biometrijskih pasoša nije stavljen ni na javne rasprave, niti u skupštinsku raspravu, ni obavezan tenderski protokol, ni zakonsko dodjeljivanje novca iz državnog budžeta. Da li to znači da će se novac od poreskih obaveznika zloupotrijebiti, nameće se pitanje na koje još niko nije dao zvanični odgovor.
•5. Još uvijek nije tražena masovna saglasnost građana za proširivanje baze podataka koju će država o njima voditi, niti su organizovane javne debate, a već se najavljuju biometrisjki pasoši kao već svršena stvar. Potrebno je dobro razmisliti šta učiniti na sljedećim izborima.
•6. Projekat direktno ugrožava privatnost ličnosti, kao jedno od fundamentalnih prava današnjice. Otvara se prostor i za tajne elektronske arhive.
•7. Birokratski aparat dobija moć manipulisanja ogromnim brojem podataka preko centralizovane baze, a moguća je i prodaja dijelova baze trećim licima.
•8. Postoji mogućnost skrivenih programskih procedura u sistemu, koji bi omogućili odliv podataka stranim službama.
•9. Zlonamjerni upadi spolja ili namjerno ispravljanje centralizovane baze iznutra nose ogromnu opasnost po integritet ličnosti, kao i po nacionalnu bezbjednost zemlje, pošto bi svi intimni podaci o državljanima bili centralizovani na jednom mjestu.
•10. Usvajanje ovog projekta u budućnosti vodi ka mnogo totalitarnijim konceptima integracije svih dokumenata u jedan, čime bi se izbrisala anonimnost tokova novca i otvorio put totalnom nadzoru države nad pojedincem. Minijaturizacija cijelog sistema se polako sprovodi u svijetu, u vidu potkožnih čipova, zbog čega građani svih konfesija izražavaju opravdan strah od najave totalitarnog režima opisanog u Novom Zavjetu, u Jovanovom Otkrovenju (gl. 13, st. 16-18).
DA LI ZNATE:
– Da u BiH nije donjet odgovarajući Zakon o zaštiti ličnih podataka? Da vi, dakle, ne znate ko koristi vaše podatke i u koje svrhe, niti koji se podaci o vama čuvaju?
– da su u SAD u maju 2006. ukradeni podaci o 26,5 miliona ratnih veterana iz baze podataka Veteranske administracije u Vašingtonu, i još nekoliko miliona iz drugih, raznih baza podataka.
– da još uvjek nisu uhvaćeni počinioci kriminalnog djela krađe baze podataka opštinskog odbora Boračke organizacije iz Brčkog
– da je kontrolor britanske obaveštajne službe MI-6, baronesa Defni Park, izjavila ispred britanskog parlamenta u martu 2006. da bi uvođenje lične karte vezane za centralnu bazu podataka u Britaniji bilo „poklon za teroriste“ i da bi takva centralizovana baza podataka pružila „vrijedne podatke organizovanom kriminalu i obaveštajnim službama neprijateljskih država“.
– da prof. Ros Anderson sa prestižnog Univerziteta u Kembridžu, stručnjak za bezbjedonosni inženjering, kaže: „Policijske i druge agencije mogu da dobiju pristup neograničenoj lepezi obavještenja o ličnosti. Postoje brojni dokazi da se računarske baze podataka – uključujući policijske, baze za registraciju vozila i bankarske – rutinski obijaju od strane privatnih istražitelja za račun raznih klijenata, uključujući i medijske organizacije“.
– da će u Švajcarskoj biometrijski pasoši biti ispitivani tokom sljedeće tri godina, tj. do 2011, na dobrovoljnoj osnovi.
– da u Belgiji, koja izdaje lične karte sa biometrijskim čipom, građani imaju pravo da traže blokadu čipa ako ne žele tu vrstu identifikacije.
– da se u Finskoj biometrijske lične karte izdaju na dobrovoljnoj bazi.
– da je u Francuskoj, nekoliko mjeseci prije uvođenja novog zakona o ličnim ispravama u skupštinsku proceduru, ministarstvo unutrašnjih poslova otvorilo sajt i omogućilo građanima i stručnjacima da se uključe u javnu raspravu o predloženom zakonu.
– da se po pisanju londonskog „Dejli Telegrafa“ od 5. 12. 2006. više od 50% Britanaca protivi centralizovanoj bazi ličnih podataka, a razne ankete u Britaniji pokazuju da su milioni Britanaca spremni da odbiju lične karte i pasoše vezane za elektronsku centralnu bazu podataka po cijenu odlaska u zatvor!
– Da u Australiji i Kanadi prijedlozi za uvođenje sličnih ličnih isprava nisu prošli?
ŠTA PREDLAŽEMO?
1. Odlaganje primjene Zakona o biometrisjkim pasošima dok se ne usaglasi sa Zakonom o zaštiti privatnosti podataka.
2. Pokretanje šire stručne i javne rasprave o tome kakve su lične isprave najpogodnije za BiH.
3. Uvođenje načela dobrovoljnosti po pitanju elektronskih ličnih dokumenata – kao minimum.
5. Donošenje strogog zakona o zaštiti ličnih podataka, uz prethodnu javnu raspravu.
6. Uspostavljanje državnog tijela za kontrolu korišćenja ličnih podataka i sprječavanje njihove zloupotrebe.
Svjedoci smo, dakle, da zaključimo, uvođenja jednog krajnje opasnog projekta sa dalekosežnim posljedicama po pojedinca i njegovu slobodu i privatnost, kao i na društvo u cjelini, i zato smatramo da svako kome je prije svega sloboda na srcu treba da kaže energično NE jednom ovakvom anticivilizacijskom zakonskom projektu.
INFO-SLUŽBA SVETOSAVSKE OMLADINSKE ZAJEDNICE
SRPSKE PRAVOSLAVNE CRKVE, EPARHIJE ZVORNIČKO-TUZLANSKE
BRČKO
+++
Budimpeštanska deklaracija o Mašinski čitljivim putnim ispravama (MRTD)
Izvorni tekst: http://www.fidis.net/press-events/press-releases/budapest-declaration
Zbog toga što nisu uvele odgovarajuću bezbednosnu arhitekturu, evropske vlade su faktički primorale građane da prihvate nove međunarodne Mašinski čitljive putne isprave (MRTD) koje dramatično smanjuju njihovu bezbednost i privatnost, a povećavaju rizike krađe identiteta. Jednostavno rečeno, sadašnje uvođenje Evropskog pasoša radi se uz pomoć tehnologija i standarda koji su loše prilagođeni svojoj nameni.
U ovoj deklaraciji, istraživači u domenu identiteta i identifikacionog menadžmenta (uz podršku jednoglasne inicijative iznete tokom skupa Mreže FIDIS („Future of Identity in the Information Society“ tj. „Budućnost identiteta u informatičkom društvu“),[1] održanog septembra 2006. u Budimpešti, saželi su svoje nalaze zasnovane na analizi MRTD-a i preporučili konkretne mere koje zainteresovani u vladama i industriji treba da primene kako bi ublažili postojeće probleme.
Mada su već sada podložne već dobro poznatim scenarijima zloupotrebe identifikacionih dokumenata, novi MRTD-ovi podložni su dodatnim pretnjama, među kojima podvlačimo sledeće:
– Nasuprot tradicionalnim identifikacionim dokumentima, podaci sa evropskih MRDT-ova su daljinski, transparentno i ne-interaktivno čitljivi (sa stanovišta nosioca dokumenta) sa razdaljine od 2 do 10 metara.[2]
Ove slabosti su pojačane merama kontrole pristupa koje su podložne zaobilaženju ili hakovanju (noseći rizik stalne, neprimećene autentifikacije podataka na MRDT od strane autorizovanih i neautorizovanih trećih lica, omogućavajući praćenje ljudi koji nose pasoše, na primer u svojstvu turista u stranim zemljama) – Upotreba biometrijskih podataka na identifikacionim dokumentima je podložna eksploataciji od strane javnih i privatnih sektora za dodatne svrhe – što predstavlja kršenje evropskih principa privatnosti. Štaviše, sama biometrija je zasnovana na verovatnoćama, što znači da su lažno-pozitivne i negativne autentifikacije neminovne i potencijalno mogu da utiču na svakodnevni život mnogih evropskih građana [ovo je problem koji neminovno čeka i Srbiju ako prihvati biometrijska lična dokumenta – Zžbž]. Na osnovu međunarodnih tehničkih (ICAO – tj. Međunarodna organizacija za civilni avio-saobraćaj) [3] standarda definisanih u dokumentu 9303 [4], i prateći Pravilo EC 2252/2004 [5] evropskog zakonodavstva, uvođenje Evropskog pasoša (tzv. „epass“) kao međunarodnog MRTD-a počelo je 2005.
Ovaj pozicioni papir je zasnovan na analizi pravnih osnova za uvođenje MRTD-a, tehnologije koja se upotrebljava i sprovođenju mera zaštite podataka i bezbednosti. Ova analiza je urađena od strane FIDIS-a i dokumentovana u FIDIS-ovoj „Studiji o identifikacionim ispravama“ [6]. Takođe je, u sastavljanju ovog pozicionog papira, korišćen i sledeći materijal: – Zaštitni profili za mehanizme biometrijske verifikacije i MRTD, uključujući i Osnovnu kontrolu pristupa (BAC – tj. „Basic Access Control“) [7], odobreni od strane nemačkog Saveznog ureda za informativnu bezbednost (BSI), Tehničko uputstvo V1.0 za Proširenu kontrolu pristupa (EAC – tj. „Extended Access Control“), izdato od strane nemačkog Saveznog ureda za informativnu bezbednost (BSI) u avgustu 2006. [8]
Sažetak nalaza
Ni široj javnosti ni zainteresovanim stručnjacima nije predstavljen nikakav koherentan, integrisan koncept bezbednosti za MRTD [po običaju, delovi naših vlasti prednjače u prihvatanju samo onog najgoreg u evropskoj praksi u koju se zaklinju – Zžbž]. Javno dostupni dokumenti, kao što su Zaštitni profili i Tehnička uputstva pokrivaju samo delove takvog jednog bezbednosnog koncepta. [9] BAC je na početku predstavljen kao jedna efektna mera kontrole pristupa, dok je u nešto skorije vreme EAC predstavljen kao ojačana verzija istog. Međutim, obe mere su jednostavno nedovoljne (kao mere kontrole pristupa na raspolaganju samom imaocu dokumenta) u mnogim situacijama. [10] Veći broj teorijski i naučno dokazanih pretnji i konceptualnih slabosti MRTD-ova već je objavljen. One još uvek nisu obuhvaćene Zaštitnim profilima, tehničkim uputsvima i standardima ili postojećim primenama. Među najznačajnijim pretnjama su sledeće:
– Za sada nema mogućnosti da se biometrijski podaci u sadašnjim MRTD-ovima stave van snage i, pošto biometrijske oznake imalaca, kao što su otisci prstiju i crte lica, ne mogu lako da se promene, „ukradeni“ biometrijski podaci se mogu zloupotrebljavati u dužem vremenskom roku ( što takođe važi i za biometrijske podatke koji treba da budu skladišteni na novim ličnim kartama u Srbiji);
– Neadekvatan menadžment ključa preko BAC-a: ključ za pristup podacima na RFID (Radio frekventna identifikacija) čipu skladišti se na samom pasošu i mogu ga očitavati i ljudi i mašinski skeneri. To znači da svako ko je imao fizički pristup pasošu i, npr. napravio optičku kopiju, potencijalno može da sačuva inforacije o ključu i upotrebi ih za pristup podacima na RFID čipu.
– Prisluškivanje komunikacija između RFID čipa i čitača, kao i upotreba brutalne sile napada na sam BAC, upotrebljavajući njegove dokazane kriptografske slabosti radi pristupu podacima; [11]
– Kloniranje RFID čipova u MRTD-ovima; [12] – Zloupotreba mogućnosti daljinskog očitavanja RFID čipova u pasošima, npr. za potrebe ljudsko-osetljivog aktiviranja „pametnih bombi“. Kombinacija ovih pretnji i slabosti donosi znatne rizike po bezbednost i privatnost evropskih građana. Ovo je posebno relevantno s obzirom na široku geografsku primenu i dug životni vek (do 10 godina) postojećih MRTD-ova.
Preporuke zainteresovanim stranama u Evropi
Na osnovu ovih nalaza, pripremili smo jedan broj preporuka za zainteresovane strane u Evropi (politčare, industriju i istraživačke institucije) u domenu MRTD-ova:
1. Pošto su MRTD-ovi sa ugrađenim slabostima već uvedeni i pošto će neminovno biti korišćeni u budućnosti [hajde da ne dozvolimo da i mi uvodimo tehnologiju koju kasnije moramo da ispravljamo, uz dodatne troškove – ako se uopšte da ispraviti – Zžbž], preporučujemo sledeće mere za hitnu primenu, radi smanjenja rizika provale bezbednosti i krađe identiteta. Ove preporuke uključuju i rezervne procedure i tehnologije koje zahtevaju razvoj i sporazum na međunarodnom nivou (npr. na nivou ICAO):
a. Organizacionu primenu i sprovođenje principa jasno određene svrhe, pogotovu kada je reč o biometrijskim podacima koji se upotrebljavaju u MRTD-ovima (u ovom slučaju, ta jasno definisana svrha bila bi autentifikacija za međunarodne putnike). Upotreba MRTD-ova ne bi trebalo da bude proširena na autentifikaciju u privatnom sektoru [dakle, da se ne koriste kao neka vrsta lične karte – Zžbž].
b. Građane bi trebalo obavestiti o rizicima vezanim za posedovanje novih MRTD-ova, kao i o merama bezbednosti koje oni sami mogu preduzeti (na primer, izbegavanje davanja dokumenata privatnim organizacijama kao što su hoteli, itd.)
v. Dostupne, ali još uvek neprimenjene mere bezbednosti, kao što su Faradejevi kavezi, moraju odmah da budu integrisane u postojeće MRTD-ove od strane država-članica EU.
g. Potrebne su organizacione procedure koje bi se nosile sa slučajevima neuspele biometrijske autentifikacije zasnovanim u urođenim biometrijskim problemima kao što su stopa lažnih odbijanja („false rejection rates“ – FRR) i greške pri samom upisu podataka. d. Potrebne su organizacione i tehničke procedure radi sprečavanja zloupotrebe ličnih podataka iz MRTD-ova.
đ. Potrebne su organizacione i tehničke procedure u vezi sa krađama identiteta kroz upotrebu podataka iz MRTD-ova, ili kroz upotrebu samih MRTD-ova [ako su se na nivou EU desili ovakvi propusti, pomislite kakvi su propusti mogući u Srbiji, gde i ne postoje nikakva tela za zaštitu ličnih podataka].
2. Srednjeročno gledano (u sledeće tri godine), potrebno je razviti i obznaniti jedan nov, ubedljiv i integrisan koncept bezbednosti MRTD-ova i srodnih sistema, koji u vidu naročito mora da ima sledeće:
a. Definiciju neophodnih nivoa bezbednosti.
b. Zaštitu ličnih podataka evropskih građana [uključujući i biometrijske podatke, ako još uvek budu bili u upotrebi /podvlačenje].
v. Multilateralne i organizacione bezbednosne obzire u vezi izdavanja MRTD-ova, koji imaju u vidu različite operatere u različitim državama, kao i same korisnike MRTD-ova (primerno pitanje: Kako se može sprečiti zloupotreba ličnih podataka od strane stranih država?).
g. Rizike i pretnje koji se pomaljaju iz kombinacije raznih tehnologija koje se primenjuju u kontekstu MRTD-ova, kao što su RFID, biometrija, kao i bezbednosne strane papirnih dokumenata.
d. Na osnovu definisanih nivoa bezbednosti i risk-analize, potrebno je primeniti ponovnu, sveobuhvatnu procenu i novo projektovanje tehničkih rešenja koja su usvojena za postojeće MRTD-ove, posebno kada je reč o RFID-u i biometriji [koja je „potpuno bezbedna“ po rečima zvaničnika MUP-a Srbije – Zžbž]. Treba ispitati da li su ove tehnologije uopšte i potrebne [podvlačenje Zžbž], ili da li su bezbednije tehnologije, koje bolje čuvaju privatnost (kao što su kontaktne pametne kartice umesto beskontaktnih mehanizama /srpske kontaktne lične karte bi možda i bile prihvatljive bez biometrije i centralizovane elektronske baze podataka, po principu jedan-na-jedan – ali o tome se nikada nije vodila, niti se vodi diskusija – Zžbž/), dovoljne.
đ. Načini na koje primena datih tehnologija može biti poboljšana (npr. kroz biometriju putem korišćenja procesa poređenja podataka na samoj kartici, ili senzora na samoj kartici) treba takođe da budu ispitani.
e. Koncept bezbednosti treba da bude predmet javne debate od strane stručnjaka za bezbednost i privatnost na nivou Evrope.
3. Tehničke i organizacione mere koje budu razvijene treba da budu standardizovane (na nivou ICAO), uvedene u sledećoj generaciji MRTD-ova i podložne globalnoj reviziji.
Izvori:
- (en) Budapest Declaration [PDF-en] [URL] [Press Release (en)]
- (de) Budapest Erklärung [PDF-de] [URL] [Press Release (de)]
- (fr) Déclaration de Budapest [PDF-fr] [URL]
- (se) Budapestdeklarationen [PDF-se] [URL] [Press Release (se) to follow]
Fusnote:
[1] FIDIS – „Future of Identity in the Information Society“. Vidi http://www.fidis.net
[2] ISO 14443 čipovi koji se upotrebljavaju u MRTD-ovima optimalno se mogu koristiti sa odgovarajućim čitačima u dometu od 10 do 15 cm. Međutim, moguće je prisluškivanje komunikacija između ovakvih pasoša i čitača sa većih razdaljina (2-10 m) (vidi Finke, T., Kelter, H., Radio Frequency Identification – Abhörmöglichkeiten der Kommunikation zwischen Lesegerät und Transponder am Beispiel eines ISO14443-Systems, Bonn 2004. Download: www.bsi.de/fachthem/rfid/Abh_RFID.pdf), što je nedavno pokazao i Robroh (Robroch) sa holandskim pasošima (vidi Robroch, H., ePassport Privacy Attack, 2006, www.riscure.com/2_news/200604%20CardsAsiaSing%20ePassport%20Privacy.pdf), a koji takođe navodi razdaljine sa kojih se može očitavati i prisluškivati. Neki MRTD-ovi su opremljeni dodatnom zaštitom na svojim koricama, npr. američki pasoši će imati mrežu metalnih vlakana ugrađenu u prednje korice. Međutim, Mahafi (Mahaffey) i Hering (Hering) su pokazali da ako se pasoš otvori na samo jedan centimetar – kao što se može desiti u tašni ili rancu – isti sebe može odati čitaču udaljenom bar 60 cm od njega (vidi www.flexilis.com/epassport.php).
[3] ICAO = International Civil Aviation Organization, www.icao.int
[4] Obaveštenja na www.icao.int/MRTD/Home/Index.cfm
[5] Vidi http://europa.eu.int/eur-lex/lex/LexUriServ/site/en/oj/2004/l_385/l_38520041229en00010006.pdf[6] Dostupno na: http://www.fidis.net/fidis-del/period-2-20052006/#c961#c961
[7] Zaštitni Profil BSI-PP-0016-2005 i BSI-PP-0017-2005, dostupni na www.bsi.de/zertifiz/zert/report.htm
[8] Objavljeno na www.bsi.bund.de/fachthem/epass/eac.htm
[9] Na primer, Zaštitni profili su samo uputstva za mere bezbednosti vezane za definisane proizvode (tehničke komponente) u kontekstu MRTD-ova; stepen i kvalitet njihove primene u postojećim MRTD-ovima, kao što je Evropski pasoš (epassport) nisu opisani u tekstu. Dokumentacija sadašnjih pasoša vezana za primenu ovih Zaštitnih profila izgleda da trenutno nije javno dostupna. Postojeća tehnička uputstva, npr. uputsvo o Proširenoj kontroli pristupa (EAC)
pokrivaju samo deo problema tehničke bezbednosti.[10] Proširena kontrola pristupa (Extended Access Control – EAC) biće, na primer, primenjena samo na odabrane elemente ličnih podataka koji se čuvaju na epass-u (posebno na podatke koje spadaju pod kategoriju posebno osetljivih, kao što su biometrijski podaci otisaka prstiju), dok podaci kao što su digitalna fotografija lica i drugi lični podaci kao što su ime, datum rođenja, itd. ne podležu ovim merama. Upotreba EAC ne može da bude međunarodno kontrolisana, s obzirom da EAC nije međunarodni standard prihvaćen od strane ICAO. To znači da će u van-evropskim zemljama samo Osnovna kontrola pristupa (BAC), sa znatno nižim nivoom bezbednosti biti upotrebljena.
[11] Snaga ključa se može spustiti na 35 ili čak na 28 bitova ako su, na primer, brojevi pasoša međuzavisni sa drugim podacima na pasošu (kao što je slučaj, npr. u Holandiji i Nemačkoj). (Vidi Beel, J., Gipp, B., ePass – der neue biometrische Reisepass, Shaker Verlag, Aachen 2005. Download of chapter 6 „Fazit“: www.beel.org/epass/epass-kapitel6-fazit.pdf).
[12] Vidi e.g. www.wired.com/news/technology/1 ,71521-0.html
«Za život bez žiga» prenosi prevod celokupne Budimpeštanske deklaracije, donete u septembru 2006. od strane EU-finansiranje «elitne mreže» FIDIS („Future of Identity in the Information Society“ tj. „Budućnost identiteta u informatičkom društvu“), u kojoj ova organizacija upozorava na ozbiljne bezbednosne probleme sa novim evropskim
pasošima – ali i biometrijskim podacima uopšte.
pripremila: redakcija novinar.de
Да би сте послали коментар морате бити улоговани