Những rủi ro bảo mật thông tin khi sử dụng công nghệ sinh trắc học

Xếp hàng dài và chờ đợi để khai báo, trao đổi với một nhân viên nhập cảnh cáu kỉnh có thể sẽ sớm trở thành dĩ vãng: rồi đây, chúng ta có thể nhập cảnh vào một quốc gia khác trong vòng 15 giây, không cần sự tương tác của con người cũng như trình báo giấy tờ tùy thân. 

Tình huống giả định này đi cùng với công nghệ nhận dạng khuôn mặt và mống mắt để xác minh danh tính của hành khách thông qua camera và hệ thống xử lý dữ liệu trí tuệ nhân tạo (AI). Sân bay quốc tế Dubai đã thí điểm đường hầm thông minh vào năm 2018 - công nghệ đầu tiên trên thế giới thuộc loại này.

Cơ thể con người có thể đóng vai trò là “thẻ ID”

Không chỉ ở Dubai, hầu hết mọi người đều đã trải qua một vài quy trình kiểm tra sinh trắc học tại các sân bay trên thế giới. Sau vụ tấn công 11/9/2001, Bộ An ninh Nội địa Mỹ (DHS) và các cơ quan nội vụ đã tăng cường các biện pháp an ninh để xác nhận danh tính của khách du lịch. 

Năm 2004, các sân bay của Mỹ bắt đầu kiểm tra khuôn mặt và ngón tay của hành khách bay vào nước này. DHS hiện sử dụng tính năng nhận dạng khuôn mặt một phần để theo dõi xem mọi người đã ở quá hạn visa hay chưa. Tính đến năm ngoái, DHS đã sử dụng tính năng nhận dạng khuôn mặt trên 43 triệu người trên khắp đất nước tại các cửa khẩu và khởi hành tàu du lịch, cùng các địa điểm khác.

Bạn cũng có thể tìm thấy các quy trình bảo mật sinh trắc học tiên tiến tại các điểm du lịch, chẳng hạn như sân bay quốc tế Logan của Boston, nơi JetBlue đã làm nên lịch sử vào năm 2017 bằng cách trở thành hãng hàng không đầu tiên để hành khách tự lên máy bay thông qua nhận dạng khuôn mặt.

Tháng trước, hãng hàng không Delta Air Lines đã áp dụng tính năng nhận dạng khuôn mặt để hợp lý hóa các hoạt động tại nhà ga nội địa của hãng tại sân bay quốc tế Hartsfield-Jackson của Atlanta - những khách du lịch đáp ứng các tiêu chí nhất định có thể chọn gửi hành lý, qua an ninh và lên máy bay thông qua quét nhận dạng khuôn mặt. 

Mục tiêu cuối cùng của những quy trình sinh trắc học này là: cho phép du khách làm thủ tục chuyến bay, lên máy bay và nhập cảnh một cách liền mạch. Chẳng bao lâu nữa, cơ thể của bạn có thể đóng vai trò là ID chính của bạn.

Những rủi ro bảo mật liên quan đến công nghệ sinh trắc học

Mặc dù những lợi ích của các giải pháp công nghệ sinh trắc học rất lớn, nhưng công nghệ này vẫn còn một số lĩnh vực cần cải tiến. Cụ thể hơn, công nghệ này vẫn cần giải quyết nhiều thiếu sót về an ninh mạng. 

Quyền riêng tư

Một báo cáo năm 2020 của Văn phòng Giải trình Chính phủ Mỹ cho biết Cục Hải quan và Biên phòng Mỹ (CBP) đã “không cung cấp đầy đủ thông tin trong các thông báo về quyền riêng tư đối với quy trình kiểm tra sinh trắc học hoặc đảm bảo thông tin về sinh trắc học được công bố đầy đủ đến mọi du khách”.

Matthew Kugler, phó giáo sư luật tại Đại học Northwestern, người đã nghiên cứu về quyền riêng tư sinh trắc học và tội phạm mạng, cho biết: “Nếu bạn muốn nhận được sự đồng ý, ít nhất bạn cần phải công khai những gì bạn đang làm và công khai rõ ràng. Chính phủ cũng nên thông báo ngay cho hành khách cách họ có thể chọn không tham gia vào quy trình kiểm tra sinh trắc học”.

Và mặc dù những người ủng hộ giải pháp sàng lọc bảo mật sinh trắc học thường khẳng định kiểm tra sinh trắc học có mức độ chính xác cao, nhưng điều đó có thể gây hiểu nhầm. Vào năm 2017, các thượng nghị sĩ Edward Markey và Mike Lee đã chỉ ra rằng, ngay cả với tỷ lệ chính xác 96%, thì cứ 25 du khách, công nghệ này vẫn sẽ nhận dạng sai một du khách. Theo người phát ngôn của CBP, quy trình này hiện khớp chính xác hơn 98% thời gian.

Ngoài ra, khó để biết dữ liệu sinh trắc học của mọi người sẽ đi đâu sau khi du khách lên máy bay và khởi hành. Vào năm 2018, không có hãng hàng không hay nhà chức trách sân bay nào nói với CBP rằng họ có kế hoạch giữ lại dữ liệu sinh trắc học mà họ thu thập một cách độc lập cho các mục đích khác. Nhưng tính đến tháng 5/2020, CBP mới chỉ điều tra một đối tác hàng không duy nhất, về việc sử dụng dữ liệu dài hạn của họ. 

CBP cho biết đối với các thông tin sinh trắc học trong hệ thống của họ, tất cả ảnh sẽ bị xóa khỏi nền tảng đám mây trong vòng 12 giờ. Tuy nhiên, hình ảnh của những người không phải là công dân Mỹ được chuyển đến hệ thống giám sát mối đe dọa trong tối đa 14 ngày và CBP có thể lưu giữ ảnh trong cơ sở dữ liệu rộng hơn trong tối đa 75 năm. 

Thomas P. Keenan, một nhà khoa học máy tính tại Đại học Calgary của Canada, chỉ ra rằng ngay cả khi một thực thể tuyên bố đã xóa ảnh của ai đó khỏi hệ thống nhận dạng khuôn mặt, thì về mặt lý thuyết, họ vẫn có thể truy cập vào một hàm băm hoặc một số được tạo ra từ thuật toán có thể được sử dụng để truy xuất ảnh đó. 

DHS sẽ sớm lưu trữ dữ liệu sinh trắc học cơ quan này trên Amazon Web Services GovCloud, cùng với dữ liệu của các cơ quan như Bộ Quốc phòng và Cơ quan Tình báo Trung ương. DHS về mặt kỹ thuật có thể chia sẻ thông tin sinh trắc học nhạy cảm với các tổ chức chính phủ khác. Cơ quan này đã làm việc với các Bộ Tư pháp và tiểu bang về hệ thống nhắm mục tiêu tự động gây tranh cãi, sử dụng tính năng nhận dạng khuôn mặt để xác định những hành khách mà họ cho là mối đe dọa.

Những rủi ro gắn liền với việc lưu trữ dữ liệu

Đặc biệt, những rủi ro do bên thứ ba lưu trữ dữ liệu sinh trắc học là một vấn đề nghiêm trọng. Đối với nhiều công ty, dữ liệu khuôn mặt được lưu trữ trong một máy chủ đám mây, có nghĩa là các bên thứ ba sẽ có thể truy cập nó ngay cả khi không có sự cho phép.

Số lượng các cuộc tấn công mạng gia tăng trong những năm qua đã xâm phạm dữ liệu của nhiều người, chẳng hạn như dữ liệu tài chính, mật khẩu và thậm chí cả dữ liệu sinh trắc học. Và các hệ thống chứa dữ liệu sinh trắc học của du khách, người dân, nhân viên, chẳng hạn như dữ liệu nhận dạng khuôn mặt, là mục tiêu chính của tin tặc. Vấn đề này đặc biệt nguy hiểm vì dữ liệu sinh trắc học của một cá nhân không thể thay đổi, ngay cả khi bị xâm phạm.

Nguy cơ bị đánh cắp danh tính trên hệ thống nhận dạng khuôn mặt cũng rất nghiêm trọng. Nguy cơ giả mạo danh tính của người khác cao hơn nhiều khi các giao dịch tiền tệ được xác thực bằng sinh trắc học.

Tất cả cho thấy mặc dù công nghệ nhận diện khuôn mặt hay rộng hơn là sinh trắc học có tiềm năng lợi ích, nhưng vẫn còn một số lỗ hổng trong công nghệ, đặc biệt là trước xu hướng các vụ tấn công mạng ngày càng gia tăng.

Nguy cơ tấn công mạng

Bất kể họ sử dụng dữ liệu sinh trắc học như thế nào, cả lực lượng nhà nước và tư nhân đều dễ bị tấn công mạng. Đặc biệt, trong quá khứ, các nhà thầu chính phủ đã từng để lộ thông tin nhạy cảm. Vào tháng 5/2019, CBP đã trải qua một vụ xâm phạm dữ liệu, trong đó tin tặc đã đánh cắp hàng nghìn hình ảnh biển số xe và ảnh ID từ một nhà thầu phụ không được ủy quyền nắm giữ thông tin đó .

Những lo ngại như vậy đã khiến các thành phố cấm công nghệ nhận dạng khuôn mặt ở các mức độ khác nhau. Năm nay, Portland, đã cấm phần mềm giám sát "ở những nơi công cộng" - một sắc lệnh nghiêm cấm về mặt kỹ thuật tại các sân bay. Luật tương tự cũng có ở Boston, San Francisco và Oakland, California.

Các nhà nghiên cứu hiện đang xem xét các kỹ thuật phân tích đặc điểm con người bao gồm nét mặt, kiểu đi bộ và thậm chí cả mùi của mọi người. Cuối cùng, các điểm kiểm tra an ninh thậm chí có thể phân tích sóng não của một người, Keenan lưu ý. 

Kết hợp sinh trắc học với một hình thức bảo mật khác để nâng cao tính an toàn thông tin

Nói tóm lại, công nghệ nhận dạng khuôn mặt hay rộng hơn là công nghệ sinh trắc học, là một hệ thống bảo mật thường được sử dụng để xác định hoặc xác minh một người nào đó, từ hình ảnh số hoặc một tập hợp các đặc điểm khuôn mặt được lưu trữ trong cơ sở dữ liệu. Công nghệ này cũng ngày càng trở nên phổ biến với các nhà bán lẻ, nơi mà nhận dạng khuôn mặt được triển khai như một cách để thực hiện giao dịch thanh toán.

Lấy ví dụ như iPhone X mới nhất với tính năng Face ID. Tính năng này cho phép người dùng mở khóa thiết bị chỉ bằng cách nhận diện khuôn mặt của người dùng như một hình thức xác thực sinh trắc học. Tương tự như Touch ID dựa trên dấu vân tay được tìm thấy trong các thiết bị Apple trước đây, việc sử dụng Face ID cũng cho phép người dùng truy cập Apple Pay, App Store, iTunes và một số ứng dụng của bên thứ ba.

Vào thời điểm ra mắt iPhone X, Apple tuyên bố có 1/1.000.000 khả năng ai đó có thể mở điện thoại của bạn bằng Face ID (so với 1 trong 50.000 cơ hội có cùng dấu vân tay như bạn), nhưng mọi thứ an toàn đến mức nào? 

Tin tặc sẽ tìm cách sao chép khuôn mặt của mọi người để đánh lừa hệ thống nhận dạng khuôn mặt, nhưng công nghệ này tỏ ra khó bị hack hơn so với công nghệ nhận dạng vân tay hoặc giọng nói trong quá khứ. 

Tạp chí Wired đã chi hàng nghìn USD cho những chiếc mặt nạ đắt tiền và chiêu mộ những tin tặc sinh trắc học có kinh nghiệm nhằm đánh lừa Face ID sau khi iPhone X ra mắt, nhưng vẫn không đánh bại được hệ thống này.

Richard Parris, Giám đốc điều hành của các chuyên gia an ninh mạng Intercede, cho biết trên trang Techworld: "Sinh trắc học với ứng dụng nhận dạng khuôn mặt đang nhanh chóng trở thành biện pháp bảo mật cho một loạt các ứng dụng kinh doanh và tiêu dùng. Nhưng câu hỏi của nhiều người là nó có thực sự an toàn như vậy không?”

Theo Parris, các tổ chức nên kết hợp sinh trắc học với một hình thức bảo mật khác. Ông nói: “Mối nguy hiểm của xác thực sinh trắc học như nhận dạng khuôn mặt là nó không hoàn toàn miễn nhiễm với các cuộc tấn công tiềm ẩn và do đó không nên được coi là phương tiện duy nhất để xác minh người dùng”.

Điều này cho thấy rằng mặc dù công nghệ xác thực cung cấp những lợi ích độc đáo, song xung quanh nó vẫn còn những mối quan tâm rất lớn, bao gồm cả vấn đề bảo mật dữ liệu sinh trắc học nhạy cảm. Chẳng hạn, dữ liệu lưu trữ về khuôn mặt của bạn có thể bị bên thứ ba truy cập nếu thiết bị hoặc hệ thống bị tấn công. Điều này có thể dẫn đến thông tin cá nhân bị chia sẻ.

Cuối cùng, điều cần thiết để nâng cao tính an toàn thông tin là các biện pháp bảo mật hiệu quả phải được nhúng vào từ giai đoạn phát triển để tránh mọi rủi ro tiềm ẩn đi kèm với việc sử dụng nhận dạng khuôn mặt./.