Кредит: The Telegraph
Вакцинные паспорта должны стать нашим билетом на свободу, обеспечивая долгожданный путь к нормальности после скуки изоляции.
Страны по всему миру сейчас спешат разработать технологию, лежащую в их основе, а Великобритания должна начать свой обзор «сертификации» Covid в начале апреля.
Но в гонке за созданием приложения passports эксперты предупреждают, что мы можем поставить под угрозу нашу конфиденциальность и безопасность.
“Хотя это обеспечивает краткосрочное решение, долгосрочные проблемы потенциально опасны, если они не будут полностью устранены сейчас”, — предупреждает Джейк Мур, специалист по кибербезопасности ESET.
Исследователи безопасности указывают на проблемный запуск израильской системы паспортов вакцин в качестве ключевого примера того, чего следует избегать.
Приложение страны » зеленый пропуск”, которое используется с февраля, позволяет тем, кто уже перенес Covid-19 или был вакцинирован, посещать такие места, как спортивные залы и рестораны, предъявив код.
Однако было быстро обнаружено, что у приложения есть потенциальные проблемы с безопасностью, поскольку оно было построено с использованием устаревшего компьютерного кода. Первоначальная версия приложения также отправляла отзывы на личный адрес электронной почты сотрудника Министерства здравоохранения страны.
Паспорта вакцин в других странах
Израильская система green pass опирается на центральную правительственную базу данных, которая хранит и проверяет все данные о вакцинации. Эта система вдохновила Бориса Джонсона, который публично объявил о своем намерении разработать реплику приложения через несколько дней после запуска израильского программного обеспечения.
«Это область, где мы смотрим на новинку для нашей страны, у нас никогда не было ничего подобного раньше, мы никогда не думали о том, чтобы иметь что-то, что вы должны показать, чтобы пойти в паб или театр», — сказал он.
Однако эксперты предупреждают, что использование одной централизованной системы может привести к проблемам с хранением личной информации каждого человека в одном месте — привлекательной цели для хакеров.
“Часть проблемы в Израиле заключается в том, что у них есть эта центральная база данных”, — говорит Питер Япп, партнер юридической фирмы Schillings, который ранее работал в Национальном центре кибербезопасности, подразделении GCHQ. “Они также использовали некоторое шифрование, которое не обязательно является первоклассным шифрованием, поэтому может быть уязвимым. Они сделали это очень быстро.”
Лучшим вариантом, по мнению экспертов, было бы полагаться на децентрализованную базу данных, как это сделала Великобритания для отслеживания контактов с помощью программного обеспечения, созданного Apple и Google, которое хранило информацию на телефонах людей, а не на центральном сервере.
“С точки зрения конфиденциальности все это гораздо хуже в централизованной базе данных, потому что вы не знаете, где эти данные будут находиться, насколько безопасными они будут и с кем этими данными будут делиться”, — говорит Япп.
Однако создание такой базы данных-это не просто подвиг. Система, которая опирается на устройства людей для хранения данных, вероятно, будет гораздо сложнее разработать, чем просто иметь целую базу данных NHS с информацией о том, кто был и кто не был вакцинирован, и которая затем может предоставить компаниям доступ к этим данным.
Дискуссия идет не только о том, как будут храниться данные, но и о том, как заведения или рестораны смогут проверить полученные данные.
Многие из разрабатываемых систем полагаются на QR-коды, которые люди могут иметь на своих смартфонах или на физических картах. Центры смогут сканировать QR-код людей, который затем предоставит им информацию о том, получил ли кто-то вакцинацию или имел отрицательный тест Covid-19.
Но, говорит босс VST Enterprise Луис-Джеймс Дэвис, есть огромные подводные камни, чтобы полагаться на такую технологию.
“Есть много разных способов взломать QR-код”, — говорит он. Одним из самых популярных методов, используемых мошенниками, является то, что известно как “аттагинг”, когда действительные QR-коды заменяются клонированными, созданными плохими актерами, которые затем перенаправляют тех, кто сканирует коды, на веб-сайты, где их данные могут быть взломаны.
“Это то, чем является большая часть мошенничества в мире в настоящее время”, — говорит Дэвис.
Не только мошенники могут искать лазейки. Для многих британцев, отчаявшихся вернуться к нормальной жизни, может возникнуть искушение попытаться обойти системы, добавляет Дэвис.
“Если бы QR-коды использовались для паспортов вакцин паба, у одного человека мог бы быть подлинный паспорт вакцины, и все его друзья могли бы клонировать его, и они могли бы пойти в паб вместе”.
Паспорт вакцины в пабах
Некоторые компании рассматривают различные методы проверки прививок. Например, iProov и Mvine работают над поддерживаемым правительством проектом, который устранит необходимость в том, чтобы каждое отдельное место проведения независимо проверяло информацию, и вместо этого может потребовать от клиентов просто смотреть в камеру и использовать системы распознавания лиц, чтобы убедиться, что у них есть медицинские требования для входа.
Тем не менее, они тоже погрязли в противоречиях. Защитники конфиденциальности Big Brother Watch предупреждают, что схемы, основанные на биометрических данных, вызывают особую тревогу, поскольку “алгоритмы распознавания лиц страдают неточностью и имеют особые проблемы с точным распознаванием женщин и цветных людей”.
“Такие приложения, скорее всего, усугубят проблемы дискриминации и могут ошибочно помешать людям пользоваться своими правами и свободами.”
Более того, эксперты по вопросам конфиденциальности все больше беспокоятся о том, сколько данных хранится на отдельных лицах и как долго. “С юридической точки зрения это данные, связанные со здоровьем, и как таковые они привлекают дополнительный уровень защиты в соответствии с законом, что означает, что они могут быть использованы только для очень, очень конкретных целей с вашего согласия”, — говорит Эдуардо Устаран, партнер Hogan Lovells.
Правительственная система отслеживания контактов хранила данные только в течение 21 дня, прежде чем они были удалены с телефонов людей. Но информация о вакцинах может храниться не менее года, что увеличивает риск неправильного использования этих данных.
Проекты вакцинного паспорта финансируются компанией InnovateUK
“Чем больше данных мы передаем, тем больше возрастает риск неправильного использования данных”, — говорит Мур. “В мире, где персональные данные теперь твердо являются валютой выбора как для крупных компаний, так и для преступников, мы должны долго и упорно думать о том, какую личную информацию мы отдаем, а также с кем мы делимся ею.”
Его беспокоит то, что централизованная база данных может быть забыта через несколько лет, когда пандемия закончится, что приведет к потенциальной выгоде для любых киберпреступников, которым удастся проникнуть в нее.
Существует также тревожный потенциал фальсифицированных данных о вакцинах, когда преступники уже продают поддельные сертификаты вакцин всего за 150 долларов ОНЛАЙН. “Не всем понравится принимать вакцину Covid 19, и мы предоставляем доказательства того, что были вакцинированы”, — гласил онлайн-листинг фальшивого документа.
Какими бы привлекательными ни были паспорта вакцин, очевидно, что в ближайшие месяцы правительствам и компаниям-разработчикам программного обеспечения предстоит проделать значительную работу по преодолению своих недостатков.
Фиаско вокруг разработки системы отслеживания контактов в Великобритании, где страна потратила несколько месяцев в прошлом году на разработку собственной системы, прежде чем отказаться от нее и перейти на другую, построенную технологическими гигантами, должно послужить некоторым уроком.
Если с экспертами не проконсультироваться сразу, то разработка крупной схемы паспортов вакцин в Великобритании рискует стать еще одной дорогостоящей глупостью.
Свежие комментарии