Божидар Божанов: Задължителни пръстови отпечатъци в личните карти в ЕС?

Божидар Божанов

Публикацията е от блога на Божидар Божанов blog.bozho.net

Комисията по граждански свободи правосъдие и вътрешни работи снощи гласува да има задължителни пръстови отпечатъци в личните карти в целия Европейски съюз. Мярка, срещу аз бях активно – писах преди година при внасянето ѝ, писах и отворено писмо до евродепутатитеИнициирах позиция на Демократична България против мярката и обясних в „Денят с Веселин Дремджиев“ защо това е лоша идея.

Няма да повтарям всичко, а ще се фокусирам върху няколко основни момента, свързани с нуждата от такава мярка, с текущото състояние, и с проблемите със сигурността и ще опитам да отговоря на въпросите, които срещнах в последните няколко седмици по темата. Трябва да отбележа, че като цяло регламентът е позитивен – унифицира едно по-високо ниво на сигурност на личните документи в ЕС, защото някои държави в момента издават „парцали“, които могат да се фалшифицират в час по трудово. Единствено разпоредбата за отпечатъците е спорна.

– Какво толкова, те и сега МВР събират отпечатъци – МВР събират отпечатъци само за нужните на международните паспорти. Или поне така е по закон. Ако са ви взели отпечатъци при издаване на лична карта, това е превратно тълкуване на Закона за българските лични документи. Според действащите текстове на закона, за новите лични карти, които ще имат чип и ще позволяват записване на такива данни, ще се снемат отпечатъци само при изрично желание на гражданите. Това беше дълго обсъждан текст, в чието писане съм участвал. Причината за opt-in модела е, че няма особена полза от ICAO стандарта за електронни документи за пътуване що се отнася до лични карти, тъй като почти няма терминали за автоматично преминаване (e-gates), които да поддържат формат „лична карта“. А рисковете са немалки. Европейската комисия не е отчела този нюанс, между другото, и е писала, че България ще има задължителни отпечатъци в личните карти. Може и колегите им от МВР да с ги подвели. Щото кой да чете закона, пък и мотивите, с които е бил внесен.

– Какво толкова ще стане, като ни запишат отпечатъците? – това е дълга техническа тема, но накратко – отпечатъците могат да изтекат. Дали през централизираната база данни, за която трябва да се грижи държавата, или през отделните носители. ICAO стандартът предвижда четене на отпечатъци без въвеждане на парола/PIN (за целите на граничните проверки), което води със себе си сложна и „чуплива“ система, в която участва всички държави, издаващи документи по този стандарт. Лошото е, че през годините стандартът е имал множество проблеми със сигурността, които са били коригирани, но някои от тях остават и на теория (надявам се да не видим скоро и на практика) някой може да ви прочете отпечатъците от личната карта в джоба както си стоите в метрото. Не е тривиално, поради ред причини, но е възможно. След това може да направи фалшив отпечатък, с който да излъже сензора на телефона ви, и да получи достъп до важни неща като имейл или дори банкова сметка. Как така фалшив отпечатък? Напълно изпълнимо е, както е показано тук, а сензорите макар да се подобряват, не мисля, че някога ще предотвратят тази възможност напълно. Има домашни брави, които се отварят с отпечатък. Има контролирани зони в офиси и предприятия, които се отварят отпечатък. Всички те стават по-уязвими.

– Нали няма да има централна база данни с отпечатъци? Регламентът не предвижда задължително такава, но оставя на държавите членки да решат. Нашата вече е решила, тъй като съхранява в база данни отпечатъците, които е снела за паспортите ни. Дали това нарушава гражданските свободи – по-скоро да. Особено когато е ненужно и необосновано.

– Всеки може да ни снеме отпечатъка от чаша, ако иска, каква е разликата?Разликата е в качеството на снетия отпечатък. В личните документи той е с висока резолюция и е пълен. Отпечатък от чаша няма да е достатъчен за качествен фалшив отпечатък, но този от личната карта ще е предостатъчеб.

– Биометричната идентификация не е ли бъдещето? Надявам се не. Има многоматериали по темата, но заключението е, че ако биометричната идентификация е единственият компонент, то това не е достатъчно сигурно. Фундаменталният проблем е, че няма механизъм за промяна. Докато можете да си смените паролата, частния ключ или да си рестартирате OTP token устройсвото, отпечатъкът ви не подлежи на промяна – веднъж изтече ли, няма връщане.

– Европейсеката Комисия не е ли оценила аспектите на информационната сигурност? Не, не е. В първоначалната оценка на въздейсетвието липсва анализ на ифнромационната сигурност. След като в рамките на вътрешното обсъждане получават коментар, че трябва да има такава, добавят едни 5-6 точки, които са непълни и несвързани и изобщо не са убедителни. Още повече, че ICAO след своя анализ правят отпечатъците в паспортите опционални. Преди години, когато обсъждахме въвеждането на стандарта в българските лични документи, изпратихме писмо до Европейската комисия и до ICAO с въпрос дали сигурността на стандарта е достатъчно висока. От ЕК отговориха с не особено адекватното „ами нямали сме проблеми досега“, а от ICAO отговориха с въпрос – може ли да предложите експерт за работна група. Стандартът е типичен „дизайн от комисия“ и има много потенциални проблеми. Надявам се те да бъдат изчистени някои от тези проблеми, а ЕК да не позволи обратно-съвместими документи (т.е. поддържащи „счупени“ версии на стандарта), но остава фундаменталният архитектурен проблем, който не знам има ли решение.

– Какво мислят другите държави за биометричните документи? Не всички са щастливи. Когато преди години ЕС задължава всички паспорти да имат отпечатъци, Холандия пита съда трябва и личните карти да са с отпечатъци и съдът казва „не, не трябва“. Решението на съда е интересно за четене и с оглед настоящия Регламент, но като резултат Холандия спира да слага отпечатъци в личните си карти.

– Това не е ли важна мярка за борба с тероризма и нелегалната миграция?Не, отпечатъците не помагат с нищо, в сравнение със снимката и лицевото разпознаване на границата. Няма сценарий, в който отпечатъкът да е решаващ. (А снимката не крие такива рискове

– Какви са тогава аргументите „за“? И аз това се чудех. В оценката на въздействието Комисията описва някои притеснения и дори казва, че марката може да е непропорционална. Разбрах, че аргумент на държавите-членки е бил, че човек може да донесе фалшифицирана снимка, с която да се „лъжат“ алгоритмите за лицево разпознаване. На въпрос „защо не правите снимката при подаване на документите за лична карта“, отговорът е бил, че е много скъпо. Да, най-бедната държава в ЕС (България) го е направила – във всяка районно управление има цялата техника, необходима за издаване на документа – но за останалите щяло да е скъпо. Освен това как правене на снимка е скъпо, а снемане на отпечатъци – не е (качествените четци не са толкова евтини).

– Противопоставянето на отпечатъците не пречи ли на електронното управление? Не, двете нямат общо. Отпечатъците са само за граничен контрол и нищо друго – вкъщи няма как да имате устройство, което да прочете отпечатъците от картата, съответно чрез тях да се идентифицирате пред държавен орган онлайн.

В общи линии – ненужна, но рискована мярка, без необходимия анализ. И за съжаление най-вероятно одобрена от мнозинството от правителствата, в т.ч. нашето (макар че гласуването в Съвета е тайно и не знаем какъв е бил нашият глас).

Макар че оригиналната позиция на ервопарламента беше „против“, след преговорите със Съвета (където участват министрите на държавите-членки) и с Европейската комисия, мярката остава в текста на Регламента и най-вероятно ще мине и при гласуването в пленарна зала. Така че след няколко години, ако най-накрая забавената вече с 2 години поръчка за нови лични карти е минала, ще препоръчвам да си купувате екраниращи калъфчета за личната карта. А в по-общ план, да преосмислим ролята на Съвета на ЕС или поне неговия непрозрачен начин на опериране, тъй като той често се оказва по-силен от демократичния парламент и налага странни решения за бъдещето на Европа.

1 Коментар

  1. През 2000г мои колеги заминаха да живеят в Канада и след 4 г. като се върнаха за малко, видяхме, че са с оптически лични карти (с около 200MB) със всякаква информация по тях, вкл. и отпечатъци. Искам да кажа, че опит по света в тази посока има.

Оставете коментар

Вашият имейл адрес няма да бъде публикуван.



Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.