Danskudviklet teknologi kan løse privatlivsproblemerne ved et bølleregister for nattelivet. Det skriver Shehzad Ahmad fra DK-CERT i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Før du bliver lukket ind på et diskotek, skal dørmanden lige tjekke, om du er registreret i det landsdækkende bølleregister.
Det bliver virkelighed inden længe, efter at Justitsministeriet har givet grønt lys for, at politiet må udveksle oplysninger med et kommende privatdrevet register.
Databasen skal indeholde information om personer, der har fået udstedt et såkaldt restaurationsforbud.
Sådan et forbud betyder, at man ikke må komme på bestemte værtshuse.
Restaurationsforbud har eksisteret i mange år. Men det har været svært at sikre, at værtshuse og diskoteker fik besked om, hvem der havde forbud mod at komme hos dem.
Og selvom de får besked fra politiet, er det stadig en udfordring at genkende personer med forbud, så de ikke bliver lukket ind.
Det skal det landsdækkende register rette op på.
Udfordring til privatlivsbeskyttelsen
Som jeg skrev i en klumme på DR.dk i sidste måned, rejser sådan et register nogle alvorlige spørgsmål om it-sikkerhed og privatlivsbeskyttelse. Det har Forbrugerrådet også fremhævet i et høringssvar.
Det centrale register må nødvendigvis indeholde personfølsomme data: Det skal registrere personer, der har forbud mod at komme på hvilke værtshuse.
Her er der brug for god sikring, så uvedkommende ikke får adgang til data.
Men den store udfordring ligger i den daglige brug af systemet. Hvis jeg vil ind på et diskotek, skal jeg tjekkes i registret.
Men jeg ønsker ikke, at administratorerne af sådan et register skal vide, hvor jeg bevæger mig rundt i nattelivet – det er min egen sag.
En anden udfordring ligger i at gøre det svært for bøllerne at optræde under falsk navn.
Derfor er der brug for en form for identifikation, fx i form af kørekort eller sygesikringsbevis.
Mulig løsning er udviklet i Danmark
Efter klummen blev offentliggjort, fik jeg en interessant henvendelse fra Alexandra Instituttet.
Det er et GTS-institut, der arbejder med anvendelsesorienteret it-forskning.
Her har forskerne i samarbejde med kryptografigruppen på Aarhus Universitet udviklet nogle teknologier, som kan være med til at løse problemerne med sådan et bølleregister.
Som nævnt er en af udfordringerne, at vi gerne vil kunne lave et opslag i databasen, uden at administratoren bagefter kan se, hvilket cpr-nummer vi har søgt efter.
Det kan lade sig gøre med en teknologi, som kaldes Secure Multiparty Computation.
Den gør det muligt at lave opslag i en database, uden at man bagefter kan se, hvad der er søgt efter, og hvad resultatet blev.
De danske forskere er blandt de førende i verden på området. Deres teknologi bruges blandt andet til auktionssystemer, hvor man kan finde det vindende bud, uden at deltagerne får at vide, hvad de enkelte bud har været.
Scanner ved indgangen
Løsningen kan implementeres på flere måder. En mulighed er, at gæsterne ved indgangen fremviser for eksempel sygesikringskortet, der bliver scannet i en terminal.
Terminalen foretager det krypterede opslag, så dørmanden kan se, om gæsten skal lukkes ind.
Det vil være bedst, hvis terminalen er isoleret fra diskotekets øvrige systemer, så oplysningerne ikke lagres.
På den måde ved hverken diskoteket eller registerets administrator, hvem man har slået op i det.
Ansigt eller fingeraftryk
En teknisk lidt mere avanceret løsning går ud på at bruge biometri.
Her kan man bruge ansigtsgenkendelse eller fingeraftryk til at identificere brugerne med.
Det centrale register skal så indeholde billede eller fingeraftryk af alle, der har fået udstedt restaurationsforbud.
Igen sikrer Secure Multiparty Computation, at ingen kan se, hvem der er søgt efter.
Den løsning er nemmere for brugerne, da de ikke skal have identifikation med sig. Samtidig bliver det sværere at snyde ved at låne en andens sygesikringskort.
Men der er den ulempe, at biometri er usikker. Især ved ansigtsgenkendelse er det ikke sikkert, at et ansigt genkendes korrekt.
Er man villig til at acceptere den risiko, har løsningen til gengæld den fordel, at gæsternes cpr-nummer aldrig kommer ind i diskotekets it-system.
Rigtigt fra starten
Når vi tidligere har indført it-systemer, har vi ofte først tilføjet sikkerhed og privatlivsbeskyttelse, når problemerne opstår.
Jeg mener, at vi her har alle tiders chance for at tænke de elementer ind i bølleregisteret allerede i designfasen.
Så jeg opfordrer restaurationsbranchen og justitsvæsenet til at undersøge de tekniske muligheder for at gøre systemet sikkert og med mindst mulig lagring og transport af personhenførbare oplysninger.
Oprindelig offentliggjort i avisen Computerworld og på Computerworld Online den 10. juni 2011