A hétköznapok részévé vált okoseszközök testi-tárgyi közelségéről egy átlagos felhasználó nehezen mond le. Ennélfogva a róla gyűjtött adatállomány mindig frissül és bővül az adott eszközön, így értékkel bír mind az adathalászok számára, akik az azon tárolt információk megszerzésével jogtalan anyagi haszonszerzésben reménykednek, mind a bűnüldöző hatóságok számára, akiknek a bűncselekmény elkövetési körülményeire, az elkövető személyére vonatkozóan információt szolgáltathat.
A "klasszikus" elektronikus adatok (bizonyítékok), mint a hívásforgalmi és előfizetői adatok, IP-címek és cellainformációk, a szolgáltató megkeresésével beszerezhetők, de egy adott bűnügyben az okoseszközre telepített üzenetküldő, emlékeztető, egészségügyi vagy egyéb kényelmi alkalmazások bejegyzései, képfájlok, böngészési előzmények, pénzügyi vagy kriptotranzakciós adatok olyan többletinformációt nyújthatnak, aminek a kinyerésével a nyomozás hatékonysága előmozdítható.
Az új generációs eszközök gyártói és távközlési szolgáltatók éppen ezért a felhasználón kívüli harmadik személyek hozzáférhetetlenségét PIN-kód mellett akár jelkóddal és biometrikus azonosítóval biztosítják. Ezzel viszont az adatok megismerhetősége nagyban függ a felhasználó hozzájárulásától.
Ezen tanulmány így arra a kérdésre fókuszál, hogy a hazai büntetőeljárásban kikényszeríthető-e a biometrikus azonosítóval zárolt számítástechnikai eszköz feloldása? Ezen a határvonalon a magánélet tiszteletben tartása, a személyes adatok védelme és a tisztességes eljáráshoz való jog (pl. kínzás, embertelen bánásmód és önvádra kötelezés tilalma), mint alapvető jogok konkurálnak az állami büntetőigényével.[1]
Továbbá azt kívánom bemutatni, hogy a büntetőeljárás során a magyarországi jogszabályi környezet milyen lehetőségeket ad vagy akadályokat állít fel a nyomozó hatóságnak a lefoglalt okoseszköz testi kényszerrel történő feloldására. Az okoseszközök feloldásának kikényszeríthetősége más államok jogalkalmazói szerveinél is dilemma. A dolgozat záró része pedig nemzetközi kitekintés ad arra, hogy milyen válaszokat kerestek a külföldi államok jogalkotó és jogalkalmazó szervei.
A mobil készülékek három jól ismert hitelesítési módszerrel operálhatnak: 1. a tudásalapú (pl. PIN-kód vagy jelszó használatával) hitelesítés, 2. tokenalapú hitelesítés (USB vagy intelligens kártya), 3. biometrikus hitelesítés (típusai: fizikai, külső jegyek megjelenése vagy viselkedés alapú).[2]
A tudásalapú hitelesítés hátránya, hogy a felhasználó egyszerűen és könnyen megjegyezhető jelszót választ, vagy akár ugyanazt a jelszót használja minden fiókjához. Ezért ha a támadó megszerzi jogosulatlanul a jelszavát, úgy minden további fiókjához is hozzáfér majd. Másrészről az ilyen jelszó könnyen másolható, lejegyzetelése esetén elvihető, illetve maga a felhasználó is elveszítheti. Továbbá a mobileszközökön rendelkezésre álló CPU- és tárolókapacitás korlátozása miatt a jelszó/ PIN-kódként használt karakterek száma körülbelül négy-nyolc karakterszámban van maximalizálva.[3]
A papírra felírt jelszónál nagyobb biztonságot nyújt a tokenalapú hitelesítés, például USB vagy intelligens kártya használata. A token lehet statikus, amely csak a hitelesítési adatok tárolására alkalmas, vagy egyszeri belépésre feljogosító (ún. szinkron dinamikus token), vagy időalapú korláttal ellátva. Ez a hitelesítési módszer azonban speciális hardvert és szoftvert igényel, ami viszont költségesebb és bonyolultabban biztosítható.[4] A biztonsági kockázata pedig a token elvesztése és ellopása.
A biometrikus azonosítás lehet fizikai vagy viselkedésalapú. A fizikai biometrikus azonosítás az adott személy fizikai jellemzőit használja. Az ilyen típusú (fizikai) biometrikus adatok többnyire egyediek, állandók, azaz változatlan tulajdonságúak, kötöttek és reprodukálásuk eszköz használatától mentesek is lehetnek. Ilyen például az ujjlenyomat, DNS-minta, arc, retina és írisz minták.[5] Annak valószínűsége, hogy a populációban egy véletlenszerű személy a Face ID segítségével feloldja és megnézi más felhasználók iPhone-ját, vagy iPad Prót, kevesebb, mint 1:1 000 000-hoz, függetlenül attól, hogy visel-e maszkot vagy sem. Face ID a képmélységi információit is elemzi, ami a 2D-s digitális fényképekkel való visszaélést is kizárja. Az Face ID felismeri, ha a felhasználó szemei nyitva vannak, és a figyelme a készülék felé irányul. Ez megnehezíti, hogy valaki a tudta nélkül feloldja a készülékét (például amikor éppen alszik).[6]
Egyes szolgáltatóknál bevett gyakorlat, hogy a jelszavakat nem tárolják, hanem a "jelszó ujjlenyomat", más néven: hash formájában tárolják. Ez azt jelenti, hogy elvégzi a hash-számítást az ujjlenyomat vagy az arckép egyes részeiből, ami megfelel az aszimmetrikus titkosításnak (egyirányú matematikai művelet). A számítás után kapott hash-kódot az intelligens eszközön tárolják. Az eredeti jelszó legfeljebb kvantumszámítógéppel fejthető vissza a hash-kódból.[7]
A viselkedésalapú biometrikus hitelesítés a felhasználó viselkedését elemzi, például hangot, mozdulatot, szívritmust, a billentyűleütést vagy az érintés dinamikáját, amelyek egyéni mintákban rajzolódnak ki. A viselkedési biometria alkalmazása négy különböző alkalmazástípusra osztható: folyamatos hitelesítésre, kockázatalapú hitelesítésre, belső fenyegetések és csalás felderítésére, valamint megelőzésére. A viselkedési biometrikus engedélyezés három fő területet integrál: az emberi viselkedésminták elemzését, az intelligens érzékelő technológiákat és a gépi tanulási modelleket. Előnyei közül érdemes kiemelni, hogy a viselkedési adatok a szolgáltatáshasználat megzavarása nélkül gyűjthetők ki, a biometrikus adatok egyedi kombinációi miatt nehéz utánozni vagy lemásolni, a multimodális azonosítási rendszerekben a viselkedési biometrikus ellenőrzés pontossága bizonyítottan elég magas, zökkenőmentes az integrációja a biztonsági rendszerekbe, ha a biometriai modell már rendelkezésre áll. Például a szokásos videómegfigyelési rendszer felhasználható a viselkedési biometrikus rendszer megvalósításához.[8]
A biometrikus adatok az adatok különleges kategóriájába tartoznak. A különleges adatokat először a nemzetköz jogrend az Európa Tanács 1981. évi 108. számú adatvédelmi egyezményének 6. cikke definiálta, bár ez a fogalmi meghatározása még csak a faji eredetre, politikai véleményre, vallásos és más meggyőződésre, egészségre és szexuális életre vonatkozó személyes adatokra terjedt ki. A magyar jogalkotó ezt az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről szóló 1998. évi VI. törvénnyel implementálta.[9]
Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyé-
- 21/22 -
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
