Temat: Biometria w T-Systems na potrzeby wewnętrznego systemu...

Ciekawa informacja -> http://telepolis.pl/news.php?id=23611

Usługa głosowej weryfikacji użytkownika wprowadzona została przez T-Mobile na potrzeby wewnętrznego systemu automatycznego resetu haseł dostępowych w sieci wewnętrznej. Dzięki niej czas potrzebny na wygenerowanie nowego hasła skrócony został do 20 sekund, a usługa dostępna jest przez całą dobę.

Kiedyś przyglądałem się takim rozwiązaniom i jedna z pierwszych rzeczy, o których pomyślałem, to podobne rozwiązanie.

Ciekawe jak T-Mobile rozwiązało zagadnienie zgody pracownika na przetwarzanie danych biometrycznych? Na szczęscie taka zgoda nie musi być na piśmie (głos nie jest daną wrażliwą), więc być może procedura rejestracji głosu, jej przejście stanowi taką zgodę. Zakładam, że wszyscy nie uczestniczą obowiązkowo w tym systemie (patrz GIODO w sprawie biometryczna RCP - rejestracja czasu pracy).

Na pewno sam głos nie wystarcza do uwierzytelnienia osoby, musi być jeszcze dodatkowa informacja (jakiś PIN albo zwykła rozmowa z pracownikiem helpdesku, który ma możliwość stwierdzić, że to istota ludzka dzwoni. Wszak głos można nagrać i odtworzyć, a w ten sposób system oszukać.

Ciekaw jestem Państwa zdania na ten temat.Leszek K. edytował(a) ten post dnia 12.12.11 o godzinie 17:16

Temat: Biometria w T-Systems na potrzeby wewnętrznego systemu...

Ja bym polemizował. Podawanie wszelkich czynników uwierzytelniających przez telefon jest mało bezpieczne, można je podsłuchać. Zawsze się niepokoję, gdy z miejsca publicznego dzwonię do np. banku i musze podać całe mnóstwo danych (panieńskie matki, PESEL, adres zamieszkania, datę urodzenia) - a dookoła wszyscy słuchają.

A reset hasła do systemów jest przecież jednym z procesów tak samo ważnym jak provisioning (nadawanie uprawnień do aplikacji firmowych i przekazanie użytkownikom do nich haseł). A już tym bardziej w przypadku takiej ilości danych (np. osobowych klientów) jak u operatora telefonii komórkowej.

Mi to rozwiązanie podoba się i zastanawiam się nad przesłankami legalności przetwarzania danych osobowych biometrycznych (głos). To nie jest system RCP, gdzie inne metody są (czy mogą być) równie skuteczne.

Wydaje mi się też, że wzmocnienie identyfikacji w tym procesie podnosi bezpieczeństwo danych osobowych klientów.

Temat: Biometria w T-Systems na potrzeby wewnętrznego systemu...

Leszku, mało bezpieczne bo? Nie wchodzimy w polemikę o poczuciu bezpieczeństwa?

Teoretycznie jest to rozmowa 1-1 (jeden do jeden). Zapoznanie się z korespondencją przez osobę nieuprawnioną (podsłuch) jest naruszeniem prawa, nawet penalizowanym w KK. Wpięcie do systemu omijając zabezpieczenia - kolejny art KK. Czyli formalnie, zabezpieczenie jest, jest skuteczne, bo poza technicznym i organizacyjnym, jest stosowane zabezpieczenie prawne (co prawda z automatu).

Mam wrażenie, że dyskusja podąża w kierunku analiz zagrożeń, z której powinien dopiero powstawać system bezpieczeństwa.

Bo na dobrą sprawę, zamek podklamkowy, wkładka bez żadnego kosmosu, jest zabezpieczeniem przed dostaniem się osoby niepowołanej do miejsca w którym przetwarzane są dane. Znowu możemy stwierdzić - czy to nie za mało? Ktoś go może otworzyć (zwłaszcza, jeśli jest zbyt niskiej klasy - ale co to znaczy niska klasa?). Zabezpieczenie na firewallu - znowu to samo możemy stwierdzić - za cienko, bo nie ma IPS-a.

Mam wrażenie, że trochę nam brak wytycznych ze strony GIODO w zakresie modelowych zabezpieczeń. Z drugiej obawiam się, że mogłoby się stać tak, jak z metodyką uzgadniania planów ochrony obiektów, obszarów i urządzeń podlegających ochronie. Uzgodnienie planu, który nie wszędzie jest taki jak w metodyce - a spełnia wymagania ustawy, jest prawie niemożliwe. Bo policjanci czytają metodykę wprost, jako akt prawny, mimo, że jest dokumentem pomocniczym. I poza policjantami nikogo nie obowiązuje.

Może by tak skrzyknąć kilku kumatych ABI, tak, żeby był dobry prawnik, inżynier IT, budowlaniec, pożarowiec, spec od technicznej i fizycznej i spróbować jakiś przewodnik zrobić?

Ja kilku ludzi mam, jak będą mieli luzy to chętnie ich zabiorę i swoje dołożymy.

Temat: Biometria w T-Systems na potrzeby wewnętrznego systemu...

Wrzucę naszą Instytutową dotyczącą audytu pod krytykę ;-))) Tylko maila poprosze na biuro@ibii.eu.

Co do LAN, cóż, informacje dla niego? Nie. Użył sprzętu i programu? Tak. Ja juz bym dał prorokowi, niech kombinuje.

Co do metodyki, cóż... Problem w tym, że dany spec niech się zajmie swoim kawałkiem podłogi i skończy sie przepychanka na wiedzę lub nie.

Myślę, ze można by wykorzystać portal superabi, do rozpoczęcia pewnych dyskusji czy wskazania kierunków.

Jako Instytut mogę wziąć na siebie fizyczne - mam licencjonowanych u siebie - więc kwestie prawidłowości ochrony fizycznej i zabezpieczenia technicznego ogarnę, ze wskazaniem norm i przepisów.
Mogę tez pożarowe i zagrożenia miejscowe - speców też mam.

Informatyka, chylę czoło, bo moi nie są najgorsi, ale np Leszek przebija znajomością i "kwitami" co uważam jest kluczowe, żeby opracować metodykę metodyk.

Co do prawa - nie jestem prawnikiem, swoich mam na umowach, więc też nie przyszaleję.

Temat: Biometria w T-Systems na potrzeby wewnętrznego systemu...

Może się dopisze do takiego projektu :)
mam uprawienie budowlane w telekomunikacji, jestem członkiem Energetycznej Komisji Kwalifikacyjnej, popełniłem podyplomówke z bhp i mam wsparcie kilku "siecowców" i informatyków

Temat: Biometria w T-Systems na potrzeby wewnętrznego systemu...

Energetyka to coś co myślę, że bardzo przydatne.