Szczepienia przeciwko covid-19 bez wątpienia mogą być naszą przepustką do normalności i szansą na to, by powrócić do rzeczywistości sprzed pandemii. Sporo wątpliwości budzą jednak aplikacje z kodami QR, które mają poświadczać to, że zostaliśmy zaszczepieni przeciw SARS-CoV-2. W jaki sposób mogą one wpływać na bezpieczeństwo naszych danych osobowych? Sprawdzamy, na co warto zwrócić uwagę.
Do czego może być nam potrzebny tzw. "paszport covidowy" i jak działa rządowa aplikacja "Zaszczepieni"?
Programista ujawnia, do jakich informacji można mieć dostęp na podstawie kodów QR dla osób zaszczepionych przeciwko covid-19
E-bezpieczeństwo w czasach covid-19: jak aplikacje dla zaszczepionych mogą wykorzystywać nasze dane osobowe?
Dlaczego po szczepieniu na COVID nie powinniśmy udostępniać w sieci zaświadczeń z naszymi danymi osobowymi?
Kwestia dostępu do szczepionki przeciwko covid-19 w Polsce jest na tyle problematyczna, że priorytetem dla każdego nieuprzywilejowanego obywatela (nie polityka i nie celebryty) jest przede wszystkim to, by doczekać się pierwszej i drugiej dawki przeznaczonego dla nas preparatu dowolnej firmy.
Takimi "banałami" jak rządowe aplikacje poświadczające to, że się zaszczepiliśmy, w sumie mało kto się przejmuje. Niestety dane osobowe, do których można mieć przez nie dostęp, wkrótce mogą powiedzieć o nas dużo więcej niż byśmy chcieli. Zwłaszcza jeśli zostaną wykorzystane nie tak, jak pierwotnie zakładano. Co wzbudziło zastrzeżenia doświadczonych programistów zajmujących się bezpieczeństwem w sieci?
Czym jest "paszport covidowy" i jak działa aplikacja "Zaszczepieni"?
Choć tzw. "paszporty covidowe", czyli dokumenty poświadczające przyjęcie przez nas szczepionki przeciwko covid-19 są na razie przede wszystkim przedmiotem globalnej dyskusji, to jednak same aplikacje potwierdzające, że zostaliśmy zaszczepieni, są już ogólnodostępne.
W Polsce można skorzystać z rekomendowanej przez Ministerstwo Zdrowia aplikacji "Zaszczepieni", którą posiadacze smartfonów mogą ściągnąć bezpłatne z App Store lub Google Play.
Jakie dane osobowe będą udostępniane przez kody QR zaszczepionych przeciwko covid-19?
Od pewnego czasu wiadomo, że każdy, kto zostanie zaszczepiony przeciwko covid-19 (po drugiej dawce) może dostać w punkcie szczepień specjalne zaświadczenie z potwierdzeniem przyjęcia szczepionki oraz wydruk z kodem QR.
Można też skorzystać ze specjalnej aplikacji, która ma spełniać funkcję mobilnej wersji Internetowego Konta Pacjenta (IPK). Certyfikat szczepień może być zaś przeniesiony do aplikacji mObywatel. Po co to wszystko?
Zgodnie z rządową rekomendacją:
Kod QR dla zaszczepionych wcale nie jest anonimowy?
Jak wyjaśnia informatykzakładowy.pl, czyli doświadczony programista Tomasz Zieliński, który dokonał dokładnej analizy rządowej aplikacji "Zaszczepieni" (dzięki informacjom i skanom otrzymanym bezpośrednio od Polaków zaszczepionych dwoma dawkami szczepionki przeciwko covid-19) w oficjalnym opisie działania tego systemu:
Na niebezpieczeństwa związane z przetwarzaniem informacji o zaszczepionych w rządowych aplikacjach zwracają też uwagę internauci.
— Uwaga! QR-kod zawiera dane jednoznacznie identyfikujące zaszczepionego! (...) W systemach Ministerstwa Zdrowia identyfikator szczepienia jest powiązany jednoznacznie z konkretnym człowiekiem! Nikogo po stronie administracji niczego nie nauczyła burza z ProteGO Safe, a teraz wydali apkę służąca do nieznanych celów. Nie instalujcie tej podejrzanej aplikacji — czytamy w komentarzach na stronie, z której można pobrać aplikację “Zaszczepieni”.
— Potwierdzamy, że kod QR jest jednoznacznie powiązany z elektroniczną kartą szczepień funkcjonującą w ramach systemu informacji medycznej P1. Między innymi dlatego aplikacja "Zaszczepieni" nie zapisuje i nie przekazuje danych osób weryfikowanych, zgodnie z https://ezdrowie.gov.pl/ — odpowiedziało Centrum e-Zdrowia. Na szczegóły dotyczące funkcjonowania tego systemu eksperci nie byli jednak tak chętni do wyjaśnień.
— Rozumiem, że jeśli osoba kaszląc z gorączką utratą węchu i smaku wejdzie na oddział szpitalny celem otrzymania należytej pomocy, której od roku Polacy nie mają, to dzięki kodowi QR i statusie osoby zaszczepionej tą pomoc otrzyma bez wahania, pomiaru temperatury i wypełniania ankiet covidowych? — zapytał jeden z zainteresowanych tym tematem internautów.
— Pytanie bez związku z działaniem aplikacji — uznali specjaliści nie podając żadnych dodatkowych informacji.
Ściągnij aplikację, a potem posługuj się kodem QR na... kartce papieru
Zdania na temat działania aplikacji “Zaszczepieni” są co najmniej podzielone, ale trudno się oprzeć wrażeniu, że pozytywnie na jej temat wypowiadają się tylko jej twórcy z Centrum e-Zdrowia i politycy. Internauci nie zostawiają na niej suchej nitki. Zwłaszcza że jej działanie jest dosyć niedorzeczne.
Okazuje się bowiem, że użytkownik tej aplikacji może uzyskać dostęp do kodu QR tylko jeśli wcześniej… wydrukuje sobie zaświadczenie z IKP (Internetowego Konta Pacjenta), a potem zeskanuje go aparatem w smartfonie.
Problem w tym, że takiego pliku nie da się zapisać, bo apka “Zaszczepieni” służy tylko do weryfikacji kodu i nie ma prawa do żadnych innych funkcjonalności.
Zapis w wersji cyfrowej takich danych ma być dostępny tylko w aplikacji mObywatel, która jest częścią tzw. profilu zaufanego i może przechowywać takie dane.
Co to oznacza w tłumaczeniu z rządowego “cyfrowego” na język polski?
Wychodzi na to, że Polacy zachęcani są do udostępniania swoich danych w rekomendowanej przez władze aplikacji (stworzonej za publiczne pieniądze), która do niczego mu się na razie nie przyda. W praktyce bowiem i tak będzie można się posłużyć głównie wydrukowanym w tradycyjny sposób kodem QR na… kartce papieru.
Do czego potrzebne nam e-zaświadczenie o szczepieniu na covid-19?
Narodowy Program Szczepień wprowadził specjalny status tzw. osoby zaszczepionej. Ma to na celu przede wszystkim ułatwienie podróżowania i przemieszczania się po świecie osób, które przeszły szczepienia przeciwko covid-19 i mogłyby być ewentualnie zwolnione z konieczności przechodzenia kwarantanny przy przekraczaniu granic w wybranych miejscach. Ale to nie wszystko.
Za pomocą aplikacji poświadczającej, że jesteśmy zaszczepieni przeciwko covid-19, moglibyśmy znacznie skracać czas oczekiwania na ewentualny zabieg medyczny w szpitalach czy przychodniach lekarskich.
Oczywiście wszystko zgodnie z prawem, poszanowaniem RODO i wszelkich innych kwestii, które mogłyby naruszyć nasze bezpieczeństwo. Tyle mówi teoria.
W praktyce dane udostępniane za pośrednictwem takich systemów, mogą być wykorzystane w celach innych niż medyczne, w tym także do... śledzenia obywateli i wykorzystania zdobytych danych na potrzeby komercyjne i polityczne — tak przynajmniej działo się do tej pory w Chinach, które przodują na świecie pod względem wykorzystania takiej technologii (jeszcze przed pandemią wykorzystywali kody QR w aplikacjach m.in. do inwigilowania Ujgurów — czyli prześladowanej od lat mniejszości etnicznej wyznającej islam).
Bez wylegitymowania się kodem poświadczającym, czy nie jesteśmy zakażeni, nie można było np. wejść do wybranych stref w wielu miastach na terenie Chin ani niemal w ogóle przemieszczać się po tym kraju.
Obrońcy praw człowieka z całego świata (m.in. cytowany przez BBC dyrektor wykonawczy Human Rights Watch Kenneth Roth) od pewnego czasu ostrzegają, że systemy oparte na kodach QR mogą posłużyć do zwiększenia politycznej kontroli nad społeczeństwem.
Takie zarzuty stawiano głównie pod adresem chińskiego rządu, który już na początku pandemii covid-19 bardzo sprawnie wykorzystał aplikacje z kodami QR do monitorowania źródeł transmisji koronawirusa (a przy okazji do inwigilowania obywateli i sprawdzania co robią, jak się przemieszczają co kupują, jakie transakcje zawierają itp.).
W Polsce też nie obyło się bez wpadek (na mniejszą skalę i nieco bardziej prozaicznych). Jakiś czas temu było głośno o rządowej farsie z aplikacją ProteGO, którą w mediach społecznościowych rekomendowali... nieistniejący profesorowie, czyli trolle podszywające się pod nikomu nieznanych ekspertów. Po co zadano sobie tyle trudu do takiej formy promocji?
Naukowcy rekomendują szczepionki na COVID, a kto czuwa nad aplikacjami dla zaszczepionych?
Nie ulega wątpliwości, że kwestia zaszczepienia przeciwko covid-19 jak największej liczby ludzi jest w tej chwili priorytetem w skali globalnej. Przy okazji obywatelom oferuje się jednak nowe rozwiązania technologiczne, które — w przeciwieństwie do szczepionek — oprócz zapewnień władz i polityków nie posiadają właściwie żadnych rekomendacji uznanych instytutów naukowych, stowarzyszeń czuwających nad e-bezpieczeństwem itp. Do czego to może doprowadzić?
W założeniu aplikacje z kodami QR dla zaszczepionych mogą tylko pomóc nam w walce z pandemią covid-19 — co byłoby chwalebne i absolutnie godne pochwały. Niestety nie można wykluczyć, że udostępnianie danych osobowych na nasz temat niesie ze sobą całkiem sporo zagrożeń dla naszego bezpieczeństwa, dlatego wymaga odpowiedniej ochrony.
Wbrew pozorom kwestie e-bezpieczeństwa w czasach, gdy większa część społeczeństwa działa online, może mieć dużo większe znaczenie niż się nam jeszcze do niedawna zdawało — nawet w przypadku aplikacji dla zaszczepionych czy innych form potwierdzających drogą elektroniczną fakt, że przyjęliśmy szczepionkę Pfizera czy Moderny.
W Polsce nadal zupełnie nieznane są takie problemy jak np. kradzież tożsamości na podstawie zhakowanych danych osobowych zawartych w naszych dokumentach. W Stanach Zjednoczonych skutki takich działań cyberprzestępców liczone są... w miliardach dolarów.
Co roku kilkanaście milionów obywateli USA pada ofiarą takich nieuczciwych działań, które mogą doprowadzić do tego, że niemal z dnia na dzień można stracić dostęp do kont bankowych, a nawet stać się bezdomnym, jeśli np. bank zajmie nasze mieszkanie kupione na kredyt.
Zaszczepiłeś się na covid-19? Nie udostępniaj w sieci swoich danych
Niestety wielu ludzi na całym świecie nie zdaje sobie sprawy z tego, że chwaląc się w mediach społecznościowych niektórymi informacjami można bardzo łatwo stać się ofiarą cyberoszustów. Po tym, jak w wielu krajach rozpoczęto masowe programy szczepień, wielu obywateli udostępniało na Facebooku czy Twitterze zdjęcia z formularzami potwierdzającymi, że zażyli szczepionkę.
W Stanach Zjednoczonych wydano już oficjalne ostrzeżenia wzywające ludzi do zaprzestania publikowania w sieci własnych kart szczepień z pełnym zestawem tzw. danych wrażliwych, które mogą zostać wykorzystane m.in. do kradzieży tożsamości przez cyberprzestępców. Niestety takie sytuacje zdarzały się zarówno w przypadku seniorów, jak i medyków, którzy byli szczepieni w pierwszej kolejności przed resztą społeczeństwa.
Co będzie dalej z "paszportami covidowymi" i czy sprowadzą się one głównie do smartfonowych "apek" z kodami QR, które będziemy skanować np. przed wejściem na pokład samolotów czy na lotniska? Wszystko wyjaśni się najprawdopodobniej w ciągu kilku najbliższych miesięcy, najpewniej najwcześniej przed rozpoczęciem letnich wakacji 2021 roku (lub jeszcze później).
Ze względu na to, że aplikacje wykorzystujące kody QR budzą sporo kontrowersji dotyczących wykorzystania tak wrażliwych danych osobowych, jakimi są informacje o naszym stanie zdrowia, ciągle pojawiają się nowe pomysły na to, w jaki sposób umożliwić legitymowanie się przyjęciem drugiej dawki szczepionki na covid-19. Jednym z nich są np. specjalne karty, za pomocą których można potwierdzić zażycie dwóch dawek szczepionki przeciwko SARS-CoV-2. Takie rozwiązanie proponowane jest już m.in. na Gibraltarze:
Aplikacja mobilna „Zaszczepieni” umożliwia potwierdzenie, że ktoś, kto pokazuje nam kod QR, jest rzeczywiście zaszczepiony.
Aplikacja sprawdza ważność i poprawność kodu QR osoby zaszczepionej. Pokazuje też podstawowe dane o jego właścicielu, w tym:
— nasze imiona,
— pierwszą literę nazwiska
— oraz dzień i miesiąc urodzin.
Dzięki temu można sprawdzić, że jest to kod osoby, która go okazuje.
Osoba, która pokazuje do skanowania kod QR, wyraża zgodę na przetwarzanie danych osobowych zawartych w kodzie.
Brakuje choć jednej wzmianki, że QR-kod zawiera dane jednoznacznie identyfikujące zaszczepionego.
Niekompletna data urodzenia i inicjał nazwiska na ekranie i wydruku PDF pozostawiają mylne wrażenie, że QR-kod zawiera dane w większości zanonimizowane.