האח הגדול או שומר הסף?
הכל על המאגר הביומטרי, הנמצא בדרכו אל תעודת הזהות שלכם. מקורות היסטוריים, שיטות פעולה, מאפייני זיהוי, יתרונות וחסרונות. וכמובן, שאלת הפרטיות
מאת: אניל ק' ג'יין ושאראת פנקאנטי
כמו רבים אחרים, גם אתם ודאי מנווטים את דרככם בחיי היום-יום באמצעות שימוש במגוון כרטיסים וסיסמאות המאשרים את זהותכם. אבל אם תאבדו כרטיס אחד כזה, הכספומט יסרב לספק לכם כסף. אם תשכחו סיסמה, המחשב האישי שלכם יסרב לפקודותיכם. אם הכרטיסים או הסיסמאות שלכם ייפלו לידיים הלא נכונות, אותם אמצעים שנועדו למטרות הגנה יהפכו לכלי הונאה או גנבת זהות. ענף הביומטריה, העוסק בזיהוי ממוכן של אנשים על פי מאפיינים אנטומיים והתנהגותיים ייחודיים, יכול להתגבר על רבות מבעיות אלו.
שלא כמו אמצעים פיזיים, כמו כרטיס אשראי או סיסמה, מאפיינים ביומטריים קשים לזיוף, להעתקה, לשיתוף, לאיבוד או לניחוש. השימוש במאפיינים ביומטריים הוא למעשה הדרך היחידה לקבוע אם הנפיקו לאדם מסוים כמה מסמכים רשמיים, כמו רישיון נהיגה או דרכון, בשמות שונים. נוסף על כך, השימוש במאפיינים אלו לשם הוכחת זהות פשוט יחסית. לפיכך מערכות ביומטריות הולכות ונעשות נפוצות בשנים האחרונות. בשוק יש כבר, למשל, מחשבים נישאים וטלפונים ניידים המזהים טביעות אצבע. במדינות מסוימות משתמשים באמצעי אבטחה ביומטריים כדי להגן על כרטיסי כספומט ודרכונים, כדי לקבוע אם לאדם יש היתר כניסה לבניין, או כדי לוודא שלאדם יש זכאות לתשלומי סעד. מערכות אלו אמנם רחוקות משלמות, אך אין ספק שהיום, כשהחיישנים כבר זולים והמיקרו-מעבדים רבי-עוצמה, הטכנולוגיה הביומטרית תלך ותתפשט.
מידותיו של אדם
ביומטריה אינה רעיון חדש. ב-1879 הציע אלפונס ברטיון, פקח משטרה צרפתי, לבנות מערכת מסובכת של מידות גוף, ובהן אורכי ידיים ורגליים, כדי לזהות עבריינים סדרתיים. בעשור שאחרי כן הוכיחו מלומדים בריטים שכל טביעת אצבע היא תבנית ייחודית שאינה משתנה עם חלוף הזמן, ובכך הניחו את היסודות להמצאת שיטת הזיהוי על פי טביעות אצבעות ב-1896. כעבור זמן קצר החל הסקוטלנד יארד לאסוף טביעות אצבעות שנשארו בזירות פשע כדי לזהות את הפושעים. היום כמעט כל ארגון אכיפת חוק בעולם מסתמך על טביעות אצבעות כדי לזהות עבריינים, לפתור תעלומות פשע ולעשות תחקירי רקע על אנשים המבקשים להתקבל לתפקידים רגישים.
תעודות זהות חכמות - בקרוב אצלכם
עם זאת, טביעות אצבעות אינן מאפיין הזיהוי המועדף לכל מטרה. במערכות זיהוי משתמשים במאפיינים התנהגותיים ופיזיים נוספים, לעתים בנפרד ולעתים במשולב. היום שמים דגש על תכנון מערכות ביומטריות ממוכנות לגמרי, מהירות מאוד, מדויקות, ידידותיות למשתמש, שעלותן נמוכה יחסית לתועלתן, ושאפשר לשלבן בתשתיות ביטחון קיימות. נוסף על מערכות זיהוי המבוססות על טביעות אצבעות, פותחו ב-30 השנים האחרונות מערכות זיהוי המבוססות על מאפייני פנים, יד, קול וקשתית (החלק הצבעוני בעין).
זיהוי ביומטרי מבוסס על מאפיינים בעלי שתי תכונות יסודיות: הם ייחודיים לכל אדם ואינם משתנים במידה ניכרת עם הזמן. כמה מאפיינים מאפשרים רמת דיוק גבוהה, ואילו אחרים מאפשרים קלות בשימוש או עלות נמוכה. בחירת מאפיין כגורם זיהוי תלויה אפוא במטרות מערכת הזיהוי. אין מדידה אחת שהיא מיטבית לכל השימושים.
הבה נבחן את שלושת המאפיינים הנפוצים ביותר היום: טביעות אצבעות, פנים וקשתית. טביעות אצבעות משמשות לא רק למטרות זיהוי פלילי, אלא גם למערכות זיהוי ממוכן במעבר גבול בכמה מדינות. בארצות הברית בלבד עיבדה תכנית VISIT-US של המשרד האמריקני לביטחון פנים נתונים של יותר מ-75 מיליון מבקרים מאז הוכנסה לשימוש ב-2004. מבחינה מסחרית, אחד היתרונות הגדולים של שימוש בטביעות אצבעות הוא מחירם הנמוך של החיישנים (כחמישה דולרים) וגודלם הפיזי הקטן. הדבר מאפשר לשלבם במוצרי צריכה, כמו מחשבים נישאים וטלפונים ניידים ואפילו כרטיסי זיכרון הבזק. עם זאת, שיעורי השגיאות של החיישנים הקטנים האלה גבוהים מאלו של החיישנים הגדולים והיקרים יותר, המשמשים למשל את גורמי אכיפת החוק, משום שהם סורקים חלק קטן יותר של האצבע ושומרים תמונה ברזולוציה נמוכה יותר.
זיהוי פנים הולך וצובר פופולריות כאמצעי בטיחות למחשבים נישאים ולטלפונים ניידים, בין היתר משום שאפשר ליישמו באמצעות שימוש במצלמות המובנות בדרך כלל במכשירים אלו. מערכות המבוססות על זיהוי פנים מדויקות למדי אם התמונות מצולמות בתנאים מבוקרים - למשל, אם האדם מצולם בתאורת חדר, מפנה את פניו לפנים ועוטה הבעת פנים רגילה. עם זאת, המערכות כושלות אם התמונה המקורית והתמונה החדשה נבדלות בכיוון הפנים, בתנאי התאורה, בהבעות הפנים, בגיל או בתוספת משקפיים או זקן. הרגישות הזאת לשינויים שבשגרה בעייתית במיוחד במערכות למעקב וידאו, שבהן המצולמים אינם עומדים מול המצלמה בתנוחה קבועה מראש. ייתכן שבעשור הבא תתקדם הטכנולוגיה דיה ותאפשר זיהוי פנים ממוכן, מלא ובזמן אמת במערכות מעקב וידאו.
זיהוי באמצעות הקשתית הוא מהיר מאוד ומדויק משום שהתבנית המורכבת של הקשתית היא כנראה ייחודית לכל אדם ואינה משתנה עם השנים. האדם מביט אל תוך סורק במשך כמה שניות, ותבנית הקשתית נקלטת, מנותחת ומוקלטת. הזיהוי נעשה על ידי השוואת הנתונים שנרשמו לאלו המצויים במאגר מידע. בשל מהירות השיטה ודיוקה פותחו לאחרונה מערכות זיהוי מבוססות קשתית בהיקפים גדולים, כמו זו של בקרת ההגירה הבריטית. נוסעים הרשומים במאגר המידע יכולים לעקוף את התורים הארוכים של בקרת הגבולות בשדה התעופה ובכך לקצר את זמן ההמתנה.
עם זאת, לזיהוי באמצעות קשתית יש גם חסרונות. השיטה מבוססת, בין היתר, על שימוש באלגוריתמים, המייצגים את התבנית האקראית של הקשתית באמצעות רצף של ביטים. מומחה אנושי אינו מסוגל לקבוע אם שתי תבניות קשתית הן אכן זהות, ולכן נתוני קשתית אינם קבילים כראיה בבית משפט.
התאמות לא מושלמות
מפתחי מערכות הזיהוי הביומטריות מתמודדים עם קשיים נוספים. שלא כמו מערכות זיהוי המבוססות על סיסמה או על חפץ כלשהו, מערכות ביומטריות צריכות לקבל החלטות על סמך התאמות לא מושלמות. כל מערכת העושה השוואות עלולה ליצור שני סוגי שגיאות בסיסיים: במצב של "אישור שגוי" המערכת קובעת בטעות כי יש התאמה בין התבנית שנקלטה לתבנית שבמאגר, ובמצב של "דחייה שגויה" המערכת קובעת בטעות כי אין התאמה בין התבנית שנקלטה לתבנית שבמאגר.
רוב המומחים מסכימים ששיעורי האישורים השגויים והדחיות השגויות של מערכת זיהוי ביומטרית צריכים להיות קטנים מ-0.1% (כלומר, טעות אחת לכל 1,000 קביעות התאמה וטעות אחת לכל 1,000 קביעות אי-התאמה). אך בבדיקות של מכון התקנים האמריקני בשנים 2003 עד 2006 התברר ששיעורי השגיאות של מערכות זיהוי המבוססות על טביעות אצבע, פנים, קשתית וקול - מאפיין נוסף של מערכות זיהוי ביומטריות - כולם היו גדולים מ-0.1%.
הגבהת סף ההתאמה יכולה להקטין את שיעורי האישורים השגויים, אך הדבר יביא לידי הגדלת שיעורי הדחיות השגויות. כדי להקטין את שיעוריהם של שני סוגי השגיאות בו בזמן יש לפתח חיישנים ביומטריים שייצרו תמונות איכותיות יותר ולשפר את יכולות חילוץ המאפיינים וההשוואה. מתכנני המערכות יצטרכו להבטיח גם שהמערכות יהיו מוגנות מפני חבלה: היינו מצפים שלא יהיה אפשר לצותת למידע ביומטרי ולהזינו מחדש במערכת, או לשנות את החומרה או התוכנה הביומטריות. ניסיונות חבלה כאלה אופייניים לכלל מערכות הזיהוי, גם לאלו המבוססות על סיסמה או חפץ, ולכן אפשר להתמודד אתם בכלים המקובלים בתחום. לדוגמה, אפשר להשתמש בשיטות הצפנה כדי למנוע מהאקרים להשיג גישה למידע, להשתמש בו או לשנותו.
אתגר גדול הרבה יותר הוא עיצוב מערכת זיהוי ביומטרית בטוחה, שתאשר רק את בעל המאפיינים האמיתי ולא תוטעה על ידי חיקויים, כמו למשל העתק פלסטיק של אצבע. לשם כך אפשר להשתמש בחיישנים המגלים חום או סימני חיים אחרים, ולהבטיח שמקור הקלט אינו חפץ דומם.
ייתכן שהגישה היעילה ביותר לשיפור הדיוק, האמינות והבטיחות של מערכות ביומטריות היא להשתמש בצירוף של כמה מאפיינים ביומטריים או בכמה הופעות של אותו מאפיין (למשל, ביותר מטביעת אצבע אחת). חיזוק הזיהוי של אדם באמצעות שילובים כאלה מאפשר להוכיח שהנתונים הביומטריים אכן שייכים לבעליהם האמיתי ולא למתחזה, וקשה יותר להפריך הוכחה זו. מערכות רבות לזיהוי דרכונים מתפתחות על פי גישה זו. תכנית US-VISIT, שסרקה בעבר רק שתי אצבעות של מבקרים שאינם אזרחי ארצות הברית, החלה לסרוק את כל עשר האצבעות, ויש לה יכולת עתידית לכלול גם זיהוי פנים.
שאלת הפרטיות
השימוש בביומטריה מעלה חששות לגבי סוגיית הפרטיות. מיהו בעליו של המידע - האדם או ספקי השירות? האם ישתמשו במידע למטרות שלא יועד להן, למשל כדי ללמוד ממנו על מצב בריאותו של האדם? המערכות הביומטריות העתידיות יפעלו ודאי בצנעה, והן יקלטו את מאפייניו הביומטריים של המשתמש ללא מעורבותו הפעילה. אופן פעולה כזה מחריף עוד יותר את הבעיות הכרוכות בסוגיית הפרטיות.
כרגע איננו רואים באופק פתרונות ממשיים וישימים למגוון הבעיות האלה. עם זאת, אנו סבורים שיהיה אפשר לפתור אותן באמצעות דיון ציבורי והתוויית מדיניות. אין דרך אחרת. זהו רק עניין של זמן עד ששיפורים נוספים בכלים הביומטריים יביאו אותם אל קדמת הבמה במאמצים להילחם בבעיות הנפוצות של בטיחות והונאות זהות, שעמן מתמודדת החברה.
אניל ק' ג'יין (Jain) הוא פרופסור במחלקות למדעי המחשב באוניברסיטת מדינת מישיגן, שכתב כמה ספרים בנושא ביומטריה. שאראת פנקאנטי (Pankanti) הוא מנהל קבוצת הראייה הממוחשבת במרכז המחקר של IBM ביורקטאון הייטס שבמדינת ניו יורק. כעת הוא עוסק בפיתוח מערכות רב-שימושיות לזיהוי עצמים. לג'יין ולפנקאנטי פטנטים רבים בנושא טביעות אצבעות. המאמר המלא התפרסם בגיליון דצמבר של "סיינטיפיק אמריקן "