Biometría, reconocimiento facial, privacidad, SEGURIDAD y la ley

El peligro al usar la biometría y el reconocimiento facial es que no siempre son precisos
Un artículo reciente en el LA Times indicó que el software de reconocimiento facial propuesto para ser utilizado para cámaras corporales de la policía indicó falsamente que aproximadamente el 20% de los legisladores de California eran criminales, tal como un estudio previo de miembros del Congreso mostró a 28 legisladores » emparejado «una base de datos de delincuentes.

El uso de software de reconocimiento facial en bases de datos masivas como las de bodycams o dashcams ha sido cuestionado sobre la base de que dicho software es inexacto y podría conducir a la detención injusta o incluso disparar a personas en base a una identificación incorrecta. De hecho, aunque muchos estados están prohibiendo el uso de dicho reconocimiento facial de cámara corporal, algunos estados como Illinois generalmente prohíben la recopilación y el uso de información biométrica sin una política escrita y consentimiento informado.

Las contraseñas deben morir

Para los profesionales de seguridad, la autenticación, el control de acceso y la autorización son importantes tanto como conceptos como tecnologías. El objetivo de la seguridad es «dejar entrar a las buenas personas» y también «mantener alejadas a las malas». OK. Personas y procesos. «Bueno» significa personas autorizadas que hacen cosas autorizadas o al menos «permitidas» y «malo» significa cualquier otra cosa.

Por lo general, hacemos «control de acceso» al proporcionar al usuario un token: una identificación de usuario, una contraseña, una devolución de llamada, una «clave» multifactor de algún tipo o el uso de un token biométrico. Pero sobre todo una contraseña. Incluso las contraseñas o frases seguras tienen debilidades significativas para la autenticación o la seguridad. Están sujetos a robo y pérdida, ya sea en almacenamiento o transmisión (piense en keyloggers, etc.) Pueden ser olvidados, reutilizados y representados. Requieren una opción de reinicio, que puede ser falsificada o engañada. Pueden ser forzados por la fuerza bruta. Son malvados Verdaderamente malvado. Deben morir.

Pero las alternativas pueden ser peores. La biometría tiene la ventaja de que puede (o no) ser fácil de presentar, es única (principalmente, y lo digo como un gemelo idéntico) y proporciona (en su mayoría) una autenticación fuerte. Si se implementa correctamente. Pero pueden ser falsificados o representados, proporcionan una falsa sensación de autenticación «fuerte» y pueden (según la implementación) requerir la creación y el almacenamiento de grandes cantidades de datos biométricos. Más recientemente, la compañía biométrica Suprema fue pirateada y los atacantes obtuvieron datos biométricos de 27.8 millones de personas. ¿Crees que obtener una nueva tarjeta de crédito es una molestia? Imagine tener que obtener una nueva cara (con disculpas a Nicholas Cage ).

Si bien la biometría promete autenticación, el mejor enfoque es permitir que el usuario conserve el token y se autentique en un dispositivo sobre el que mantiene el control (por ejemplo, un teléfono). Si bien esto no es una autenticación biométrica «verdadera», es una autenticación asistida biométricamente. Es mejor que una contraseña, pero casi cualquier cosa es mejor que una contraseña.

Intimidad

Si bien la mayoría de las objeciones a la biometría en la sociedad se centran en sus errores, para fines de privacidad, el aspecto más problemático de la biometría es su precisión, ya sea ahora o en un futuro relativamente cercano. En este momento, la policía usa Lectores Automáticos de Matrículas (ALPR) para escanear autos mientras conducen y para compilar una base de datos no solo de autos robados o de aquellos cuyos propietarios (no necesariamente los operadores) pueden tener órdenes de arresto, sino de cada lugar donde se encuentra cada auto visto Los usan para emitir multas por exceso de velocidad y estacionamiento. Y para resolver crímenes en el barrio. Recopilan una base de datos masiva de dónde está cualquier automóvil. Se puede usar para identificar cónyuges engañosos, fusiones comerciales o para recuperar automóviles. Muy genial. Y bastante aterrador.

En China y en otros lugares, este tipo de tecnología ALPR se está implementando contra las personas . Se está utilizando para hacer un seguimiento de los manifestantes o uigures. Se está utilizando para identificar jaywalkers. Para compilar puntajes de crédito. Para atraer o recompensar a los clientes.
En los Estados Unidos, el FBI utiliza el reconocimiento facial para identificar a los delincuentes . Accede al DMV estatal y local u otras bases de datos y aplica el reconocimiento facial a las cámaras de videovigilancia tanto fijas como móviles. La organización lo utiliza en eventos deportivos como el Super Bowl sin el conocimiento o consentimiento de los asistentes . Y, el FBI puede (o no) acceder a sitios de redes sociales como Facebook, Twitter, Instagram u otros paraacceder a su software de reconocimiento facial o simplemente volcar los datos en su propia base de datos y usar sus propios algoritmos .

El problema con el reconocimiento facial y la privacidad no es que no funciona, o que no funciona muy bien, sino que podría funcionar, y funciona muy bien. Podemos saber dónde están y dónde estaban todos, con quién estaban y qué estaban haciendo. Podemos aplicar protocolos de IA para perfilar personas. Es el «Informe de Minorías» sobre los esteroides.

Para las compañías de seguridad de EE. UU. Que proporcionan esta tecnología (hardware y software) a las agencias policiales y de inteligencia de EE. UU., Y a gobiernos extranjeros potencialmente opresivos, esto puede presentar preguntas morales o éticas (y no solo de control de exportaciones). Esta es la última tecnología de «doble uso». Es aterrador y espeluznante.
En palabras del sargento. Phil Esterhaus (Hill Street Blues para ustedes, jóvenes) » Oye, tengamos cuidado allá afuera «.


El estado de DevSecOps

Durante años, el mantra de TI ha sido «moverse rápidamente y romper cosas». Para aumentar la agilidad, las empresas adoptaron prácticas de desarrollo innovadoras y rápidas. Grandes rediseños tuvieron lugar a raíz de DevOps. Sin embargo, en este apuro por implementar prácticas con visión de futuro, muchos equipos evitaron la seguridad.

Las instituciones ya no pueden ignorar los requisitos de seguridad dentro de su entorno DevOps. Las repercusiones son severas; tome el creciente número de explotaciones de datos como evidencia. Los expertos ahora están de acuerdo en que la automatización, la contenedorización, la gestión de código y todos los demás elementos dentro de los flujos de trabajo de CI / CD deben incorporar las mejores prácticas de seguridad desde el principio.

Todos sentimos que la seguridad se desplaza cada vez más a la izquierda. Esto ha dado lugar a DevSecOps, una nueva práctica para incorporar la seguridad mucho antes en el proceso de desarrollo de software. Aunque DevSecOps es un concepto importante, todavía existen muchas lagunas. Entonces, ¿qué son estos agujeros? Y, quizás lo más importante, ¿cómo podemos iniciar DevSecOps sin sacrificar el tiempo de comercialización? Para conocer el mundo real, hemos consultado a los pensadores DevSecOps por sus consejos.

Esta descarga gratuita es ofrecida por Security Boulevard.
» Descargar ahora »


Fuente: securityboulevard.com