Při kontrole očkování se posílají osobní údaje, hrozí jejich únik. ‚Bráníme se krádeži identity,‘ tvrdí úřad
Podle úvah politiků a expertů by v budoucnu mohlo každému přinášet určité výhody či úlevy. Potvrzení o očkování proti koronaviru, jímž by se lidé měli prokazovat, obsahuje jméno, rodné číslo a číslo občanského průkazu. Jeho součástí je i takzvaný QR kód, citlivé údaje v něm ale nejsou zašifrované. Odesílají se přitom při každé kontrole dokumentu, může tudíž dojít k jejich úniku.
Stačí absolvovat druhou dávku očkování proti koronaviru a každý očkovaný dostane elektronické potvrzení. Tím by měl v budoucnu prokazovat, že vakcínu dostal.
Co je QR kód
Jde o novější verzi klasického čárového kódu, oproti němuž může nést větší množství informací - například adresu webové stránky. Používá se ke kontrole elektronických dokladů, jako jsou letenky nebo jízdenky v hromadné dopravě. Má podobu černobílého čtverce, který připomíná bludiště.
Pro ověření pravosti je certifikát opatřen QR kódem. V něm je zapsaný webový odkaz na ověřovací stránku Ústavu zdravotnických informací a statistiky.
Součástí odkazu je kromě čísla certifikátu i jméno a příjmení očkovaného, datum narození, rodné číslo a číslo občanského průkazu či pasu. Žádný z těchto údajů není nijak zašifrován.
Hrozí tudíž, že se tyto citlivé informace automaticky uloží do historie prohlížeče či čtečky QR kódů na zařízení, na němž se bude certifikát kontrolovat. Pokud například zaměstnanec na letišti bude skrze QR kód kontrolovat certifikáty pasažérů, odnese si nevědomky jejich citlivé osobní údaje ve svém telefonu.
„Snažil bych se to vyřešit jinak, aby se tyhle věci v URL (adrese stránky, pozn. red.) nepřenášely přímo. Historie prohlížeče a čtečky je validní obava,“ řekl serveru iROZHLAS.cz bezpečnostní expert Michal Špaček.
Podle něj není čtečka jediným problémem. Adresa navštívených stránek se obvykle zaznamenává i do takzvaných přístupových logů serveru, kam ovšem citlivé informace nepatří. „K logům se my vývojáři a správci serverů z pohledu ochrany osobních údajů často chováme jako k něčemu méně důležitému,“ upozornil Špaček na často podceňované riziko.
Aplikací pro čtení QR kódů existuje nepřeberné množství a některé z nich každou naskenovanou adresu odesílají na servery výrobce. V případě kódu na očkovacím certifikátu tak k vývojářům putují i zmíněné osobní údaje.
Vydávání očkovacích certifikátů má na starosti Ústav zdravotnických informací a statistiky. Podle Milana Blahy, který v ústavu odpovídá za informační technologie, je odesílání zmíněných informací nezbytné.
„Není pravda, že je to špatně a stačí ověřovat číslo certifikátu. Podkladem pro krádež identity by bylo právě to, kdyby tam nebyly (osobní údaje, pozn. red.),“ reagoval na dotaz.
Podle něj jde o „komplexní problém“ a věc komplikuje skutečnost, že zatím není jasné, jak přesně se budou certifikáty používat.
Server iROZHLAS.cz se na ministerstvu zdravotnictví pokusil zjistit, kde přesně má kód na certifikátu sloužit k ověřování – zda se bude skenovat například v zaměstnání nebo na letištích. „Je v plánu, že QR kód bude v budoucnu sloužit k ověření certifikátu,“ odpověděla bez dalších detailů mluvčí resortu Barbora Peterová.
‚Na vývoji pracujeme.‘ Slíbené vakcinační certifikáty a potvrzení e-mailem pro naočkované nefungují
Číst článek
Samotná ověřovací stránka zatím stále nefunguje, o čemž server iROZHLAS.cz informoval už koncem ledna. Kontrolní QR kódy na ní ale už nyní odkazují.
Problémy s kontrolou od dubna
Elektronické potvrzení o očkování je opatřeno elektronickou pečetí, která má zaručit jeho pravost v případě další komunikace s úřady, například prostřednictvím datové schránky. Jenže pečeti chybí takzvané časové razítko.
„Po exspiraci certifikátu (na kterém je elektronická pečeť založena, pozn. red.) již pečeť nepůjde ověřit, takže celý dokument přestane být průkazný. Nepůjde autorizovaně konvertovat (úředně převést na papír, pozn. red.), a žádná spoléhající se osoba by jej neměla akceptovat,“ přiblížil Jiří Peterka, který se problematice elektronického podepisování dlouhodobě věnuje.
U doposud vydaných očkovacích potvrzení se pak začne zobrazovat upozornění, že není možné ověřit jejich pravost.
K vypršení pečeticího certifikátu, o němž Peterka mluví, dojde letos 13. dubna. Podle něj má Ústav zdravotnických informací zákonnou povinnost časová razítka používat. S ním by pak byl certifikát platný alespoň pět let.
Peterkova slova potvrzuje i protokol o kontrole podpisu.
Blaha z Ústavu zdravotnických informací a statistiky oponuje, že současné řešení je „zcela dostačující“. Samotná elektronická pečeť podle něj nebude pro ověření certifikátu podstatná. Jak jinak plánuje pravost elektronického dokumentu ověřit, nevysvětlil.
Jako úřad může psát kdokoli
Potvrzení o očkování zdravotnický statistický ústav posílá občanům ze speciální e-mailové adresy. Poštovní server ale nemá nastavené bezpečnostní záznamy, které brání tomu, aby se za odesílatele zpráv mohl vydávat kdokoli s přístupem k internetu.
V minulosti na tuto chybu doplatili například poslanci, kteří uvěřili falešnému e-mailu, jehož odesílatel se vydával za předsedu SPD Tomia Okamuru.
Redakce vydání článku pozdržela, aby měli zdravotničtí statistici čas chybu opravit dřív, než by ji někdo mohl zneužít například k rozesílání škodlivých programů.
Nicméně Ústav zdravotnických informací termín opravy dvakrát posunul kvůli technickým komplikacím. Podle Blahy k chybě došlo kvůli omezenému času na přípravu aplikace a v budoucnu lidé obdrží potvrzení jinou cestou.
„Postupně přecházíme na přístupy přes Portál občana a zasílání mailem se jako přechodná varianta bude, věřím, postupně utlumovat,“ dodal Blaha s odkazem na web ocko.uzis.cz, kde se již nyní může veřejnost přihlašovat pomocí státní eIdentity.