עסקים נאלצים להתמודד עם תאימות לזיהוי פנים Conundrum- ISMS.online

Name: ISMS.online
Address: Nile House, Nile Street, Brighton, East Sussex, BN1 1HW, United Kingdom
Price range: ££

עסקים נאלצים להתמודד עם חידת תאימות לזיהוי פנים

מאת ג'ון ליידן • 5 דצמבר 2023

הפנים שלי או שלך?

השימוש ההולך וגובר בטכנולוגיות זיהוי פנים מותיר עסקים בפני חידה רצינית של פרטיות ותאימות לתקנות.

ניתן להשתמש בטכנולוגיית זיהוי פנים כדי לזהות או לאשר את זהותו של אדם באמצעות הפנים שלו. הטכנולוגיה מזהה ומודדת תווי פנים בתמונה או בסרטון לפני השוואה בין מידע למסד נתונים של פרצופים מוכרים כדי למצוא התאמה.

מקומות ציבוריים

ניתן להשתמש בטכנולוגיית זיהוי פנים עם CCTV לבטיחות הציבור, במיוחד סביב שדות תעופה ותחנות רכבת. ובכל זאת, פריסות בשני ה US ו אירופה היו לפעמים שנויים במחלוקת.

זיהוי פנים בסביבות לא מבוקרות אינו אמין, טוענים תומכי הפרטיות.

מלבד איומים פוטנציאליים על פרטיות הפרט כתוצאה ממעקב המוני המאפשר זיהוי פנים, יש גם חששות שהטכנולוגיה בהקשר של מרחבים ציבוריים עלולה להוביל להטיה מגדרית פרופיל גזעי - לא מעט משום שחלק מהאלגוריתמים מציגים יותר תוצאות חיוביות שגויות נגד אנשים צבעוניים.

האיחוד האירופי הציע מורטוריום על זיהוי פנים במרחב הציבורי שלוש שנים קודם לכן במהירות לנטוש את הרעיון.

השימוש בטכנולוגיה בביקורות גבולות כגון שדות תעופה או בתוך מתקנים מאובטחים כדי לאכוף בקרות גישה קפדניות, לעומת זאת, אמין הרבה יותר. ביומטריית זיהוי פנים מהונדסת היטב יכולה לשמש גם כמנגנון אימות עבור מערכות לוגיות או יישומים.

של האיחוד האירופי ומרגולצית הנתונים הכללית (GDPR) מטיל דרישות קפדניות על עיבוד נתונים ביומטריים, לרבות הסכמה, שקיפות, הגבלת מטרה והערכת השפעת הפרטיות (כדי להגן מפני זריקת משימה) לצד כללי שמירת נתונים ומיזעור נתונים.

אימות מאובטח

עסקים מיינסטרים מסתמכים יותר ויותר על זיהוי פנים כדי לשלוט בגישה למרחבים פיזיים או לאמת משתמשים באמצעות שירותי אימות מזהה. אלה יכולים להתאים לעמידה ב-GDPR - אך רק אספקת הערכות השפעה קפדניות של הגנה על נתונים המתחשבות בדרישות הפרטיות והציות יושלם תחילה.

"מול ההתקדמות הטכנולוגית המהירה, עסקים חייבים להישאר זריזים לא רק באימוץ אלא גם בהבנת הסיכונים הנלווים." דייב Holloway, CMO ב-ISMS.online הגיב.

שותף למשפט החדות, דקלן גודווין, הוסיף: "ראיתי דוגמאות שבהן ספקי תוכנות/חומרה לזיהוי פנים מכרו מערכות לעסקים מבלי שהרוכש שקל תחילה את דרישות התאימות במלואן.

"לאחר שעבדו על דרישות התאימות, הרוכש הבין שהוא לא יכול ליישם את המערכת שקנה בצורה תואמת או שהיא פגומה".

גודווין הסביר: "לדוגמה, נדרשת הסכמת עובדים לפני שניתן להשתמש במערכת כדי להכניס עובדים ולצאת מהעבודה, וניתן לבטל הסכמה כזו בכל עת, מה שהופך את היתרונות של הטכנולוגיה החדשה למצומצמים מאוד. ה-ICO מנסה לסייע בקרי נתונים עם טכנולוגיה כזו דרך [האחרונה] שלהם התייעצות לגבי טיוטת הנחיות לנתונים ביומטריים".

מסגרות תאימות מציעות שרטוט

אלכס ווילקינס, מנהל ומומחה לפרטיות נתונים ב-ProCompliance, אמר ל-ISMS.online כי "מסגרות ותקנים, כולל ISO 27001, ISO 27701 ו-NIST CSF, ממלאים תפקיד מכריע בסיוע לעסקים למקם את עצמם כדי להשיג תאימות" בעת הפעלת זיהוי פנים טכנולוגיות.

לדוגמה, תקן ISO 27001 מספק גישה שיטתית לניהול והגנה על מידע רגיש, כולל נתונים המשמשים את טכנולוגיית זיהוי הפנים. "יישום ISO 27001 יכול לעזור לעסקים לזהות סיכונים, לבסס בקרות וליצור מערכת ניהול אבטחת מידע (ISMS) חזקה", על פי וילקינס.

ISO 27701 מציע הרחבת פרטיות ל-ISO 27001 שמתייחסת במפורש לניהול פרטיות.

עסקים המשתמשים בטכנולוגיית זיהוי פנים כדי להבטיח שהם מטפלים בנתונים אישיים בהתאם לתקנות הפרטיות, כגון GDPR.

"על אף שאינה ספציפית לזיהוי פנים, NIST CSF היא מסגרת מקיפה לניהול סיכוני אבטחת סייבר", סיכם ווילקינס.

מאט לואיס, מנהל מחקר טכני בקבוצת NCC, חקר את ההשפעה של טכנולוגיית זיהוי פנים והשלכותיה על הפרטיות לעסקים.

סיכונים ומחלוקות בזיהוי פנים

היו כמה מחלוקות הקשורות לטכנולוגיית זיהוי פנים.

בפברואר 2023, מדיסון סקוור גארדן הודיעה כי היא תאסור את השימוש בטכנולוגיית זיהוי פנים במקומותיה לאחר תגובה של פעילים ולקוחות שהתנגדו למעקב המוני במקום.

בשנת 2022, נחשף כי Clearview AI צברה מסד נתונים של למעלה משלושה מיליארד תמונות פנים ללא הסכמת האנשים המתוארים. משרד נציב המידע בבריטניה קנס את חברת זיהוי הפנים ביותר מ-7.5 מיליון ליש"ט בגין הפרת חוקי הפרטיות.

ציות וזיהוי פנים

אמנם יש להתייחס ברצינות לחששות לגבי שימוש לרעה בזיהוי פנים, אך לטכנולוגיה יכולות להיות יישומים מועילים.

בהירות, מומחה לציות פיננסי, מעבד כ-6 מיליארד דולר בשנה בתשלומים חוצי גבולות ומשתמש בטכנולוגיית זיהוי פנים להבטחה ותאימות.

הטכנולוגיה מציעה הכללה פיננסית לאזורים מוחרגים ולחברי חברה אשר הודרו בעבר משירותים פיננסיים, על פי Clarency.

"הרבה מאוד מהעסקאות שלנו מערבות אזורים שהבנקים אינם כוללים במידה רבה", אמר ג'ם שו, ראש מחלקת התקשורת ב-Clarency ל-ISMS.online. "זיהוי הפנים הוא חלק מתוכנית בדיקת נאותות משופרת המאפשרת לנו לבצע עסקאות בהתאם לדרישות באזורים כאלה.

Clarency מצלמת באופן שגרתי תעודה מזהה עם תמונה, ובמקרים מסוימים, סרטון חי של צדדים נגדיים מעורבים לצורך אימות זהות.

"הנבדקים מקבלים בקלות את הדרישה מכיוון שהיא מאפשרת להם לבצע עסקאות חוקיות, בטוחות ותאימות שאחרת היו בלתי אפשריים", הוסיף שו.

Clarency משתמשת גם בטכנולוגיית זיהוי פנים עבור העברות ביתיות ותשלומים במזומן.

"אנחנו מספקים שיטה למעקב אחר מזומנים מהתשלום ועד לדיגיטציה שלו לשידור הלאה למקלט", הסביר שו. "זה מונע על ידי זיהוי פנים בנקודת התשלום."

תקנות הציות לבנקאות, המחייבות בדרך כלל כי יש לאחסן נתונים למשך שש שנים לפחות, מכילות סתירה עם דרישות ה-GDPR. Clarency משתמשת בטכנולוגיית כספת נתונים כדי ליישב את הדרישות הסותרות לכאורה הללו.

"אנחנו יכולים לפוג, למחוק או לתקן מידע בכספת בהתאם לדרישות ה-GDPR", הסביר שו. "אם אדם יבקש מחיקת נתונים אישיים, נוכל לעשות זאת באופן מיידי. ניתן לשלוט בגישה בפירוט בלתי מוגבל, עד ליחידים, ארגונים, תאריכי תפוגה, מספר צפיות וכן הלאה עד אינסוף."

טכנולוגיית זיהוי פנים "מעלה כל מיני שאלות לגבי האם הטכנולוגיה הזו עלולה לערער את זכויות הפרטיות הבסיסיות וכיצד ניתן לשמור עליה בשליטה", לדברי נטלי קרמפ, מנכ"לית חברת הייעוץ למדעי הנתונים Profusion.

Cramp המשיך: "עם זאת, טכנולוגיית זיהוי פנים מציעה יתרונות רבים - משיפור אמצעי האבטחה, שיפור חוויות דיגיטליות והגנה על עסקים מפני גניבות ועד אפילו עזרה במציאת נעדרים."

רבקה הרפר, ראש ניתוח אבטחת סייבר ב-ISMS.online, סיכמה: "לזיהוי פנים יש את היתרונות שלו, אבל כמו כל כלי, זה קשור לאופן שבו אתה משתמש בו. ציות לא יכול להיות מחשבה שלאחר מכן."

ג'ון ליידן

ג'ון ליידן כתב על רשתות מחשבים ואבטחת סייבר במשך יותר מ-20 שנה. לפני הופעת האינטרנט הוא עבד ככתב פשע בעיתון מקומי במנצ'סטר. ג'ון הוא בעל תואר בהנדסת אלקטרוניקה מסיטי, אוניברסיטת לונדון.