Personvernspørsmål ved innføringen av biometri i norske pass. Kenneth Knashaug

Transkript

1 Personvernspørsmål ved innføringen av biometri i norske pass Kenneth Knashaug Masteroppgave Master i informasjonssikkerhet 30 ECTS Institutt for informatikk og medieteknikk Høgskolen i Gjøvik, 2006

2 Institutt for informatikk og medieteknikk Høgskolen i Gjøvik Postboks Gjøvik Department of Computer Science and Media Technology Gjøvik University College Box 191 N-2802 Gjøvik Norway

3 Abstract This master s thesis report takes a closer look on the protection of privacy when using biometric passports. By keeping focus on this, we ll try to detect the users level of knowledge to protect privacy, how conscious they are on the management of such information, and what carriage the users have regarding this. We also want to detect if there exist resistance against the biometric passports, and possible reasons for this resistance. In addition we can detect whether the Data Inspectorates concern on the introduction of biometrics in the Norwegian passports is justified. To find answers to this, there must be an investigation based on the meanings of the people using the biometric passports. A survey has been carried out at Flesland airport in Bergen and also at Nycomed Pharma(a production facility for medicine) in Elverum. A total of 196 answers have been collected from all sorts of people in different ages, both men and women, with different ethnic backgrounds, different educations, different views, different level of knowledge, and with different travel habits. The sample in this survey based on what is described above, is represented by a variety of people that neither are randomized nor representative for the Norwegian population generally. Nevertheless the sample represents a target group that certainly is affected by the approach that is brought up in this thesis. The study that has been carried out is also related to relevant literature and research within the subjects information security, biometrics, protection of privacy and measurements in general. This report has its contribution in giving new experience on the users level of consciousness, knowledge and attitude to the protection of privacy while using the new biometric passports. It ll also give answers to the acceptance of the new passports amongst the users, and what reasons are given for any possible resistance against these. In addition it ll be possible to investigate whether the Data Inspectorates concern related to the protection of privacy and the introduction of biometrics in the Norwegian passports is justified. On behalf of the study that has been carried out, it has been revolved that most people have heard about the protection of privacy, biometrics and the new passports in general. Still almost none are agreeable on how the use of the new biometric passports could affect the protection of privacy. iii

4

5 Sammendrag Denne masteroppgavens rapport retter søkelyset mot beskyttelsen av personvernet ved bruk av biometriske pass. Ved å se på nettopp dette, søker vi å kartlegge hvilket kunnskapsnivå brukerne har innen personvern, hvor bevisste de er på behandlingen av denne typen informasjon, og hvilke holdninger de har til dette. Vi ønsker også å finne ut om det eksisterer motstand mot de nye biometriske passene, og da også mulige begrunnelser for denne motstanden. I tillegg kan vi finne svar på om Datatilsynets bekymring rundt personvernet ved innføringen av biometri i norske pass er berettiget. For å kunne finne svar på dette, må det undersøkes hva brukerne av de nye biometriske passene mener. En spørreundersøkelse er gjennomført ved Flesland lufthavn i Bergen og ved Nycomed Pharma(produksjonsbedrift for medisiner) i Elverum. Totalt er 196 besvarelser samlet inn fra mange typer mennesker i forskjellig alder, både menn og kvinner, med forskjellig etnisk bakgrunn, ulik utdanning, ulike synspunkter, ulikt kunnskapsnivå, og med forskjellige reisevaner. Utvalget i denne spørreundersøkelsen vil med bakgrunn i ovennevnte være representert ved en variert mengde personer, som verken er randomisert eller representativt for norsk befolkning generelt. Utvalget representerer allikevel en målgruppe som i høyeste grad berøres av de problemstillingene som tas opp i denne oppgaven. Den gjennomførte studien i rapporten er også knyttes opp til relevant litteratur og forskning innen temaene informasjonssikkerhet, biometri, personvern og måling generelt. Rapportens bidrag er å gi nye erfaringer om brukernes bevissthet, kunnskap og holdninger til beskyttelsen av eget personvern ved bruk av nye biometriske pass. Den gir også svar på om de nye passene er akseptert blant brukerne, og hva folk begrunner en eventuell motstand med. I tillegg kan vi undersøke om Datatilsynets bekymring knyttet til personvern og innføring av biometri i norske pass er berettiget. På bakgrunn av gjennomført studie, kommer det klart frem at de fleste har hørt om personvern, biometri og de nye passene generelt. Allikevel er de færreste inneforstått med hvordan bruken av de nye passene vil kunne påvirke personvernet. v

6

7 Forord Jeg vil først og fremst takke Asbjørn Hovstø og Magnar Aukrust, som er mine oppdragsgivere og som har inspirert meg til å skrive min masteroppgave om personvernspørsmål ved innføringen av biometri i norske pass. En stor takk skal også rettes til Kari Nilsen, for at jeg fikk tillatelse til å gjennomføre min spørreundersøkelse ved Flesland lufthavn i Bergen. I tillegg ønsker jeg å takke Nycomed Pharma i Elverum for at jeg med hjelp fra min far, Olav A. Knashaug, fikk tillatelse til å gjennomføre spørreundersøkelsen ved virksomheten. Til slutt vil jeg benytte anledningen til å takke min veileder, Frode Volden, som har vært en utrolig støttespiller for meg i arbeidet med masteroppgaven. Kenneth Knashaug, 2006/28/06 vii

8

9 Innhold Abstract iii Sammendrag v Forord vii Innhold ix Figurer xi 1 Innledning Emne oppgaven dekker Problembeskrivelse Rettferdiggjøring, motivasjon og fordeler Forskningsspørsmål Begreper Identitet, anonymitet og autentisering Identitet Anonymitet Autentisering Personvern Biometri Biometrisk teknologi Ansiktsgjenkjenning Fingeravtrykk Multimodal biometri Relatert arbeid Biometriske pass Bakgrunn Utstedelse Oppbygging Sikkerhet Brukeraksept Personvern Kunnskapsnivå og holdninger Motstand mot biometriske pass BITE Valg av metode Plan for forskningsarbeidet Litteratur Spørreundersøkelsen Utvalget Spørreskjemaet Gjennomgang og tolkning av data Kvalitet ix

10 5 Datagrunnlag fra spørreundersøkelsen Besvarelse av spørreundersøkelsen Undersøkelsessted Kjønnsfordeling Aldersfordeling Bosted Bebyggelse Utdanning IT-jobb Utenlandsreiser Diskusjon av resultater fra spørreundersøkelsen Innledning Uavhengige variabler Kunnskapsnivå Bevissthet og holdninger Aksept for nye pass Motstand mot nye pass Oppsummering og konklusjon Oppsummering Kunnskapsnivå Bevissthet Holdninger Aksept for nye pass Motstand mot nye pass Forslag til tiltak Konklusjon Videre arbeid Bibliografi A Følgebrev B Pilot-spørreundersøkelse C Spørreskjema D Frekvensanalyse x

11 Figurer 1 Waymans modell av biometriske systemer [1] Eksempel på bruk av ansiktsbiometri [2] Eksempel på bilde av fingeravtrykk [3] De nye passene ser ut til å være identiske med de gamle [4] Gjennomlysning av passet vil avsløre kretsen med biometriske data [4] Plan for forskningsarbeidet Respondentenes kunnskapsnivå om eget personvern Argumentasjon for når personvernet er brutt Elektroniske/biometriske pass Forskjeller i svar Krysstabell Respondentenes bevissthet til eget personvern Opptatt av personvern Argumentasjon for hvorfor man er opptatt av eget personvern Argumentasjon for hvorfor man ikke er opptatt av eget personvern Villighet til å avgi biometri Argumentasjon for hvorfor man er positiv til å avgi biometri Argumentasjon for hvorfor man er negativ/nøytral til å avgi biometri Faktoranalyse(a) Faktoranalyse(b) Behov for nye pass Innføring av biometri i norske pass og personvern xi

12

13 1 Innledning Sikkerhet er noe som i senere tid har blitt et stadig mer prioritert tema. På grunn av det økende behovet for sikkerhet på verdensbasis, blir også behovet for en daglig autentisering viktigere enn det var tidligere. ICAO 1 har kommet med en plan for hvordan en integrering av biometrisk informasjon inn i maskin-lesbare pass skal foregå. Fra , ble disse biometriske passene tatt i bruk i Norge. 1.1 Emne oppgaven dekker På grunn av den raskt økende teknologiutviklingen, har kravene til beskyttelse av personvern, og for ikke å snakke om det å motvirke terrorisme blitt vist mye mer oppmerksomhet i de siste årene. Hensikten med biometriske pass er å forhindre ulovlig adgang for reisende inn i et land, og videre å begrense bruken av forfalskede reisedokumenter ved en nøyaktigere identifisering av de reisende [5]. Denne oppgaven vil rette søkelyset mot personvernet ved bruk av biometrisk autentisering. Ved å rette søkelyset mot nettopp dette, kan det la seg gjøre å kartlegge bakenforliggende årsaker. Dette kan være hvilket kunnskapsnivå brukerne har til personvern, hvor bevisste de er på behandlingen av denne type informasjon, og hvilke holdninger de har til dette. Det kan også avdekkes om det eksisterer motstand mot de biometriske passene, og også da mulige begrunnelser for denne motstanden. I tillegg vil det være mulig å undersøke om Datatilsynets bekymring knyttet til personvern og innføring av biometri i norske pass er berettiget. 1.2 Problembeskrivelse Den internasjonale sivile luftfartsorganisasjonen har kommet med en plan for hvordan integrere biometrisk informasjon inn i maskin-lesbare pass. Fra , ble disse biometriske passene tatt i bruk her i Norge. Dette til tross for Datatilsynets oppfatning om at det fortsatt eksisterer store sikkerhetsmessige mangler [6]. Slik Datatilsynet ser det, gjør de samme problemene seg gjeldende nå som før behandling av deler av saken i Stortinget. Forskjellen er nå at man har lovhjemmel til å innhente og lagre ansiktsbilde i norske borgeres pass. Europeiske personvernmyndigheter ser ut til å dele Datatilsynets oppfatning, og det norske justisdepartementet synes derfor å være ganske alene om å mene at de nye passene som nå er innført ikke representerer noen trussel mot legitime personverninteresser [6, 7]. Med fokus på personvernet søkes det svar på følgende: Hvilket kunnskapsnivå har brukerne til beskyttelsen av eget personvern ved bruk av biometriske pass? Hvor bevisste er brukerne på behandlingen av denne typen informasjon? 1 Den internasjonale sivile luftfartsorganisasjonen 1

14 Hvilke holdninger har brukerne til eget personvern og biometri? Er de nye biometriske passene akseptert blant brukerne? Hva vektlegges i en eventuell motstand mot disse passene? Ved å finne svar på disse forskningsspørsmålene kan det presenteres en argumentasjon for innføringen av de nye passene, og den eventuelle skepsisen mot dem. I tillegg kan det avdekkes om Datatilsynets bekymring er berettiget. 1.3 Rettferdiggjøring, motivasjon og fordeler Det er viktig at et biometrisk autentiseringssystem ikke bare er sikkert og enkelt å bruke. Brukerne må også kunne stole på systemet. Det som undersøkes i denne oppgaven er i hvilken grad potensielle og eksisterende brukere av biometriske pass og tilhørende autentiseringssystemer, stoler på at deres informasjon blir lagret og brukt på en sikker og riktig måte. For å rettferdiggjøre denne masteroppgaven, vil vi si noe om nytteverdien av studiet. Det vi vil produsere er en kartlegging av brukernes kunnskapsnivå til eget personvern ved bruk av biometriske pass, hvor bevisste de er på behandlingen av denne typen informasjon, hvilke holdninger de har til eget personvern og biometri, og om de nye biometriske passene er akseptert. Sikkerhet er ikke gratis, og det er derfor viktig å finne ut hva som er fordelene med den nye teknologien sammenlignet med kostnadene som følger med. En teknologivurdering utført av USAs General Accounting Office [5] estimerer at oppstartskostnadene ved bruk av biometriske pass for grensesikkerhet i USA vil koste mer enn 8 billioner dollar. Selv om man ut fra faglige argumenter kan hevde at sikkerheten øker med innføring av biometriske pass, er det et problem dersom brukerne av passene ikke aksepterer dem. Det vil være verdifullt å vite hvem det er som viser skepsis til biometriske pass, og hvilke argumenter disse gir for sin skepsis. Slik at man bedre kan tilrettelegge informasjonen om passene for brukerne. De som kan nyttiggjøre seg av funn fra dette arbeidet er: Norske myndigheter Justisdepartementet Datatilsynet Enkeltpersoner med interesse for temaet 1.4 Forskningsspørsmål De forskningsspørsmålene det i denne masteroppgaven søkes svar på er følgende: Hvilket kunnskapsnivå har brukerne til beskyttelsen av eget personvern ved bruk av biometriske pass? Hvor bevisste er brukerne på behandlingen av denne typen informasjon? Hvilke holdninger har brukerne til eget personvern og biometri? Er de nye biometriske passene akseptert blant brukerne? Hva vektlegges i en eventuell motstand mot disse passene? 2

15 2 Begreper 2.1 Identitet, anonymitet og autentisering Identitet Personvern i informasjonssamfunnet er nært knyttet til begrepet identitet. Mens begrepet person brukes om individer som rettslig og moralsk er ansvarlig handlende mennesker, er identitetsbegrepet noe mer sammensatt. Identitet og person er delvis overlappende begreper som begge er viktige i diskusjoner omkring personvern. For å kunne holde individer ansvarlige for sine handlinger må man ved behov kunne identifisere den handlende, altså den ansvarlige personen. For å ivareta individers personvern og personlige sikkerhet er det nødvendig å beskytte dem mot unødig identifikasjon av deres person [8] Anonymitet Selve nøkkelen til hvordan elektroniske spor virker inn på personvernet, er i hvilken grad man kan identifisere sporene. Det avgjørende er om sporene kan knyttes til en faktisk person, og hvor lett dette eventuelt er. Hvis det er enkelt å knytte elektroniske spor eller data til et individ (for eksempel hvis telefonnummer eller fødselsnummer er knyttet til dataene), kan det være svært uheldig for den berørtes personvern. Dette fordi det i den elektroniske verdenen er vanskelig å ha kontroll med tilgang til og spredning av slike data. Hvis det derimot er vanskelig eller ressurskrevende å knytte et spor til en person, så er det langt mer betryggende for personvernet [9]. Det er til en viss grad også mulig å etterlate elektroniske spor som under normale omstendigheter ikke kan spores tilbake til den faktiske brukeren. Da er sporene anonyme, og som sådan uten potensiale til å skade brukerens personvern [9] Autentisering Identifisering handler om å finne ut hvem noen er. Det innebærer altså å finne svar på spørsmålet hvem er du? Nært knyttet til identifisering er begrepet autentisering som handler om å verifisere en hevdet identitet [9, 10], det vil si å finne svaret på spørsmålet er du virkelig den du utgir deg for å være? Autentisering kan baseres på tre ulike faktorer [11]: Noe du vet (en hemmelighet, f.eks. et passord) Noe du har (en gjenstand, f.eks. et adgangskort) Noe du er (en egenskap, f.eks. et fingeravtrykk) 2.2 Personvern Personvernbegrepet forbindes primært med beskyttelse av individets integritet. Autonomi(suverenitet) og privatliv er også grunnleggende verdier som forutsetter et personvern. Ivaretakelse av personvernet handler om å sikre den enkeltes frihet til selv å velge hvordan man vil leve sitt liv og i hovedsak selv å kunne definere grensene for hva som tilhører det private. Personvernet stiller også krav til kvaliteten på de opplysninger om enkeltpersoner som legges til grunn for beslutningsprosesser, og til at sterke parter ikke 3

16 må misbruke sin kunnskap om den enkelte til å øve utilbørlig press [9]. Personvernet er en fundamental menneskerett som i stor grad er anerkjent på tvers av kulturer og regioner. Det som gjør beskyttelsen av personvernet så vanskelig er at det ikke kan gjelde absolutt, men alltid må veies mot andre hensyn, som for eksempel åpenhet, effektivitet eller sikkerhet [9]. 2.3 Biometri Biometri er automatiserte metoder for å gjenkjenne et individ basert på fysiske eller atferdsrelaterte særpreg [10]. Hvilket som helst fysisk eller atferdsrelatert særpreg kan være en biometri så fremt den har følgende egenskaper [12]: universality - alle skal ha dette særpreget uniqueness - flere personer kan ikke ha samme særpreg permanence - særpreget skal ikke variere over tid collectability - indikerer at særpreget kan måles kvantitativt I praksis er det også andre viktige krav som må tilfredsstilles [3, 12]: performance - oppnåelig identifiseringsnøyaktighet acceptability - i hvilken grad folk er villige til å akseptere biometriske systemer circumvention - hvor enkelt det er å lure systemet Biometri involverer det å benytte ulike parter av kroppen, som for eksempel fingeravtrykk, ansikt og lignende for å kunne identifisere seg [13]. 4

17 På det enkleste nivået, opererer biometriske systemer i en tretrinnsprosess: Figur 1: Waymans modell av biometriske systemer [1] Først blir en observasjon av en sensor foretatt. Sensortype vil variere avhengig av hvilken type biometri som skal måles. Systemet vil så beskrive denne observasjonen matematisk som en signatur, metoden vil igjen være avhengig av type biometri som måles men kan i tillegg også være forskjellig fra leverandør til leverandør. Til slutt vil systemet sammenligne den biometriske signaturen mot en allerede lagret signaturer i databasen ved hjelp av en sammenligningsalgoritme. Resultatet av denne sammenligningen blir så sendt til andre systemkomponenter, eller til en menneskelig operatør. På denne måten kan det gis adgang hvis sammenligningen stemmer, eller en alarm kan startes dersom den ikke gjør det [10]. Et biometrisk system kan operere i to ulike modus [14]: verifiseringsmodus - en persons hevdede identitet blir enten akseptert eller avvist(for eksempel i en passkontroll) identifiseringsmodus - identiteten til en person blir funnet uten at informasjon om en hevdet identitet blir gitt(for eksempel i en moderne bomring hvor faktura blir tilsendt) Biometrisk teknologi Det eksisterer flere typer biometrisk teknologi på markedet. Vi har valgt å avgrense oppgaven ved å kun kort beskrive ansiktsgjenkjenning og fingeravtrykk. Dette med bakgrunn i at det er disse som vil bli gjeldene for oss nordmenn i forbindelse med innføringen av biometri i norske pass [15, 16] Ansiktsgjenkjenning Ansiktet er den vanligste biometrien for oss mennesker, dette på grunn av at vi bærer det med oss over alt og alle kan se det. Dette er kanskje også mye av grunnen til at denne er best akseptert blant folk [17]. Applikasjonene for denne biometrien er mange og varierer 5

18 fra statisk bildeverifisering til en dynamisk, ukontrollert ansiktsidentifisering med ujevn bakgrunn [2]. Figur 2: Eksempel på bruk av ansiktsbiometri [2] Fingeravtrykk Et fingeravtrykk er et avtrykk av strømlignende furer som finnes i menneskefingre. Disse mønstrene skal være unike for hver enkelt person, og også for hver enkelt finger. Dette er en av de biometriske teknologiene som er mest utviklet, og som også brukes i rettsdivisjoner rundt om i verden for kriminaletterforskning [3]. Dette er mye av grunnen til at denne typen biometri er assosiert med kriminalitet [18]. Et fingeravtrykk blir vanligvis fanget opp enten ved en skanning av et allerede eksisterende blekkavtrykk av en finger(a), eller ved en livescan ved bruk av en fingeravtrykksskanner(b) [3]. Figur 3: Eksempel på bilde av fingeravtrykk [3] 6

19 2.3.4 Multimodal biometri Det å bruke en eneste type biometri for autentiseringsprosesser har noen begrensninger [19]. For eksempel identiske tvillinger [20]. Deres ansikt alene vil kanskje ikke skille dem. Multimodal biometri, er flere typer biometri som kombineres og brukes i ett og samme system. Kombinasjonen av flere typer biometri i ett og samme system, gjør systemet mer pålitelig, øker styrken på autentiseringen, og gir en høyere verifiseringsrate enn det systemer med en type biometri alene gjør [21, 22]. 7

20

21 3 Relatert arbeid Det er forsket mye innen biometri. Det meste av denne forskningen sammenligner ulike typer biometriske autentiseringssystemer, hva som er best egnet i ulike sammenhenger og også hvilke styrker og svakheter som finnes [23, 24, 25, 26, 27]. Det eksisterer derimot ikke like mye forskning på området personvern, og hvordan brukerne aksepterer de biometriske systemene. 3.1 Biometriske pass Bakgrunn Hensikten med de nye biometriske passene er å forhindre ulovlig adgang for reisende inn i et land, og videre å begrense bruken av forfalskede reisedokumenter med en mer nøyaktig identifisering av de reisende [5]. Dersom du fra før har et maskinlesbart pass, trenger du ikke å bytte. Pass som er fra 2003 eller nyere, trenger ikke å byttes ut mot biometrisk pass når disse kommer. Har du derimot et eldre, håndskrevet pass, må du bytte ut dette for å reise visumfritt til USA. Denne regelen var gjeldende allerede fra 26. juni 2005 [28, 29] Utstedelse For å skaffe seg nytt biometrisk pass, må man søke om pass på vanlig måte. Det forgår på den måten at passøkeren etter hovedregelen søker innen politidistriktet hvor han/hun bor. For å søke må man fylle ut en søknadsblankett som finnes på politistasjonen eller på politiets nettsider( I tillegg må man personlig møte opp på politistasjonen og ha med seg et gyldig passbilde, gyldig legitimasjon, eventuelle fullmakter dersom man skal søke om pass til barn, gamle pass for innlevering og selvsagt penger til å betale passet [30]. Opplysningene fra søknadsskjemaet, sammen med passbildet, blir sendt elektronisk til passprodusenten som legger informasjonen inn i passet. Når passet er ferdig, sendes det med vanlig brevpost hjem til passøkeren. Dersom man ikke ønsker å få passet tilsendt, kan man avtale å hente det på politistasjonen isteden [30] Oppbygging I alle nye pass skal det være sort/hvitt bilder. Både analoge og digitale bilder er greit, men digitale bilder må skrives ut med minst 300 dpi utskriftsoppløsning, og på spesialpapir. Hodeplagg kan kun brukes om det er religiøse eller andre særskilte grunner til dette. Hodeplagget må ikke dekke til ansiktet eller mer av hodet enn nødvendig. Briller med mørke glass skal ikke brukes om det ikke er medisinsk nødvendig [15, 31]. ICAO, som spiller en nøkkelrolle i global reise-standard, har utviklet en plan for integrering av biometrisk identifiseringsinformasjon inn i pass og andre maskin-lesbare reisedokumenter [5, 15]. Denne planen krever en kontaktløs krets som inneholder lagrede bilder av eierens ansikt, og annen identitetsinformasjon som navn, fødselsdato og lignende. Informasjonen lagres i pass og reisedokumenter, og avleses trådløst av maskiner. Det å inkludere ytterligere biometrisk teknologi, som fingeravtrykk og iris, er anbefalt, 9

22 men ikke obligatorisk [15]. Bruken av ansiktsgjenkjenning og fingeravtrykk er det som vil bli gjeldene for oss nordmenn. Dette da norske myndigheter nå har innført biometriske pass fra 1.oktober 2005, hvor ansiktsbiometri vil bli benyttet i første fase. Ved begynnelsen av 2008 skal også fingeravtrykk lagres elektronisk i passet som tilleggsbiometri [16, 29]. Figur 4: De nye passene ser ut til å være identiske med de gamle [4] Figur 5: Gjennomlysning av passet vil avsløre kretsen med biometriske data [4] Avgjørelsen om å gjøre ansiktsbiometri til den primære biometrien i de biometriske passene har blitt kritisert siden fingeravtrykk har vist seg å være langt bedre når det gjelder nøyaktighet. En av personene som har gitt uttrykk for dette var USAs representant for Homeland Security, James Loy [32]. Han uttalte seg i denne sammenhengen slik: We do believe that digital fingerscans are probably a much better leading biometric to deal with. Fra et teknisk standpunkt er dette noe som også klart kommer frem, og som kan bekreftes av Fingerprint Vendor Technology Evaluation (FpVTE) evalueringen fra 2003 [33]. Denne viser at de beste systemene for fingeravtrykk er langt bedre når det gjelder nøyaktighet enn de ledende systemene for ansiktsgjenkjenning. Ifølge rapporten Leading contemporary fingerprint systems are substantially more accurate than the face recognition systems tested in FRVT 2002 (Facial Recognition Vendor Test 2002), fremgår det også at systemer for fingeravtrykk er bedre enn systemer for ansiktsgjenkjenning [34]. En ny Facial Recognition Vendor Test skal imidlertid gjennomføres fra 30. januar 2006 [35], og om systemene for ansiktsgjenkjenning nå kan måle seg med systemene for fingeravtrykk gjenstår å se. Allikevel er sammenligningen interessant, og gjør det enkelt å stille spørsmålstegn ved valget av primær biometri i biometriske pass. 10

23 3.1.4 Sikkerhet Sikkerheten til passene vil variere fra land til land. Dette vil være avhengig av flere faktorer, som for eksempel variasjon i antall angripere i et land og hvilke sikkerhetsegenskaper som skal implementeres i passene i dette landet. Sikkerhetsegenskapene står man fritt til å velge, og dette kan være forskjellig fra land til land [15]. I et brev fra Justisdepartementet til Datatilsynet [36], fremgår det at de norske og svenske passene er produsert i henhold til ICAOs krav, og med samme sikkerhetselementer. Norge og Sverige har også innført krav om at innsamlet biometrisk informasjon for utstedelse av pass eller for senere kontroll, skal slettes. De nye passene skal også være vanskeligere å misbruke og forfalske enn de nåværende passene. Men at man må være inneforstått med at garantier for fremtidig teknologiutvikling ikke kan gis. Videre fremgår det av dette brevet at informasjonen i passene er kryptert, og kun kan avleses på svært kort avstand. Gjennom tester som er foretatt har det vist seg at passene ikke vil kunne avleses av uautoriserte brukere med den teknologien som er tilgjengelig i dag. I brevet kommer det også frem at etter endringer foretatt i passloven skal ikke biometrisk informasjon lenger lagres elektronisk i eksterne databaser, men kun i selve passet. Men det bør også presiseres at norsk lovgivning ikke er til hinder for at andre land kan foreta kopiering og lagring av personinformasjon i passet. Nederlandske sikkerhetseksperter har nå allikevel vist hvor enkelt det kan være å stjele biometrisk informasjon fra de nye passene [37]. Dette fremgår av en artikkel publisert av Ida Oftebro for Et nederlandsk sikkerhetsselskap har gått igjennom sikkerheten i forbindelse med testing av biometriske pass i Nederland. Testingen har vist at de nederlandske brikkene kan avleses på en avstand på opptil 10 meter, i tillegg til at krypteringen er langt enklere å knekke enn det den burde være. Forutsigbarheter i nummereringen av passene, ved at enkelte tall blant annet korresponderer med hverandre, gjør jobben langt enklere enn tilsiktet for en som vil knekke koden. Det nederlandske sikkerhetsselskapet Riscure har hittil avdekket denne svakheten ved tyske og nederlandske pass. Harko Robroch i Riscure hevder at denne måten for nummerering er relativt vanlig, og at et norsk sikkerhetslaboratorium vil kunne finne ut om dette også er tilfelle for norske pass ved å samle inn passnummer og se etter tydelig mønstre. I Datatilsynet ser man på opplysningene fra Nederland med stor interesse. Informasjonssjef i Datatilsynet, Ove Skåra, sier i artikkelen at det også tidligere har blitt påpekt at disse brikkene har såpass liten minneplass at det har blitt stilt spørsmål ved om det er plass til tilstrekkelig kryptering når passene er fylt opp med den informasjonen som skal være der. Politidirektoratet viser imidlertid i sitt brev til Datatilsynet [38], datert 28. april 2006, til at politiet under tester ikke klarte å plukke opp data fra større avstander enn 2 cm. Standarden som er gitt for passene tilsier at 10 meter er en avstand som er alt for lang til at passene skal kunne avleses. Da NSA/FBI forsøkte å avlese kommunikasjonen på 10 meters avstand, greide de kun å registrere en spenningsforskjell i luften. For å detektere noe mer måtte de bruke mye og stort utstyr som det er vanskelig å skjule innen 10 meters avstand fra en autorisert leser uten å bli oppdaget. Da Politidirektoratet kontaktet Riscure i Nederland, ble det avdekket at de aldri har forsøkt å avlese pass på 10 meters avstand, grunnet at det på daværende tidspunkt ikke 11

24 fantes elektroniske pass i Nederland. Det fremgår videre at avstanden på 10 meter bare er tall som er plukket ut av løse luften. Forfatteren av artikkelen har også ovenfor Politidirektoratet bekreftet at en slik avlesning mest sannsynlig ikke er mulig å gjennomføre. Forfatteren mener allikevel det teoretisk er mulig å avlese kommunikasjonen mellom passet og passleseren på en avstand på 5 til 10 meter, men at man da kun vil kunne oppdage kryptert trafikk. Skal man kunne nyttiggjøre seg informasjonen må man kunne knekke 3DES 1 krypteringen, noe som per dags dato ikke har blitt gjort. 3.2 Brukeraksept I artikkelen Biometrics at the Frontiers: Assessing the Impact on Society [39], ser LIBEkomiteen på fremtidig virkning av biometrisk teknologi. Her fremgår det at utbredelsen av biometri til nå har blitt statlig ledet, og har hatt som formål å øke offentlig sikkerhet. I denne sammenhengen dreier dette seg da om innføringen av biometri i pass. Det fremgår videre av denne at folk assosierer bruk av biometri med kriminalitet. Dette er imidlertid noe som antas å avta etter hvert som folk blir mer fortrolige med bruk av biometri i passkontroll. Folk vil etter hvert bli mer forberedt på å akseptere bruken av biometri for andre formål også, f.eks. fysisk aksess til privat eiendom, logisk aksesskontroll(online) o.l. Uavhengig av sikkerhet og hvor passende innføringen av biometri er, så vil implementasjonen reise stor personvern-relatert frykt. Frykten er at biometri vil bli en vanlig måte for identifisering, slik at innhentet informasjon vil bli koblet opp mot all annen personlig informasjon. Og også at denne deretter deles ut til en tredjepart til alle tenkelige formål, og at sensitiv informasjon på denne måten kan bli misbrukt. For å kunne dempe denne frykten er det tydelig at et forsterket rammeverk for beskyttelsen av personvern er nødvendig. Dette for å forhindre at biometri skal bli et verktøy for allmenn overvåkning [39]. I artikkelen Usability and Acceptability of Biometric Security Systems [40], ser forfatteren på brukbarhet og aksept for biometriske sikkerhetssystemer. Det fremgår her at en del arbeid er gjort for å måle ytelsen til ulike biometriske systemer, men at lite er gjort for å kartlegge brukbarhet og aksept hos brukerne. Forfatteren sier videre at forskning har vist at brukere fremdeles er forsiktige med å akseptere biometri. Dette fordi at fordelene ikke alltid er åpenbare, og fordi folk er av den oppfatning at mulighetene for misbruk og krenkelsen av personvern er stor. Citizenship and Immigration Canada(CIC), gjennomførte i 2003 en spørreundersøkelse for å kartlegge allmenn oppfatning av biometri. Undersøkelsen viste at fire av fem kanadiere betrakter bruken av falske identitetspapirer som et alvorlig problem i Canada. Kanadierne syntes å ha en lav forståelse av hva biometri er. Mindre enn ti prosent av befolkningen klarte korrekt å assosiere biometri med bruken av fysiske karakteristika som fingeravtrykk o.l. Men fire av fem kanadiere mente allikevel at bruken av biometri vil være utbredt ved slutten av dette tiåret [41]. 3.3 Personvern I et brev fra Justisdepartementet til Datatilsynet [36], er Justisdepartementet enige med Datatilsynet om at viktige sider ved personvernet er avhengige av at teknologien som implementeres i de nye biometriske passene er utformet etter en felles standard. Noe som 1 Krypteringsalgoritme 12

25 blant annet blir ivaretatt ved å velge et produkt som tilfredsstiller de krav som er nedfelt i Den internasjonale sivile luftfartsorganisasjonens standard til biometriske pass. Videre fremgår det her at Justisdepartementet mener vi befinner oss i et marked som utvikles svært raskt, særlig teknologisk. Utviklingen av nye produkter kan komme til å redusere betydningen av de sikkerhetselementene som nå blir lagt inn i de nye passene, samtidig som det også kan åpnes for forbedringer. Betydningen av å ha en løpende oppfølging og evaluering av de nye passproduktene og infrastrukturen rundt er derfor uomtvistelig. Stephen T. Kent og Lynette I. Millett tar i boken, Who Goes There?: Authentication Through the Lens of Privacy, for seg ulike autentiseringsteknologier og deres innvirkning på personvernet [42]. Boken baseres på arbeidet med en undersøkelse som leder frem til et sett av anbefalinger. Det fremgår av dette arbeidet at det kritiske ved å bestemme konsekvenser vedrørende personvern i en autentiseringsteknologi, er hvordan den er designet og lagt frem. For eksempel er ikke individuell autentisering alltid nødvendig, men de fleste eksisterende autentiseringssystemer gjennomfører en slik autentisering allikevel. I tillegg til dette er som regel brukerne ikke klar over når autentiseringen finner sted. De fleste forstår heller ikke personvern- og sikkerhetsaspektet ved slike systemer, og kan derfor komme til å handle på en måte som kompromitterer personvernet og svekker sikkerheten til systemet. I boken kommer det også frem at omfanget på bruken av et autentiseringssystem har en mulig innvirkning på personvernet. Med andre ord kan man si at desto større omfanget på bruken er, desto større blir den mulige innvirkningen på personvernet. Kevin W. Bowyer tar i artikkelen, Face recognition technology: security versus privacy, for seg samspillet mellom tekniske og sosiale følger involvert ved den utbredte bruken av videoovervåking for personidentifisering [43]. Bowyer mener introduksjonen av video-overvåkning og ansiktsgjenkjenningssystemer gir samfunnet noen viktige avgjørelser å ta stilling til: 1. Når og hvorvidt en sofistikert høyteknologisk applikasjon fungerer godt nok til at den bør tas i bruk 2. Hvilke elementer av personvernet er av vesentlig betydning, og hvilke er ikke det 3. Hvilket nivå av økt sikkerhet kan innføringen av teknologien tilby Bowyer mener at problemer vil oppstå dersom ansiktsgjenkjenningssystemer blir koblet sammen i større nettverk. Dette fordi man da kan kartlegge folks bevegelsesmønster. Han mener slike systemer vil være i strid med personvernet, selv om det egentlige formålet er å detektere etterlyste personer og å forhindre terror. Vi har fra før til en viss grad allerede muligheten til å spore folks bevegelser gjennom kredittkort og mobiltelefoner. Men Bowyer mener allikevel at ansiktsgjenkjenningssystemer kanskje blir betraktet som noe mer emosjonelt siden det her dreier seg om ansiktene til folk. Et forskningsarbeid utført av European Commission i 2003 [44], ser på hvilket syn statsborgere i European Union(EU) har på personvern og informasjonssikkerhet. Med bakgrunn i denne undersøkelsen, kommer det frem at i gjennomsnitt 60 prosent av alle respondentene i undersøkelsen uttrykker bekymring for personvernet. Det fremgår også av denne at kjønn, alder, utdanning og yrke ikke spiller særlig rolle i forhold til variasjon i respondentenes svar. 13

26 Det er imidlertid verdt å merke seg at det som så ut til å variere en del i denne undersøkelsen, var forskjellene i svar fra land til land. 3.4 Kunnskapsnivå og holdninger Det som er utfordringen her, er å kunne finne ut hvor bevisste brukerne er når det gjelder personvernspørsmål knyttet til biometrien i de elektroniske passene. Dette er informasjon vi ikke finner særlig mye litteratur på i litteraturstudiet. Det man finner mye litteratur på er imidlertid folks generelle bevissthet i forhold til personvern [9, 11, 27]. Teknologirådets fokusgruppeundersøkelse fra våren 2004 viser at folk flest i praksis ikke er så flinke til å beskytte eget personvern. Undersøkelsen viser at kunnskapsnivået om elektroniske spor blant vanlige brukere er lav [9]. Dette var en lekfolksundersøkelse gjennomført for å få et inntrykk av vanlige brukeres holdninger til personvern og bruk av IKT-tjenester. De fleste mener at personvern er en viktig sak, men oppgir gjerne personopplysninger mot å få gratis tjenester, og er lite villige til å bruke tid på å sette seg inn i hva de kan gjøre for å beskytte personvernet bedre. Samtidig har de fleste stor tillit til at myndighetene og store private selskaper sørger for å ivareta brukernes personvern slik at de ikke selv trenger å bekymre seg for dette [9]. Folk flest ser ut til å ha lav innsikt omkring hva personvern innebærer, og hvilken lovbeskyttelse vi har for personvernet i Norge. Mange er imidlertid klar over at det eksisterer en spesiell personvernlov, men oppfatningene av innholdet i denne er for de fleste nokså uklar [9]. Ungdom ser ut til å være ganske ubekymret i forhold til eget personvern. Den gjennomgående holdningen ser ut til å være at hvis man ikke har noe å skjule, så har man ingenting å være redd for. De voksne ser ut til å være mer oppmerksomme på potensielle farer, og da også noe mer urolige for hvordan lagringen av ulike elektroniske spor kan påvirke deres eget personvern [9]. Det ser ut til at selv om personvern oppfattes som viktig, er folk flest mer opptatt av brukervennlighet og effektivitet. Hvis det å beskytte personopplysninger skulle kreve nevneverdig innsats eller tid, ser det ut til at svært få er villige til å forsake effektiviteten for å få tilbake noe så abstrakt som bedre personvern [9]. 3.5 Motstand mot biometriske pass Forslaget om innføringen av biometriske pass ble behandlet i Lagtinget 18. juni som en hastesak. Dette er noe Datatilsynet har reagert kraftig på. Tilsynet mener at viktige elementer som sikkerhet, integritet, ekthet og fortrolighet ikke er behandlet og redegjort for, noe man må forvente når det innføres et nytt regime som antas å vare i år-tider [45]. Datatilsynet mener også at personvernet ikke har blitt tilfredsstillende ivaretatt ved innføring av de biometriske passene [7]. Men dette har allikevel ikke stoppet produksjonen av biometriske pass, som ble vedtatt for halvannet år siden. Ifølge seksjonssjef Steinar Talgø i Politidirektoratet er det foreløpig ansiktsgjenkjenning som er aktuelt, og Talgø anslo til at det i løpet av oktober i fjor ville bli trykket opp i underkant av nye biometriske pass. Datatilsynet har nå satt foten ned, og mener at Politidirektoratet ikke kan dokumentere at sikkerheten er godt nok ivaretatt ved innføringen av de nye biometriske passene. 14

27 Dette kommer fram i en foreløpig rapport etter at Datatilsynet var på tilsynsbesøk hos Politidirektoratet [7]. Datatilsynet mener at det ikke er gjort tilstrekkelige vurderinger med hensyn til personvern og informasjonssikkerhet, og i tillegg er informasjonen til de som får utstedt nye pass også mangelfull. Datatilsynet varsler derfor Politidirektoratet om at det kan bli fattet vedtak om følgende pålegg [46]: En rekke risikovurderinger med hensyn til informasjonssikkerheten må gjennomføres for å dokumentere påstandene om tilfredsstillende sikkerhetsnivå. Det må gis informasjon om passinnehaverens rett til innsyn og eventuell retting av personopplysninger som lagres i passene. Det må også tilbys en teknisk løsning som faktisk gjør det mulig for passinnehaver å få sjekket at de opplysningene som lagres i passets databrikke er korrekte. Passinnehaveren må også gis tilstrekkelig informasjon om hvordan opplysningene fra passet blir behandlet på grensekontrollene, både i Norge og i andre land. Politidirektoratet må etablere en mer fullstendig databehandleravtale med firmaet som produserer de nye passene. Disse påleggene ble vedtatt den 20. februar 2006, med bakgrunn i tilsyn gjennomført ved Politidirektoratet den 15. november 2005 [47]. I forbindelse med dette tilsynet oversendte Datatilsynet den 5. januar 2006 en foreløpig rapport fra tilsynet til Politidirektoratet. Politidirektoratet kom med kommentarer til dette i et eget brev datert 31. januar På bakgrunn av dette har Datatilsynet vurdert Politidirektoratets kommentarer og utarbeidet en endelig kontrollrapport [48]. Det Politidirektoratet viste til i sine kommentarer er at det har kommet en sjette utgave av ICAO Doc 9303 [49]. Datatilsynet abonnerer på oppdateringer av ICAO Doc 9303 og i tillegg har de sjekket med ICAO og Norsk Aero AS, men kunne ikke se at en sjette utgave var klar [47]. Med bakgrunn i den endelige rapporten [48], har Datatilsynet med hjemmel i personopplysningslovens paragraf 46 [50], vedtatt følgende pålegg: a) Politidirektoratet må utarbeide en databehandleravtale med de databehandlerne Politidirektoratet benytter i forbindelse med pass, jf. personopplysningsloven paragraf 15 [50]. Se kontrollrapport punkt 5.4 [48]. b) Politidirektoratet må gjennomføre nødvendige risikovurderinger i henhold til personopplysningsloven paragraf 13 [50] og personopplysningsforskriften paragraf 2-4 [51]. Se kontrollrapport punkt 5.5 med underpunkter [48]. c) Politidirektoratet må gi både passøker og passinnehaveren tilstrekkelig informasjon om den registrertes rettigheter når det gjelder innsyn, retting og sletting av personopplysninger, jf. personopplysningsloven paragraf 19 [50]. Se kontrollrapport punkt 5.6 [48]. d) Politidirektoratet må gi passøkeren og passinnehaveren tilstrekkelig informasjon om hvordan personopplysninger behandles på grensekontroller i Norge, samt hvordan passene kan forventes benyttet på grensekontroller i utlandet, jf. personopplysningsloven paragraf 19 [50]. Se kontrollrapport punkt 5.6 [48]. 15

28 e) Politidirektoratet må utarbeide og implementere system for internkontroll i samsvar med personopplysningslovens paragraf 14 [50], jf. personopplysningsforskriften kap. 3 [51]. Systemet må implementeres i virksomheten. Se kontrollrapport punkt 5.7 [48]. Politidirektoratet vil bli gitt en frist til 1. mai 2006 til å etterkomme påleggene fra Datatilsynet [45, 46, 47]. Politidirektoratet kom med tilbakemelding på vedtak om pålegg i et brev til Datatilsynet datert 28. april 2006 [38]. Her fremgår det at Politidirektoratet har inngått en databehandleravtale med Setec Norge for produksjon av e-pass, jf. vedtak om pålegg punkt a) [47]. Når det gjelder pålegg om risikovurdering, jf. vedtak om pålegg punkt b) [47], har dette blitt ivaretatt ved å bruke en skala for akseptabel risiko og sannsynlighet for at en hendelse inntreffer. Dessuten skal risikohåndtering iverksettes så snart avdekket risiko er høyere enn akseptabelt risikonivå. Med bakgrunn i vedtak om pålegg punkt c) [47], fremgår det av Politidirektoratets brev til Datatilsynet at det er lagt ut informasjon på om hvordan man får innsyn i den elektroniske brikken. På nettsiden er det også informert om at passinnehaver må ta kontakt med politiet dersom det oppdages feil i passet. Passet vil da utstedes på nytt med korrekt informasjon. For å imøtekomme vedtak om pålegg punkt d) [47], sier Politidirektoratet at norske myndigheter ikke har kontroll med hvordan personopplysninger blir behandlet ved grensekontroller i andre land, og videre at det er opplyst om dette på politiets websider. Når det gjelder siste vedtak, jf. vedtak om pålegg punkt e) [47], vises det i brevet til at rutiner for internkontroll er iverksatt. 3.6 BITE Et nytt prosjekt i Europa diskuterer biometri og etikk. BITE(biometric identification technology ethics) prosjektet vil undersøke etiske spørsmål vedrørende bruk av biometrisk teknologi. Målet er å komme opp med svar som vil gjøre det enklere å forstå konsekvenser ved bruk av teknologien. [52]. Med bakgrunn i arbeidet som er nedlagt i dette prosjektet, er det funnet at biometri fremkaller flere sosiale, lovbestemte og etiske bekymringer. Disse er basert på flere faktorer, inkludert frykten for en sentralisering av biometrisk identifikasjonsinformasjon og det potensielle misbruket av disse dataene. BITE prosjektet tilbyr en unik kombinasjon av akademiske sentre, industrier og internasjonale organisasjoner for å hjelpe industri og forskere til å konfrontere etiske problemer som måtte oppstå innen biometri. Prosjektet er koordinert av professor Emilio Mordini, leder av the Center for Science, Society and Citizenship i Roma [53]. I april 2005 ble det andre BITE møtet holdt i Roma. Her ble biometri og personvern diskutert. Det går frem av dette møtet at man er bekymret for at biometri i det lange løp vil kompromittere personvernet. Når ansiktsgjenkjenningsteknologien blir bedre, vil den mest sannsynlig komme til et punkt hvor hemmelige kamera rutinemessig kan gjenkjenne personer. Den dagen vi har kommet så langt, er personvernet slik vi kjenner det blitt visket ut. Det vil selvsagt være klare fordeler med en slik teknologi; svindel, identitetstyveri og lignende vil være betraktelig redusert hvis biometriske identifiseringssystemer, introdusert i form av pass, VISA og identitetskort blir utbredt. Men personvern-advokater 16

29 hevder at slike fordeler ikke er verdt risikoen av function creep, slik at så fort biometriske pass har blitt utstedt av regjeringen i et land, så vil det være fristende å bruke dette til alle andre mulige formål, som for eksempel busskort eller til å logge inn på pc-en på kontoret [54]. 17

30

31 4 Valg av metode I arbeidet med denne oppgaven inngår plan for forskningsarbeidet, metoder for innsamling av data, statistisk analyse av dataene og vurdering av resultatene. Valget av forskningsmetode [55, 56] baseres på arbeidet som ble nedlagt i denne oppgavens forprosjekt, i faget IMT 5001 Vitenskapelig metode [57]. I valget av metode, var kvantitativ metode den som ble valgt. Dette med bakgrunn i at vi ønsker å besvare forskningsspørsmål der det å se på bakenforliggende årsaker, samt det å kunne se sammenhenger i målte data var sentralt [55, 58]. En spørreundersøkelse ved Flesland lufthavn i Bergen er den største og viktigste datakilden. I tillegg ble samme spørreundersøkelse holdt på et mindre utvalg ved Nycomed Pharma(produksjonsfabrikk som produserer legemidler) i Elverum. Bakgrunnen for dette var å vurdere representativiteten, og dermed gyldigheten, av de innsamlede dataene ved hjelp av en kontrollgruppe. 4.1 Plan for forskningsarbeidet Planen for forskningsarbeidet, kan enklest illustreres av figuren nedenfor: Figur 6: Plan for forskningsarbeidet Planen tar utgangspunkt i en gitt problemstilling. Med bakgrunn i denne er det gjennomført en innsamling av data. Innsamlingen foregikk både i form av et litteratursøk og en spørreundersøkelse. For å kunne besvare forskningsspørsmålene var en statistisk analyse av dataene fra spørreundersøkelsen nødvendig. Funn i den statistiske undersøkelsen, var sammen med relevant litteratur fra litteraturstudiet med på å besvare forskningsspørsmålene og vil kunne gi ny kunnskap i forhold til gitt problemstilling. 19