Microsoft analyseert hoe een ethische IT-winkel te runnen

Microsoft President Brad Smith nam de ongebruikelijke stap van het publiceren van een blogpost op vrijdag 13 juli 2018, waarin hij de overheid vroeg om technologie te reguleren die zijn eigen bedrijf ontwikkelt. Die techniek is gezichtsherkenning en Smith ziet al het gevaar in het toestaan ​​van onbelemmerd gebruik van een dergelijke mogelijkheid, vooral door overheden. Maar Smith wees er ook op dat het misbruik van gezichtsherkenning in de particuliere sector even schokkende gevolgen kan hebben.

Een paar dagen later publiceerde de Association for Computing Machinery (ACM) op haar website de ACM Ethische en professionele gedragscode, een nieuwe gedragscode die vergelijkbaar is met die van Microsoft, maar die veel breder is in zijn dekking van ethisch gedrag in de informatietechnologie (IT). Wat beide functies gemeen hebben, is het idee om een ​​hoog niveau van bedrijfsverantwoordelijkheid te handhaven. Dat is iets dat veel IT-professionals proberen te negeren en overlaten aan mensen hoger in de voedselketen - een houding die zowel ongelukkig als gevaarlijk is.

Smith maakt zich in zijn blogpost zorgen over het misbruik van gezichtsherkenning. Hij realiseert zich dat, zelfs in grote campussen die zijn georganiseerd rond de huidige technologie, met name beveiligingstokens zoals die worden gebruikt door veel systemen voor identiteitsbeheer, het mogelijk is om heel goed bij te houden waar mensen zijn en van daaruit fretten op wat ze doen. Maar met gezichtsherkenning is het mogelijk om individuen uit elke menigte overal te onderscheiden, en niet alleen hun verblijfplaats te volgen, maar ook records bij te houden waar ze zijn gebaseerd op weinig gegevens, afgezien van hun fysieke kenmerken. Zoals Smith opmerkt, vindt dergelijke tracking al in China plaats. Smith vraagt ​​een commissie om het gebruik en de gevolgen van gezichtsherkenning in de Verenigde Staten te bestuderen.

Gezichtsherkenning als een betrouwbare vorm van ID

Het is duidelijk dat in veel gevallen 24x7 monitoring van iemands bewegingen illegaal is in de VS, zoals blijkt uit recente beslissingen van het Amerikaanse Hooggerechtshof over het gebruik van locatietracking van mobiele telefoons en het gebruik van GPS-apparaten zonder een bevel. Maar dat betekent niet dat een of ander bureau het ergens niet zal proberen.

Evenzo is er geen twijfel dat gezichtsherkenning zo ver is gevorderd dat het kan worden gebruikt als een betrouwbare vorm van identificatie (ID). Sommige luchtvaartmaatschappijen testen al gezichtsherkenning voor het passeren van beveiligingslijnen en voor gebruik in instapvliegtuigen op Los Angeles International Airport (LAX). Evenzo, toen ik vorige maand terugkeerde naar Washington, DC tijdens een vlucht vanuit Londen, was het enige dat ik nodig had om de VS binnen te komen een beeld van mijn gezicht door een camera en een scan van mijn vingerafdrukken terwijl mijn paspoort werd gescand door een lezer.

Gezichtsherkenning: volgende stappen

Dus de vraag is, wat is de volgende stap? Als IT-professional, stel dat u werd gevraagd om een ​​gezichtsherkenningssysteem voor uw werkgever te creëren dat mensen zou identificeren die het bedrijf niet op hun eigendom of terrein wilde. Misschien hadden ze een slechte cheque doorstaan, werden ze verdacht van winkeldiefstal of waren ze een werknemer die ontslagen was.

Wat zou jij doen? Dit zijn allemaal goede redenen om een ​​persoon niet in uw winkel of op uw eigendom toe te laten. De kans is groot dat u er geen problemen mee zult hebben om foto's van hen te vinden, dus het herkenningssysteem moet ze gemakkelijk kunnen identificeren. Dus wat nu?

Dit is het onderdeel van uw besluitvormingsproces, waarin u moet beslissen hoe u gezichtsherkenning of andere biometrische gegevens gebruikt, als onderdeel van uw beveiligingsbeleid. Dit is niet zo gek als je reactie op een malware-melding van een van je eindpuntbeschermingsknooppunten. Deze reacties kunnen niet gemakkelijk worden geautomatiseerd. Dus, zou je alarm slaan? Pagina van de facility manager? Alert beveiliging? Bel de politie? Het antwoord op een van deze vragen kan ja zijn, maar het kan ook nee zijn - en het nemen van de verkeerde beslissing kan een carrière-eindigende fout zijn.

7 tips voor verstandig gebruik van gezichtsherkenning

Hier zijn enkele tips die kunnen helpen de kans op problemen te verkleinen en toch uw organisatie te beschermen:

Plaats mededelingen waar bezoekers en werknemers hen zullen zien en laat hen weten dat u bewakingsvideo en gezichtsherkenning gebruikt als onderdeel van uw beveiligingsoperatie. (Uw advocaten helpen u graag met de daadwerkelijke taal.)

Zorg ervoor dat er een mens in de lus zit voordat er actie wordt ondernomen op basis van een soort biometrische ID. Hoewel het beter wordt, is gezichtsherkenning, net als andere biometrische gegevens, niet 100 procent betrouwbaar. Voordat u actie onderneemt, moet iemand bevestigen wat het herkenningssysteem zegt. (Werk samen met uw juridische afdeling en senior management om dit in kaart te brengen.)

Herken de beperking van uw gezichts- of biometrische ID-systeem. De huidige technologie voor gezichtsherkenning werkt bijvoorbeeld het beste bij blanke mannen, maar niet zo goed bij niet-witte vrouwen. Je moet ervoor zorgen dat je niet onbedoeld raciale profilering uitvoert. Denk aan het verdriet dat bedrijven zijn overkomen, van CVS tot Starbucks, toen ze, opzettelijk of niet, precies dat deden. (Al met al een zeer goede discussie met uw juridische team.)

Zorg ervoor dat er een "Oeps" -procedure is. U zult verkeerde ID's hebben, dus u moet ervoor zorgen dat ze de persoon of het bedrijf niet in verlegenheid brengen. (Nogmaals, zowel de advocaten van uw bedrijf als het senior management moeten hier wegen.)

Bepaal vooraf waar u de resultaten van uw ID-controles gaat delen. Je kunt niet alles naar verschillende overheidsinstanties sturen. U moet bepalen wat u kunt delen, wat u niet kunt delen en wat een bevelschrift vereist. Zorg er vervolgens voor dat uw interne procedures sterk zijn, zodat uw werknemers niet proberen om gunst te vragen door te delen wat niet zou moeten worden gedeeld. (Dit is waarschijnlijk een langer gesprek met uw advocaten, dus bestel een pizza.)

Test uw ID-systemen voortdurend met de bekendste gegevenssets, zodat u de herkenning nauwkeuriger kunt maken. (Uw leverancier van gezichtsherkenning moet dergelijke gegevenssets beschikbaar hebben en na verloop van tijd kunt u er zelf een bouwen.)

• Wees ten slotte voorzichtig op wie u zich richt voor erkenning. Leden van het publiek hebben sterke privacyrechten, en uw schending van die rechten kan uw organisatie duur kosten. (Wat denk je? Meer tijd voor advocaten.)

Hoewel uw bedrijf geen controle heeft over wat de overheid besluit te doen aan gezichtsherkenning, wat waarschijnlijk niets is gezien de disfunctionele atmosfeer in Washington DC tegenwoordig, kunt u wel bepalen wat er op uw eigen terrein gebeurt. In feite wordt van je verwacht dat je ooit voor een rechter komt te staan. Het volgen van de ethische principes van de ACM om eerlijk en betrouwbaar te zijn en maatregelen te nemen om niet te discrimineren en tegelijkertijd de privacy te beschermen, is belangrijker dan ooit geworden.