Электронные ковид-сертификаты: доверять нельзя проверять
Правительства многих стран предоставили свои цифровые решения для подтверждения статуса вакцинации граждан. Однако у многих пользователей возникает вопрос: насколько безопасно использование этих решений, и не повлечет ли оно к массовой утечке персональных данных. УНИАН разбирался, какие цифровые документы о вакцинации существуют в зарубежных странах и в Украине, и какие уязвимости в них находят специалисты по кибербезопасности.
В последнее время украинское информпространство переполнено новостями о продаже фейковых ковид-сертификатов. Так, 29 октября полиция разоблачила винницкого предпринимателя, который за 7 тысяч гривень подделывал сертификаты и с помощью недобросовестных врачей вносил данные о якобы проведенной вакцинации в электронную систему Министерства здравоохранения. И хотя одного бизнесмена, промышляющего подделкой документов, правоохранителям удалось разоблачить, таких "умельцев" в Украине – сотни, а подобной схемой уже никого не удивишь.
Более изощренной и оттого резонансной схемой мошенничества стала фейковая "Дия" - в сети появился клон приложения Министерства цифровой трансформации, в котором можно было сгенерировать поддельные сертификаты о вакцинации и другие документы. Использовалось такое приложение для изменения даты рождения в паспорте (чтобы несовершеннолетние могли беспрепятственно покупать алкоголь и сигареты на кассах супермаркетов) и, соответственно, генерации несуществующих COVID-сертификатов.
"Конечно же, эти документы не валидируются через QR-код. И те, кто покупают подобные "сервисы", будьте осторожны: можно попасть под статью "подделка документов"", - комментировал появление клона "Дии" министр цифровой трансформации Михаил Федоров.
Предприимчивого хакера, разработавшего поддельное приложение, правоохранители нашли быстро. Им оказался 21-летний парень, чьи способности и навыки в IT по заслугам оценили в профильном украинском министерстве и предложили молодому специалисту испытательные работы по разработке дизайна социальных кампаний за вакцинацию и против употребления молодежью алкоголя. Кроме того, по словам Федорова, парень понесет за содеянное наказание, избранное судом.
Насколько правильным было решение отправить молодого преступника на "перевоспитание" в Минцифры – дискуссионный вопрос, однако, как бы там ни было, скорость, с которой правоохранителям удалось найти разработчика фейкового приложения доказывает – с поддельными электронными сертификатами о вакцинации бороться проще, чем с их бумажными аналогами.
УНИАН разбирался, какие цифровые документы о вакцинации существуют в зарубежных странах и, в свою очередь, в Украине, можно ли им доверять в контексте защиты персональных данных, и насколько серьезные уязвимости в них находят эксперты по кибербезопасности.
Лазейки в американском опыте
Многие страны разрабатывают свои приложения или другие удобные электронные решения для подтверждения статуса вакцинации своих граждан. В связи с этим государства столкнулись с новым вызовом: как реализовать необходимый функционал этих приложений с учетом безопасности и конфиденциальности данных.
Как сообщает специалист по кибербезопасности компании ESET Тони Анскомб, в частности, Нью-Йорк для своих жителей предлагает несколько вариантов подтверждения вакцинации: карточку вакцинации Центра по контролю и профилактике заболеваний (CDC), а также приложения Excelsior Pass и NYC COVID SAFE.
Карточка CDC предоставляется в бумажном виде и содержит имя, фамилию, дату рождения и информацию о типе полученной вакцины. И, как и в Украине, из-за проблем с идентификацией владельца такой карточки, предприимчивые американцы наладили модель реализации подделок – приобрести их можно было всего за 20 долларов.
Приложение NYC COVID SAFE продвинулось чуть дальше в контексте цифровизации, но не значительно – оно делает снимок карточки вакцинации и сохраняет его как изображение, которое потом используется в качестве цифровой записи. Проблема с корректной идентификацией владельца в этом варианте сохраняется.
Третий вариант – приложение Excelsior Pass, которое использует технологию блокчейн и шифрование для защиты конфиденциальности и безопасности личных данных. Пользователям необходимо зарегистрироваться, введя свои имя, дату рождения, почтовый индекс и номер телефона. После этого предоставляется доступ к статусу вакцинации пользователя в базе данных штата Нью-Йорк, и приложение создает пропуск с QR-кодом для сканирования.
Однако в этом пропуске отсутствует идентификация владельца устройства, как личности, которая получила прививку. Для такой проверки необходимо увидеть официальный документ, на котором есть фото человека, например, водительское удостоверение или паспорт. А подобный механизм открывает возможности для мошенничества, например, копии QR-кода могут быть взяты из другого устройства.
О разработке подобного приложения объявили и канадские власти, на данный момент их предложение включает вышеупомянутые данные и информацию о полученной вакцине.
Недавно представило свои мобильные приложения, которые позволят сохранять и проверять сертификаты вакцинации, и правительство Квебека. В одном из них специалисты ESET обнаружили уязвимость, которая позволяла программе распознавать недействительные QR-коды, и, таким образом, обманывать систему. Однако в дальнейших обновлениях операционных систем эта уязвимость была устранена.
Цифровизация по-украински
В Украине также есть свое приложение, в котором можно получить электронные сертификаты – "Дия".
По данным Министерства цифровой трансформации, которое является родоначальником украинского "Государства в смартфоне", по состоянию на начало октября свои цифровые электронные сертификаты в нем получили около 2,3 миллионов украинцев. Для сравнения, по данным Министерства здравоохранения Украины, как минимум, одну дозу вакцины на это время получили свыше 8 миллионов граждан.
На сегодня электронные сертификаты в Украине делятся на два типа: зеленые (выдаются гражданам, получившим две дозы вакцины) и желтые (для людей, привитых одной дозой, недавно переболевших, либо получивших негативный результат ПЛР-теста на коронавирус). Также министерство тестирует специальные детские сертификаты.
С момента появления сертификатов вакцинации в "Дие", на профильное министерство тут же обрушился шквал критики из-за того, что сервера не справлялись с нагрузкой, и приложение сбоило: выбивало пользователей, либо подтягивало документы лишь с энной попытки. Кроме того, многие пользователи не с первого раза могли разобраться в том, как работает технология.
"Отличие ковидных сертификатов от всех других документов, которые есть в "Дие", в том, что это первый медицинский документ. А согласно украинскому законодательству, это чувствительная информация, и получить ее возможно только за подписью. Сфера доверительных услуг развивалась таким образом, что в Украине не было удобного инструмента для подписи документов на мобильном приложении, то есть технология Mobile ID не развивалась, технологии Smart ID не было. Поэтому мы запустили такую технологию, как "Дия.Подпись" - это когда биометрия вашего лица сравнивается с фото в реестре. Это не Face ID, когда телефон самостоятельно запоминает тебя, а затем проверяет. Это когда ты когда-то делал (еще до появления министерства, еще до появления "Дии", возможно, 7 лет назад) биометрический паспорт или ID-карту, и зафиксированная биометрия сегодня проверяется через камеру смартфона и приложение "Дия". Это новая технология, и она подразумевает определенные движения головой. Поэтому новизна была еще в том, чтобы научить людей использовать эту технологию", - рассказывал министр Федоров в интервью УНИАН.
Кроме того, значительная часть сбоев при загрузке сертификатов была связана с врачебными ошибками, которые были внесены в базу при заполнении деклараций. Другая же часть – из-за непонимания ряда пользователей, как же правильно: обновить приложение перед загрузкой сертификатов, или заново загрузить из магазина. Споры на этот счет тянутся до сих пор.
Как утверждают в Минцифре, львиная доля проблем, связанных с загрузкой ковидных сертификатов, на сегодня устранена. И учитывая, что приложение "Дия" хранит в себе не только медицинские данные пользователей, но и идентифицирует украинцев по ID-карте либо заграничному паспорту, те лазейки, которые используют американские мошенники при подделке сертификатов в приложении Excelsior Pass, в Украине пока не были обнаружены.
"На самом деле, цифровые документы более безопасны, чем бумажные, блуждающие по интернету. И благодаря им, если кто-то пытается что-то сломать, можно выходить на след мошенников и разоблачать схемы. Вообще, когда кто-то хочет привязать к какой-то проблемной ситуации "Дию", эта проблема автоматически становится нашей, потому что мы заботимся о бренде "Дия", и начинаем подключать правоохранительные органы для того, чтобы решать вопросы", - отметил Федоров.
Безопасность превыше всего
Как отмечают в компании ESET, какое бы решение не предложили правительства или поставщики медицинских услуг, оно должно по умолчанию отвечать требованиям относительно конфиденциальности и безопасности данных. При этом, решение одновременно должно предоставлять достаточно данных для проверки факта получения прививки.
В частности, как сообщают специалисты по кибербезопасности, если пользователь планирует использовать цифровой сертификат вакцинации, ему следует обратить внимание на несколько ключевых моментов.
Читайте такжеУ украинцев начнут отбирать купленные COVID-сертификаты
Прежде всего, при создании электронного ковид-сертификата должно проверяться соответствие медицинским документам. А для создания сертификата должны использоваться только необходимые данные: имя, дата рождения и дата прививки, которых достаточно для подтверждения вакцинации. В случае необходимости идентификация личности может осуществляться с помощью другого источника, например, водительского удостоверения.
Важно обращать внимание на то, что соединения и любые сохраненные данные должны быть зашифрованы, а в политике конфиденциальности, как добавляют специалисты, должна быть указана цель приложения, а также то, что личная информация не передается третьим лицам.
Приложение или другое цифровое решение не должно отслеживать расположение или собирать какие-либо данные о владельце, кроме тех, которые необходимы для улучшения работы приложения. Кроме того, приложение должно запрашивать подтверждение у владельца документа при сканировании сертификата для проверки.
И ключевой совет от экспертов в сфере кибербезопасности - для загрузки программы следует использовать только официальные источники, такие как Apple App Store или Google Play Store. К слову, фейковая "Дия", разработанная хакером, отправившимся на "перевоспитание" к Федорову, не смогла быть загружена на официальные магазины приложений – мошенники отправляли желающим ее установить ссылку на apk-файл.
…Как бы там ни было, очевидно, что до тех пор, пока мифы о вреде вакцинации не будут окончательно развенчаны в обществе и люди не перестанут искать обходные пути в виде покупки "липовых" сертификатов, мошенники продолжат зарабатывать на хлеб созданием поддельных документов. А подделать бумажку с подписью врача – куда проще, нежели цифровой сертификат, загруженный в государственное мобильное приложение. Потому именно за цифровыми решениями будущее, главное, чтобы разработчики вовремя реагировали на уязвимости, находимые специалистами, а наказание за попытку взлома было суровым и неотвратимым.