Articol publicat in Marketwatch din Aprilie 2007 sub titlul Comisia Europeana discuta despre reglementarea RFID
Ce este RFID ?
RFID (Radio-frequency Identification- Identificarea prin Radio Frecventa) este, conform Wikipedia, o metoda de indentificare automata ce se bazeaza pe inmagazinarea si transmiterea de date utilizand un dispozitiv de emisie-receptie numit RFID. Un dispozitiv RFID este un obiect care se poate atasa sau incorpora intr-un produs, animal sau persoana, cu scopul de a fi indentificabil prin unde radio. Dispozitivul pe care se bazeaza RFID contine un cip silicon si o antena. Exista RFID pasive (ce nu au nevoie de o sursa interna de energie) si active (cu propria sursa de energie interna). RFID este, practic, un sistem de identificare asemanator tehnologiei cu cod de bare.
Tehnologia RFID a fost inventata acum peste 60 de ani, dar a inceput sa fie din ce in ce mai folosita si in Europa, pe scara larga in ultimii ani, atat de firme private in special pentru etichetarea produselor, dar si de guverne care introduc taguri RFID in documentele de identificare (pasapoarte, carte de identitate, etc.) Conform estimarilor Comisiei Europene, peste 600 de milioane de taguri RFID au fost vandute in 2005, iar estimarile arata ca in 2016 ar putea fi vandute de 450 de ori mai multe. Valoarea intregii piete a RFID (incluzand sistemele si serviciile) in UE a fost de 2.2 miliarde de euro si ea ar putea ajunge la 20.8 miliarde de euro in numai 10 ani.
In aceste conditii sunt de inteles activitatile desfasurate de Comisia Europeana, lansate la CEBIT in 2006, care au cuprins o serie de intalniri privind aplicatiile RFID, reactia consumatorilor, standarde si interoperabilitate, dar si eventuale cerinte de management al spectrului de radio-frecvente. Exista insa si cateva controverse legate de cipurile RFID si care se axeaza pe cateva categorii cheie.
Securitatea RFID
Lipsa securitatii in tagurile RFID a fost deseori subiectul conferintelor specialistilor in securitate, ei fiind contrazisi de fiecare data de producatorii de taguri RFID care sustin ca aceste probleme au fost deja depasite. In martie 2006, in cadrul conferintei RSA din San Jose, Adi Shamir a aratat ca se pot depasi mecanismele de securitate in tagurile RFID prin trimiterea unei parole gresite catre un tag de 8 biti care ar rezulta in utilizarea de energie suplimentara. Industria a replicat ca deja exista cipuri cu securitate pe 32 de biti, care ar mari numarul de optiuni la o parola de la 256 la 4 miliarde.
In aprilie 2006 cercetatorii Melanie Rieback si Patrick Simpson, impreuna cu Andy Tanenbaum, de la Univesitatea Libera din Amsterdam, au dovedit posibilitatea de a introduce virusi in tagurile RFID. Iar in acelasi an un expert de securitate german, Lukas Grunwald, a facut o demonstratie la o conferinta in Las Vegas despre cum se pot clona noile pasapoarte germane care au integrate cipuri RFID pentru o mai buna securitate.
Smart Card Alliance a contrazis rezultatele, aratand ca, chiar daca datele de pe cip nu sunt incriptate, acesta este semnat digital de autoritatea care emite pasaportul si, deci, orice modificare ar fi vizibila la un control. Noile pasapoarte emise de Marea Britanie la sfarsitul lui 2006 au incriptat datele stocate in tagurile RFID. Dar codurile de securitate au fost “sparte” in mai putin de 48 de ore.
Utilizarea RFID si viata privata
Exista numeroase studii care discuta si modul cum tagurile RFID pot afecta viata privata a persoanelor. In ceea ce priveste produsele etichetate, cel ce cumpara un anumit bun poate sa nu stie de existenta tag-ului sau de posibilitatea de eliminare. Mai mult, tag-ul poate fi citit de la distanta fara ca tu sa stii de aceasta. Posibilitatea ca oricine cu un cititor RFID sa identifice persoanele dupa obiectele pe care le poarta sau le poseda, a fost subliniata si de raportul Economist Intelligence Unit „RFID Comes of Age“. Autorii au sugerat necesitatea ca tagurile RFID sa fie dezactivate la iesirea din magazine.
Probleme si mai serioase sunt puse de implantarea cipurilor RFID la oameni. Nu este vorba de SF, Autoritatea Americana federala pentru Medicamente si Alimente (Food and Drug Administration – FDA) a permis inca din 2004 implementarea de taguri RFID pasive in unii pacienti (sub piele). Cipul nu ar contine date medicale, ci stocheaza un numar unic care permite identificarea lor rapida intr-o anumita aplicatie software medicala. Aceleasi implanturi sunt folosite si de clubul Baja Beach din Barcelona, pentru abonatii care nu mai vor sa stea la coada.
Exista si critici din partea grupurilor religioase care considera ca tagurile RFID vor permite identificarea umana care duc la numarul Diavolului 666 prevazut in Apocalipsa.
Consultarile Comisiei Europene
Avand in vedere si problemele expuse mai sus, Comisia Europeana a decis sa deschida o serie de consultari care sa identifice daca este necesara o reglementare unitara a RFID, care sa nu fie o bariera in dezvoltarea sectorului, ci insa sa impulsioneze introducerea RFID. O parte dintre probleme, cum ar fi de exemplu standardizarea pentru interoperabilitate si alocarea radio-frecventelor comune in Statele Membre UE vor depinde de auto-reglementare si de organismele de standardizare din Europa.
Exista in acelasi timp si o serie de probleme de interes public, in special cele legate de protectia datelor si securitate, unde Comisia a propus un chestionar public care sa ajute la realizarea unui consens cu privire la chestiunile tehnice, juridice si etice, legate de RFID si, daca este necesar, sa intervina cu masuri de reglementare.
Chestionarul, la care au raspuns peste 2200 de persoane fizice si juridice, a aratat ca doar 15 % dintre cei care au raspuns considera ca problemele RFID trebuie lasate doar industriei pentru auto-reglementare. In schimb 55% dintre respondenti si-au aratat ingrijorarea fata de problemele legate de viata privata si au cerut ca legile sa fie schimbate astfel incat informatia colectata de firme sau guverne sa nu faca obiectul unui abuz. Comisarul European pentru Societate Informationala, Viviane Reding, care a sustinut activ acest proces, considera ca unele masuri pentru rezolvarea acestor temeri pot fi etichetarea corecta a tagurilor si mai multa transparenta in ceea ce priveste riscurile si oportunitatile RFID.
Rezultate
Ca urmare a intregului proces amintit, dna Reding a anuntat in acest an la CEBIT o comunicare oficiala a Comisiei cu privire la RFID care se axeaza pe urmatoarele decizii:
- Crearea in 2007 a unui Grup de Lucru RFID, unde vor participa experti in securitate si protectia datelor, industria RFID, cercetatori din domeniul academic impreuna cu alte institutii, cum ar fi Grupul de Lucru Articolul 29 din domeniul protectiei datelor personale. Scopul Grupului de Lucru este de a asigura asistenta Comisiei in realizarea unei politici privind aplicatiile RFID;
- Realizarea pana la jumatatea lui 2007 a unor amendamente la Directiva privind protectia datelor personale in sectorul comunicatiilor electonice (Directiva 2002/58/EC din 12 iulie 2002, implementata in Romania prin legea 506/2004). Amendamentele vor include aspecte privind aplicatiile RFID.
- Publicarea pana la finalul lui 2007 a unei Recomandari privind securitatea datelor si respectarea vietii private pentru aplicatiile RFID. Recomandarea va clarifica modul cum directivele privind protectia datelor cu caracter personal se aplica in cazul RFID.
- Analizarea impreuna cu Grupul de Lucru a efectelor sociale si economice ale RFID si altor tehnologii, in special cu privire la viata privata, incredere si guvernare, care sa produca pana la finalul lui 2008 o evaluare a optiunilor de politici si nevoia pentru alte masuri legislative.
Dupa cum se vede, Comisia pare a fi destul de ocupata in urmatoarea perioada pe problema RFID. Cum Romania este deja parte a UE, se poate sa se participe activ si la aceste propuneri, din partea sectorului guvernamental, privat, academic sau al societatii civile. In caz contrar, vom primi doar rezultatele discutiilor intr-o directiva pe care va trebui sa o implementam in legislatia nationala.