The Taliban reportedly have control of US biometric devices – a lesson in life-and-death consequences of data privacy

Margaret Hu, Penn State

In the wake of the Taliban’s takeover of Kabul and the ouster of the Afghan national government, alarming reports indicate that the insurgents could potentially access biometric data collected by the U.S. to track Afghans, including people who worked for U.S. and coalition forces.

Afghans who once supported the U.S. have been attempting to hide or destroy physical and digital evidence of their identities. Many Afghans fear that the identity documents and databases storing personally identifiable data could be transformed into death warrants in the hands of the Taliban.

This potential data breach underscores that data protection in zones of conflict, especially biometric data and databases that connect online activity to physical locations, can be a matter of life and death. My research and the work of journalists and privacy advocates who study biometric cybersurveillance anticipated these data privacy and security risks.

Biometric-driven warfare

Investigative journalist Annie Jacobson documented the birth of biometric-driven warfare in Afghanistan following the terrorist attacks on Sept. 11, 2001, in her book “First Platoon.” The Department of Defense quickly viewed biometric data and what it called “identity dominance” as the cornerstone of multiple counterterrorism and counterinsurgency strategies. Identity dominance means being able to keep track of people the military considers a potential threat regardless of aliases, and ultimately denying organizations the ability to use anonymity to hide their activities.

By 2004, thousands of U.S. military personnel had been trained to collect biometric data to support the wars in Afghanistan and Iraq. By 2007, U.S. forces were collecting biometric data primarily through mobile devices such as the Biometric Automated Toolset (BAT) and Handheld Interagency Identity Detection Equipment (HIIDE). BAT includes a laptop, fingerprint reader, iris scanner and camera. HIIDE is a single small device that incorporates a fingerprint reader, iris scanner and camera. Users of these devices can collect iris and fingerprint scans and facial photos, and match them to entries in military databases and biometric watchlists.

In addition to biometric data, the system includes biographic and contextual data such as criminal and terrorist watchlist records, enabling users to determine if an individual is flagged in the system as a suspect. Intelligence analysts can also use the system to monitor people’s movements and activities by tracking biometric data recorded by troops in the field.

By 2011, a decade after 9/11, the Department of Defense maintained approximately 4.8 million biometric records of people in Afghanistan and Iraq, with about 630,000 of the records collected using HIIDE devices. Also by that time, the U.S. Army and its military partners in the Afghan government were using biometric-enabled intelligence or biometric cyberintelligence on the battlefield to identify and track insurgents.

In 2013, the U.S. Army and Marine Corps used the Biometric Enrollment and Screening Device, which enrolled the iris scans, fingerprints and digital face photos of “persons of interest” in Afghanistan. That device was replaced by the Identity Dominance System-Marine Corps in 2017, which uses a laptop with biometric data collection sensors, known as the Secure Electronic Enrollment Kit.

Over the years, to support these military objectives, the Department of Defense aimed to create a biometric database on 80% of the Afghan population, approximately 32 million people at today’s population level. It is unclear how close the military came to this goal.

More data equals more people at risk

In addition to the use of biometric data by the U.S. and Afghan military for security purposes, the Department of Defense and the Afghan government eventually adopted the technologies for a range of day-to-day governmental uses. These included evidence for criminal prosecution, clearing Afghan workers for employment and election security.

In addition, the Afghan National ID system and voter registration databases contained sensitive data, including ethnicity data. The Afghan ID, the e-Tazkira, is an electronic identification document that includes biometric data, which increases the privacy risks posed by Taliban access to the National ID system.

Before falling to the Taliban, the Afghan government made extensive use of biometric security, including scanning the irises of people like this woman who applied for passports.
AP Photo/Rahmat Gul

It’s too soon after the Taliban’s return to power to know whether and to what extent the Taliban will be able to commandeer the biometric data once held by the U.S. military. One report suggested that the Taliban may not be able to access the biometric data collected through HIIDE because they lack the technical capacity to do so. However, it’s possible the Taliban could turn to longtime ally Inter-Services Intelligence, Pakistan’s intelligence agency, for help getting at the data. Like many national intelligence services, ISI likely has the necessary technology.

Another report indicated that the Taliban have already started to deploy a “biometrics machine” to conduct “house-to-house inspections” to identify former Afghan officials and security forces. This is consistent with prior Afghan news reports that described the Taliban subjecting bus passengers to biometric screening and using biometric data to target Afghan security forces for kidnapping and assassination.

[Get our best science, health and technology stories. Sign up for The Conversation’s science newsletter.]

Concerns about collecting biometric data

For years following 9/11, researchers, activists and policymakers raised concerns that the mass collection, storage and analysis of sensitive biometric data posed dangers to privacy rights and human rights. Reports of the Taliban potentially accessing U.S. biometric data stored by the military show that those concerns were not unfounded. They reveal potential cybersecurity vulnerabilities in the U.S. military’s biometric systems. In particular, the situation raises questions about the security of the mobile biometric data collection devices used in Afghanistan.

The data privacy and cybersecurity concerns surrounding Taliban access to U.S. and former Afghan government databases are a warning for the future. In building biometric-driven warfare technologies and protocols, it appears that the U.S. Department of Defense assumed the Afghan government would have the minimum level of stability needed to protect the data.

The U.S. military should assume that any sensitive data – biometric and biographical data, wiretap data and communications, geolocation data, government records – could potentially fall into enemy hands. In addition to building robust security to protect against unauthorized access, the Pentagon should use this as an opportunity to question whether it was necessary to collect the biometric data in the first instance.

Understanding the unintended consequences of the U.S. experiment in biometric-driven warfare and biometric cyberintelligence is critically important for determining whether and how the military should collect biometric information. In the case of Afghanistan, the biometric data that the U.S. military and the Afghan government had been using to track the Taliban could one day soon – if it’s not already – be used by the Taliban to track Afghans who supported the U.S.The Conversation

Margaret Hu, Professor of Law and of International Affairs, Penn State

This article is republished from The Conversation under a Creative Commons license. Read the original article.

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Per favorire la lettura dell’articolo postiamo questa traduzione automatica svolta con google translator. Il testo di riferimento dell’articolo che vale rimane quello originale in lingua inglese pubblicato sopra.

 

Secondo quanto riferito, i talebani hanno il controllo dei dispositivi biometrici statunitensi: una lezione sulle conseguenze di vita o di morte della privacy dei dati

 

Sulla scia dell’acquisizione di Kabul da parte dei talebani e della cacciata del governo nazionale afghano, rapporti allarmanti indicano che gli insorti potrebbero potenzialmente accedere ai dati biometrici raccolti dagli Stati Uniti per rintracciare gli afgani, comprese le persone che lavoravano per gli Stati Uniti e le forze della coalizione.

Gli afgani che un tempo sostenevano gli Stati Uniti hanno cercato di nascondere o distruggere le prove fisiche e digitali della loro identità. Molti afghani temono che i documenti di identità e le banche dati che contengono dati personali possano essere trasformati in condanne a morte nelle mani dei talebani.

Questa potenziale violazione dei dati sottolinea che la protezione dei dati nelle zone di conflitto , in particolare i dati biometrici e i database che collegano l’attività online a luoghi fisici, può essere una questione di vita o di morte. La mia ricerca e il lavoro di giornalisti e sostenitori della privacy che studiano la sorveglianza informatica biometrica hanno anticipato questi rischi per la privacy e la sicurezza dei dati.

Guerra guidata dalla biometria

Copertina del libro che mostra un'impronta digitale sovrapposta al titolo e un'immagine di quattro soldati

‘First Platoon’ documenta lo sforzo del Dipartimento della Difesa degli Stati Uniti di identificare, monitorare, catalogare e controllare le persone in Afghanistan. cortesia Penguin Random House

La giornalista investigativa Annie Jacobson ha documentato la nascita della guerra biometrica in Afghanistan dopo gli attacchi terroristici dell’11 settembre 2001, nel suo libro ” First Platoon “. Il Dipartimento della Difesa ha rapidamente visto i dati biometrici e ciò che ha chiamato “dominio dell’identità” come la pietra angolare di molteplici strategie antiterrorismo e controinsurrezionali. Il dominio dell’identità significa essere in grado di tenere traccia delle persone che i militari considerano una potenziale minaccia indipendentemente dagli alias e, in definitiva, negare alle organizzazioni la possibilità di utilizzare l’anonimato per nascondere le proprie attività.

Nel 2004, migliaia di militari statunitensi erano stati addestrati a raccogliere dati biometrici per sostenere le guerre in Afghanistan e Iraq. Nel 2007, le forze statunitensi stavano raccogliendo dati biometrici principalmente attraverso dispositivi mobili come il set di strumenti automatizzati biometrici (BAT) e l’ attrezzatura per il rilevamento dell’identità tra le agenzie (HIIDE). BAT include un laptop, lettore di impronte digitali, scanner dell’iride e fotocamera. HIIDE è un unico piccolo dispositivo che incorpora un lettore di impronte digitali, uno scanner dell’iride e una fotocamera. Gli utenti di questi dispositivi possono raccogliere scansioni dell’iride e delle impronte digitali e foto del viso e abbinarle alle voci nei database militari e nelle watchlist biometriche.

Oltre ai dati biometrici, il sistema include dati biografici e contestuali come record di watchlist criminali e terroristici, consentendo agli utenti di determinare se un individuo è segnalato nel sistema come sospetto. Gli analisti dell’intelligence possono anche utilizzare il sistema per monitorare i movimenti e le attività delle persone monitorando i dati biometrici registrati dalle truppe sul campo.

Entro il 2011, un decennio dopo l’11 settembre, il Dipartimento della Difesa ha mantenuto circa 4,8 milioni di record biometrici di persone in Afghanistan e Iraq, con circa 630.000 dei record raccolti utilizzando dispositivi HIIDE. Inoltre, a quel tempo, l’esercito degli Stati Uniti e i suoi partner militari nel governo afghano stavano usando l’intelligence biometrica o la cyberintelligence biometrica sul campo di battaglia per identificare e rintracciare gli insorti.

Nel 2013, l’esercito e il corpo dei marine degli Stati Uniti hanno utilizzato il dispositivo di registrazione e screening biometrico , che ha registrato le scansioni dell’iride, le impronte digitali e le foto digitali del volto di “persone di interesse” in Afghanistan. Quel dispositivo è stato sostituito dall’Identity Dominance System-Marine Corps nel 2017, che utilizza un laptop con sensori di raccolta dati biometrici, noto come Secure Electronic Enrollment Kit .

Nel corso degli anni, per supportare questi obiettivi militari, il Dipartimento della Difesa ha puntato a creare un database biometrico sull’80% della popolazione afgana , circa 32 milioni di persone al livello della popolazione odierna. Non è chiaro quanto i militari si siano avvicinati a questo obiettivo.

Più dati equivalgono a più persone a rischio

Oltre all’uso di dati biometrici da parte delle forze armate statunitensi e afgane per scopi di sicurezza, il Dipartimento della Difesa e il governo afghano hanno infine adottato le tecnologie per una serie di usi governativi quotidiani. Questi includevano prove per procedimenti penali, liberando i lavoratori afghani per l’occupazione e la sicurezza elettorale .

Inoltre, il sistema di identificazione nazionale afghano e i database di registrazione degli elettori contenevano dati sensibili, inclusi dati sull’etnia . L’ID afghano, l’ e-Tazkira , è un documento di identificazione elettronico che include dati biometrici , il che aumenta i rischi per la privacy posti dall’accesso dei talebani al sistema di identificazione nazionale.

Prima di cadere nelle mani dei talebani, il governo afghano ha fatto ampio uso della sicurezza biometrica, compresa la scansione dell’iride di persone come questa donna che hanno chiesto il passaporto. AP Photo/Rahmat Gul

È troppo presto dopo il ritorno al potere dei talebani per sapere se e fino a che punto i talebani saranno in grado di requisire i dati biometrici un tempo in possesso dell’esercito americano. Un rapporto ha suggerito che i talebani potrebbero non essere in grado di accedere ai dati biometrici raccolti tramite HIIDE perché non hanno la capacità tecnica per farlo . Tuttavia, è possibile che i talebani si rivolgano all’alleato di lunga data Inter-Services Intelligence, l’agenzia di intelligence del Pakistan, per ottenere aiuto per ottenere i dati. Come molti servizi di intelligence nazionali, l’ISI ha probabilmente la tecnologia necessaria.

Un altro rapporto ha indicato che i talebani hanno già iniziato a schierare una “macchina biometrica” per condurre “ispezioni casa per casa” per identificare ex funzionari e forze di sicurezza afgane. Ciò è coerente con i precedenti notiziari afgani che descrivevano i talebani che sottoponevano i passeggeri degli autobus a uno screening biometrico e utilizzavano i dati biometrici per colpire le forze di sicurezza afgane per rapimenti e assassinii.

Ricevi le nostre migliori storie di scienza, salute e tecnologia. Iscriviti alla newsletter scientifica di The Conversation .]

Preoccupazioni sulla raccolta di dati biometrici

Per anni dopo l’11 settembre, ricercatori, attivisti e responsabili politici hanno sollevato preoccupazioni sul fatto che la raccolta, l’archiviazione e l’analisi di massa di dati biometrici sensibili rappresentassero pericoli per i diritti alla privacy e ai diritti umani . I rapporti sui talebani che accedono potenzialmente ai dati biometrici statunitensi conservati dai militari mostrano che tali preoccupazioni non erano infondate. Rivelano potenziali vulnerabilità della sicurezza informatica nei sistemi biometrici delle forze armate statunitensi. In particolare, la situazione solleva interrogativi sulla sicurezza dei dispositivi mobili di raccolta dati biometrici utilizzati in Afghanistan.

Le preoccupazioni sulla privacy dei dati e sulla sicurezza informatica che circondano l’accesso dei talebani ai database degli Stati Uniti e dell’ex governo afghano sono un avvertimento per il futuro. Nella creazione di tecnologie e protocolli di guerra basati sulla biometria, sembra che il Dipartimento della Difesa degli Stati Uniti abbia assunto che il governo afghano avrebbe avuto il livello minimo di stabilità necessario per proteggere i dati.

Le forze armate statunitensi dovrebbero presumere che qualsiasi dato sensibile – dati biometrici e biografici, dati e comunicazioni di intercettazioni telefoniche, dati di geolocalizzazione, registri governativi – potrebbe potenzialmente cadere nelle mani del nemico. Oltre a creare una solida sicurezza per proteggere da accessi non autorizzati, il Pentagono dovrebbe sfruttare questa opportunità per chiedersi se fosse necessario raccogliere i dati biometrici in prima istanza.

Comprendere le conseguenze indesiderate dell’esperimento statunitense nella guerra guidata dalla biometria e nella cyberintelligence biometrica è di fondamentale importanza per determinare se e come i militari dovrebbero raccogliere informazioni biometriche. Nel caso dell’Afghanistan, i dati biometrici che le forze armate statunitensi e il governo afghano hanno utilizzato per rintracciare i talebani potrebbero un giorno, se non lo sono già, essere utilizzati dai talebani per rintracciare gli afgani che hanno sostenuto gli Stati Uniti.