Aadhaar-infrastructuurfouten gedetailleerd in CAG-auditrapport in UIDAI-functioneren; HCL, HP genoemd naar problemen


Comptroller and Auditor General of India (CAG) heeft een gedetailleerd rapport gepubliceerd over het functioneren van Unique Identification Authority of India (UIDAI) waarin het heeft gewezen op een lijst met gebreken in de Aadhaar-infrastructuur. Het rapport onderstreept ook de valkuilen in het proces van het genereren van unieke identificatienummers voor Indiase inwoners via het systeem dat in 2009 werd geïntroduceerd en in 2016 een afzonderlijke juridische ondersteuning kreeg voor het Aadhaar-systeem. Naast het wijzen op de problemen, noemt het rapport HCL Infosystems en HP als twee van de particuliere entiteiten achter enkele van de grootste IT-problemen in de Aadhaar-infrastructuur.

De 108 pagina’s tellend rapport dat is voorbereid voor indiening aan de president, bevat een aantal gebreken die van invloed zijn op de Aadhaar infrastructuur. Het omvatte de beoordeling van het unieke ID-systeem geïmplementeerd door de UIDAI die plaatsvonden tussen 2014-15 en 2018-19.

Een van de grootste problemen die het CAG-rapport onderstreepte in het Aadhaar-systeem, zijn dubbele inschrijvingen waarbij: HCL Infosystemen is aangegeven een primaire rol te hebben. Het IT-bedrijf werd in augustus 2012 aangesteld als Managed Service Provider voor het afhandelen van de end-to-end-infrastructuur van UIDAI. Het werkt samen met particuliere leveranciers die automatische biometrische identificatiesystemen leveren om duplicatie in de gegevens te helpen identificeren.

UIDAI heeft een proces in twee stappen om dubbele inschrijvingen te identificeren, waarbij de eerste fase overeenkomt met demografische gegevens en de tweede fase zoekt naar biometrische matching van vingerafdruk en iris.

Het rapport zei dat het knooppunt van Aadhaar vertrouwt op zelfverklaring om de status van ‘Ingezetene’ van aanvragen te verifiëren op het moment van hun inschrijving. Het maakt het dus mogelijk om de uitgifte van Aadhaar-kaarten aan “niet-bonafide ingezetenen” toe te staan, zoals blijkt uit de audit uitgevoerd door CAG.

Er is ook op gewezen dat het deduplicatieproces door UIDAI kwetsbaar is voor het genereren van meerdere Aadhaar-nummers. CAG suggereerde dat de autoriteit dit probleem zou kunnen oplossen door handmatige interventies.

Het rapport benadrukte dat UIDAI geen regionale kantoorgegevens kon verstrekken over het aantal meerdere Aadhaar, omdat dit niet beschikbaar was bij de autoriteit. Het regionale kantoor van de UIDAI in Bengaluru toonde echter 5.38.815 gevallen van meerdere Aadhaar-nummers tussen 2015-16 en 2019-20. Gevallen van unieke ID-nummers met dezelfde biometrische gegevens voor verschillende bewoners werden volgens het rapport ook gemeld in het regionale kantoor van Bengaluru.

CAG merkte ook op dat UIDAI tot juli 2016 HP verantwoordelijk voor het opslaan van de fysieke records die door individuen zijn verstrekt op het moment van inschrijving. Tijdens de audit is gebleken dat alle Aadhaar-nummers die zijn opgeslagen in de UIDAI-database niet werden ondersteund met documenten.

De constitutionele autoriteit zei dat ondanks het feit dat UIDAI zich bewust was van het feit dat niet alle Aadhaar-nummers waren gekoppeld aan de persoonlijke informatie van hun houders, UIDAI “de exacte omvang van de mismatch nog moest identificeren, hoewel er bijna tien jaar zijn verstreken sinds de uitgifte van de eerste Aadhaar” in januari 2009.

Er werd ook vastgesteld dat er de afgelopen jaren een groot aantal vrijwillige biometrische updates plaatsvonden, wat erop wijst dat het niet mogelijk is om nauwkeurige biometrische gegevens vast te leggen tijdens inschrijvingen.

Het rapport wees er ook op dat UIDAI niet in staat was om de infrastructuur en technologische ondersteuning te verifiëren die wordt geclaimd door derden die het indienen van identiteitsinformatie voor Aadhaar-verificatie aanbieden.

Sinds de lancering is Aadhaar gebruikt als identificatiebron om gebruik te maken van welzijnsregelingen die door de overheid worden aangeboden. Telecomoperators en banken hebben ook Aadhaar-nummers nodig om de inschrijvingen van klanten voor hun diensten te vergemakkelijken. Dit alles leidde tot een enorme groei van Aadhaar-kaarthouders in het land. Het aantal loopt op dit moment op tot meer dan een miljard.

Het rapport merkte echter op dat UIDAI nog geen beleid voor gegevensarchivering heeft ontwikkeld waarmee het effectief gegevens kan verplaatsen die niet langer actief in gebruik zijn.

Entiteiten die Aadhaar-verificatie gebruiken blijken ook niet gebonden te zijn om de persoonlijke gegevens van bewoners op te slaan in een aparte kluis.

UIDAI verplichtte Aadhaar-kluisvereisten voor alle authenticatie-gebruikersbureaus en e-KYC-gebruikersbureaus in juli 2017. De CAG-audit suggereerde echter dat de autoriteit “geen maatregelen/systemen had vastgesteld om te bevestigen dat de betrokken entiteiten zich aan de procedures hielden” voor het opzetten van kluizen om gegevens van bewoners op te slaan.

Het auditrapport onderstreept ook de mazen in het beperken van authenticatiebureaus om alleen beveiligde apparaten te gebruiken om biometrische gegevens en handtekeningen van Aadhaar-kaarthouders op te slaan. Verder suggereert het dat UIDAI ervoor heeft gekozen om geen van de particuliere entiteiten waarmee het samenwerkt te straffen en in plaats daarvan contracten te herstructureren.

“Er waren gebreken in het beheer van verschillende contracten die door UIDAI waren aangegaan. Het besluit om af te zien van boetes voor aanbieders van biometrische oplossingen was niet in het belang van de Autoriteit, waardoor de aanbieders van oplossingen onrechtmatig werden bevoordeeld door een onjuist bericht van aanvaarding van slechte kwaliteit van de door hen vastgelegde biometrie”, aldus het rapport.

Gadgets 360 heeft contact opgenomen met UIDAI, HCL Infosystems en HP voor hun commentaar op het rapport. Dit artikel wordt bijgewerkt wanneer de entiteiten reageren.

Veiligheidsproblemen, privacybezorgdhedenen infrastructurele gebreken met Aadhaar werden in het verleden vrij goed gerapporteerd. UIDAI heeft echter nog geen grote updates voor zijn systeem gebracht.


Leave a Reply

Your email address will not be published.