Unia Europejska zapowiada wprowadzenie od połowy czerwca br. tak zwanych paszportów covidowych, pozwalających na swobodne przekraczanie granic. Będzie to możliwe – zdaniem władz UE – dzięki ujednoliceniu systemu zaświadczeń o odbytym szczepieniu. Czy system będzie bezpieczny? Dziś każdy kraj posiada własne formaty zaświadczeń, które można sfałszować. Sprzedaż fałszywych certyfikatów kwitnie w darknecie oraz kanałach Telegram – ostrzega firma Check Point Software Technologies.
Pod koniec marca 2021 roku, komisarz Unii Europejskiej ds. rynku wewnętrznego Thierry Breton poinformował, że trwają prace nad paszportem szczepionkowym, czyli oficjalnym dokumentem Unii Europejskiej potwierdzającym odbycie szczepień. Dokument powinien być dostępny zarówno w formie papierowej, jak i elektronicznej i nie będzie obowiązkowy. Dokument ten będzie jednak wymagany w przypadku podróży i powinien być wsparciem m.in. dla przeżywającego kryzys sektora turystyki. Ostatecznie pomysł został poparty 29 kwietnia przez posłów Parlamentu Europejskiego.
Fałszywe certyfikaty szczepień dostępne w darknecie i w kanałach Telegram
Rosnącym problemem okazują się być fałszywe certyfikaty szczepień oraz negatywne testy na obecność SARS-Cov-2. Eksperci firmy Check Point Software wskazują na rosnącą ilość ofert fałszywych certyfikatów w darknecie oraz kanałach aplikacji Telegram.
Fałszywe dokumenty sygnowane były głównie przez Centers for Disease Control and Prevention (CDC), a ich cena wynosiła około 200 dolarów za sztukę. Eksperci Check Pointa poinformowali również o dostępności fałszywych testów COVID-19 z wynikiem ujemnym, kosztujących jedynie 25 dolarów. Co ciekawe, część sprzedawców oferuje promocję „3 w cenie 2”, zachęcającą do zakupu większej ilości tego typu zaświadczeń. Niektóre z nich można wygenerować automatycznie w mniej niż 30 minut, co z pewnością będzie kuszącą propozycją dla osób chcących sprawnie (choć nielegalnie) podróżować w dobie pandemii.
Jak poinformował portal Rynek Zdrowia, Polska Straż Graniczna, która sprawdza zaświadczenia o szczepieniu i wyniki testów, ujawniła kilka prób wykorzystania fałszywych dokumentów przy przekraczaniu granicy. Zdaniem ppor. Piotra Zakielarza, często są to znakomicie podrobione dokumenty i tylko czasem przypadek decyduje o wykryciu fałszerstwa.
Odpowiednio przygotowany paszport covidowy powinien być również remedium na tego typu incydenty. Warto jednak zwrócić uwagę na całą architekturę weryfikującą autentyczność paszportu, nie można przecież wykluczyć, że pojawią się próby podrobienia niewdrożonego jeszcze dokumentu. Obawy może budzić również chęć zhakowania przez cyberprzestępców systemów straży granicznej np. dzięki wykorzystaniu kodów QR.
– Fałszywe certyfikaty czy paszporty Covid stwarzają możliwości uzyskania dużych zysków dla cyberprzestępców, ponieważ granice UE otwierają się dla podróżowania po trzeciej fali. Sytuacja ta będzie się utrzymywać do czasu wprowadzenia globalnego, w pełni zabezpieczonego systemu certyfikacji – Oded Vanunu, szef działu podatności produktów w Check Point Software Technologies.
Takie rozwiązanie mogłoby być również odpowiedzią na możliwość sfałszowania dokumentu, ponieważ zapewniałoby połączenie bezpośrednio z bazą danych osób zaszczepionych. Jak do tej pory władze unijne potwierdziły, że świadectwa szczepień będą weryfikowane, by zapobiec oszustwom i fałszerstwom, podobnie jak autentyczność pieczęci elektronicznych umieszczonych na dokumencie.
Okazuje się jednak, że dane osobowe uzyskane z „paszportów” nie będą mogły być przechowywane w docelowych państwach członkowskich i nie powstanie centralna baza danych na szczeblu UE. Wykaz podmiotów, które będą przetwarzać i otrzymywać dane, będzie jawny, tak by obywatele mogli korzystać z praw do ochrony danych przysługujących im na mocy ogólnego rozporządzenia o ochronie danych.
Tymczasem Financial Times zwracał uwagę na problem bezpieczeństwa nowych paszportów covidowych, powołując się na słowa Carmeli Troncoso, profesor Ecole Polytechnique Federale de Lausanne, która zaznaczyła, że jest zszokowana brakiem szyfrowania dla tego rozwiązania i dodała, że nie nic nie stało na przeszkodzie, by upewnić się, że aplikacja nie będzie rejestrować danych.