Правительства многих стран предоставили свои цифровые решения для подтверждения статуса вакцинации граждан. Однако у многих пользователей возникает вопрос: насколько безопасно использование этих решений, и не повлечет ли оно к массовой утечке персональных данных. УНИАН разбирался, какие цифровые документы о вакцинации существуют в зарубежных странах и в Украине, и какие уязвимости в них находят специалисты по кибербезопасности.

В последнее время украинское информпространство переполнено новостями о продаже фейковых ковид-сертификатов. Так, 29 октября полиция разоблачила винницкого предпринимателя, который за 7 тысяч гривень подделывал сертификаты и с помощью недобросовестных врачей вносил данные о якобы проведенной вакцинации в электронную систему Министерства здравоохранения. И хотя одного бизнесмена, промышляющего подделкой документов, правоохранителям удалось разоблачить, таких «умельцев» в Украине – сотни, а подобной схемой уже никого не удивишь.

Более изощренной и оттого резонансной схемой мошенничества стала фейковая «Дия» — в сети появился клон приложения Министерства цифровой трансформации, в котором можно было сгенерировать поддельные сертификаты о вакцинации и другие документы. Использовалось такое приложение для изменения даты рождения в паспорте (чтобы несовершеннолетние могли беспрепятственно покупать алкоголь и сигареты на кассах супермаркетов) и, соответственно, генерации несуществующих COVID-сертификатов.

«Конечно же, эти документы не валидируются через QR-код. И те, кто покупают подобные «сервисы», будьте осторожны: можно попасть под статью «подделка документов»», — комментировал появление клона «Дии» министр цифровой трансформации Михаил Федоров.

Предприимчивого хакера, разработавшего поддельное приложение, правоохранители нашли быстро. Им оказался 21-летний парень, чьи способности и навыки в IT по заслугам оценили в профильном украинском министерстве и предложили молодому специалисту испытательные работы по разработке дизайна социальных кампаний за вакцинацию и против употребления молодежью алкоголя. Кроме того, по словам Федорова, парень понесет за содеянное наказание, избранное судом.

Насколько правильным было решение отправить молодого преступника на «перевоспитание» в Минцифры – дискуссионный вопрос, однако, как бы там ни было, скорость, с которой правоохранителям удалось найти разработчика фейкового приложения доказывает – с поддельными электронными сертификатами о вакцинации бороться проще, чем с их бумажными аналогами.

УНИАН разбирался, какие цифровые документы о вакцинации существуют в зарубежных странах и, в свою очередь, в Украине, можно ли им доверять в контексте защиты персональных данных, и насколько серьезные уязвимости в них находят эксперты по кибербезопасности.

Лазейки в американском опыте

Многие страны разрабатывают свои приложения или другие удобные электронные решения для подтверждения статуса вакцинации своих граждан. В связи с этим государства столкнулись с новым вызовом: как реализовать необходимый функционал этих приложений с учетом безопасности и конфиденциальности данных.

Как сообщает специалист по кибербезопасности компании ESET Тони Анскомб, в частности, Нью-Йорк для своих жителей предлагает несколько вариантов подтверждения вакцинации: карточку вакцинации Центра по контролю и профилактике заболеваний (CDC), а также приложения Excelsior Pass и NYC COVID SAFE.

Карточка CDC предоставляется в бумажном виде и содержит имя, фамилию, дату рождения и информацию о типе полученной вакцины. И, как и в Украине, из-за проблем с идентификацией владельца такой карточки, предприимчивые американцы наладили модель реализации подделок – приобрести их можно было всего за 20 долларов.

Приложение NYC COVID SAFE продвинулось чуть дальше в контексте цифровизации, но не значительно – оно делает снимок карточки вакцинации и сохраняет его как изображение, которое потом используется в качестве цифровой записи. Проблема с корректной идентификацией владельца в этом варианте сохраняется.

Читайте также Федоров о динамике подписок на «Дию»: добавились миллионы пользователей из-за COVID-сертификатов

Третий вариант – приложение Excelsior Pass, которое использует технологию блокчейн и шифрование для защиты конфиденциальности и безопасности личных данных. Пользователям необходимо зарегистрироваться, введя свои имя, дату рождения, почтовый индекс и номер телефона. После этого предоставляется доступ к статусу вакцинации пользователя в базе данных штата Нью-Йорк, и приложение создает пропуск с QR-кодом для сканирования.

Однако в этом пропуске отсутствует идентификация владельца устройства, как личности, которая получила прививку. Для такой проверки необходимо увидеть официальный документ, на котором есть фото человека, например, водительское удостоверение или паспорт. А подобный механизм открывает возможности для мошенничества, например, копии QR-кода могут быть взяты из другого устройства.

О разработке подобного приложения объявили и канадские власти, на данный момент их предложение включает вышеупомянутые данные и информацию о полученной вакцине.

Недавно представило свои мобильные приложения, которые позволят сохранять и проверять сертификаты вакцинации, и правительство Квебека. В одном из них специалисты ESET обнаружили уязвимость, которая позволяла программе распознавать недействительные QR-коды, и, таким образом, обманывать систему. Однако в дальнейших обновлениях операционных систем эта уязвимость была устранена.

Цифровизация по-украински

В Украине также есть свое приложение, в котором можно получить электронные сертификаты – «Дия».

По данным Министерства цифровой трансформации, которое является родоначальником украинского «Государства в смартфоне», по состоянию на начало октября свои цифровые электронные сертификаты в нем получили около 2,3 миллионов украинцев. Для сравнения, по данным Министерства здравоохранения Украины, как минимум, одну дозу вакцины на это время получили свыше 8 миллионов граждан.

На сегодня электронные сертификаты в Украине делятся на два типа: зеленые (выдаются гражданам, получившим две дозы вакцины) и желтые (для людей, привитых одной дозой, недавно переболевших, либо получивших негативный результат ПЛР-теста на коронавирус). Также министерство тестирует специальные детские сертификаты.

С момента появления сертификатов вакцинации в «Дие», на профильное министерство тут же обрушился шквал критики из-за того, что сервера не справлялись с нагрузкой, и приложение сбоило: выбивало пользователей, либо подтягивало документы лишь с энной попытки. Кроме того, многие пользователи не с первого раза могли разобраться в том, как работает технология.

«Отличие ковидных сертификатов от всех других документов, которые есть в «Дие», в том, что это первый медицинский документ. А согласно украинскому законодательству, это чувствительная информация, и получить ее возможно только за подписью. Сфера доверительных услуг развивалась таким образом, что в Украине не было удобного инструмента для подписи документов на мобильном приложении, то есть технология Mobile ID не развивалась, технологии Smart ID не было. Поэтому мы запустили такую технологию, как «Дия.Подпись» — это когда биометрия вашего лица сравнивается с фото в реестре. Это не Face ID, когда телефон самостоятельно запоминает тебя, а затем проверяет. Это когда ты когда-то делал (еще до появления министерства, еще до появления «Дии», возможно, 7 лет назад) биометрический паспорт или ID-карту, и зафиксированная биометрия сегодня проверяется через камеру смартфона и приложение «Дия». Это новая технология, и она подразумевает определенные движения головой. Поэтому новизна была еще в том, чтобы научить людей использовать эту технологию», — рассказывал министр Федоров в интервью УНИАН.

Кроме того, значительная часть сбоев при загрузке сертификатов была связана с врачебными ошибками, которые были внесены в базу при заполнении деклараций. Другая же часть – из-за непонимания ряда пользователей, как же правильно: обновить приложение перед загрузкой сертификатов, или заново загрузить из магазина. Споры на этот счет тянутся до сих пор.

Как утверждают в Минцифре, львиная доля проблем, связанных с загрузкой ковидных сертификатов, на сегодня устранена. И учитывая, что приложение «Дия» хранит в себе не только медицинские данные пользователей, но и идентифицирует украинцев по ID-карте либо заграничному паспорту, те лазейки, которые используют американские мошенники при подделке сертификатов в приложении Excelsior Pass, в Украине пока не были обнаружены.

«На самом деле, цифровые документы более безопасны, чем бумажные, блуждающие по интернету. И благодаря им, если кто-то пытается что-то сломать, можно выходить на след мошенников и разоблачать схемы. Вообще, когда кто-то хочет привязать к какой-то проблемной ситуации «Дию», эта проблема автоматически становится нашей, потому что мы заботимся о бренде «Дия», и начинаем подключать правоохранительные органы для того, чтобы решать вопросы», — отметил Федоров.

Безопасность превыше всего

Как отмечают в компании ESET, какое бы решение не предложили правительства или поставщики медицинских услуг, оно должно по умолчанию отвечать требованиям относительно конфиденциальности и безопасности данных. При этом, решение одновременно должно предоставлять достаточно данных для проверки факта получения прививки.

В частности, как сообщают специалисты по кибербезопасности, если пользователь планирует использовать цифровой сертификат вакцинации, ему следует обратить внимание на несколько ключевых моментов.

Читайте также У украинцев начнут отбирать купленные COVID-сертификаты

Прежде всего, при создании электронного ковид-сертификата должно проверяться соответствие медицинским документам. А для создания сертификата должны использоваться только необходимые данные: имя, дата рождения и дата прививки, которых достаточно для подтверждения вакцинации. В случае необходимости идентификация личности может осуществляться с помощью другого источника, например, водительского удостоверения.

Важно обращать внимание на то, что соединения и любые сохраненные данные должны быть зашифрованы, а в политике конфиденциальности, как добавляют специалисты, должна быть указана цель приложения, а также то, что личная информация не передается третьим лицам.

Приложение или другое цифровое решение не должно отслеживать расположение или собирать какие-либо данные о владельце, кроме тех, которые необходимы для улучшения работы приложения. Кроме того, приложение должно запрашивать подтверждение у владельца документа при сканировании сертификата для проверки.

И ключевой совет от экспертов в сфере кибербезопасности — для загрузки программы следует использовать только официальные источники, такие как Apple App Store или Google Play Store. К слову, фейковая «Дия», разработанная хакером, отправившимся на «перевоспитание» к Федорову, не смогла быть загружена на официальные магазины приложений – мошенники отправляли желающим ее установить ссылку на apk-файл.

…Как бы там ни было, очевидно, что до тех пор, пока мифы о вреде вакцинации не будут окончательно развенчаны в обществе и люди не перестанут искать обходные пути в виде покупки «липовых» сертификатов, мошенники продолжат зарабатывать на хлеб созданием поддельных документов. А подделать бумажку с подписью врача – куда проще, нежели цифровой сертификат, загруженный в государственное мобильное приложение. Потому именно за цифровыми решениями будущее, главное, чтобы разработчики вовремя реагировали на уязвимости, находимые специалистами, а наказание за попытку взлома было суровым и неотвратимым.

Если вы заметили ошибку, выделите ее мышкой и нажмите Ctrl+Enter