Digitala Covid-19-pass: möjliga säkerhets- och integritetsrisker

Världen introducerar ”gröna” pass för personer med immunitet: teknik och dataskyddsfrågor

Pandemin gav ny betydelse åt ord som arbete, distansering och nu pass. Covid-19-vaccinering började hjälpa människor med sjukdomar, äldre generationer och de som är mer utsatta, så det ”gröna” eller vaccinationspasset i digital form har blivit ett ämne för många bekymmer. Det kommer hjälpa folk att få tillgång till fler aktiviteter. Ändå är det många som ifrågasätter att många detaljer om en person måste avslöjas för att systemet ska vara effektivt i alla avseenden, från verifiering till förhindrande av förfalskning.

Det ska intyga att personen har antikroppar, personer med en eller båda doserna av vaccinet och ge dem större möjligheter att besöka vissa kulturella inrättningar, gym, barer osv. Att veta att personen fått vaccinet och när är tydligen inte tillräckligt.

Dessa pass ska innehålla mer personliga uppgifter som födelsedatum, ID-handlingens nummer, datum för negativt test och annan information. Enligt vissa utvecklare ska vaccin- eller ”gröna” pass tillåta resor, så bilden bredvid den individuella QR-koden behövs också.

Kina var det första landet som införde denna form av vaccinationspass för resande, så att de som har vaccinerats har fått ett tillstånd att resa runt. Det införda passet innehåller vaccinationsstatus, senaste resultat för Covid-19 och antikroppstester. Det finns dock fortfarande tvivel på grund av bristen på bevis för vacciner och jämställdhetsfrågor.

Användning av smarttelefoner innebär att du avslöjar/lagrar personlig information eller kreditinformation

En av funktionerna i detta vaccinationspass är att QR-koden och alla uppgifter om immunitet eller negativa tester lagras i mobilapplikationen för att vara tillgängliga. Det finns naturligtvis etiska skäl till att inte alla använder smarttelefoner och kan dra nytta av ”frihetstjänsten”, men det finns fler problem när det gäller säkerhet och datasekretess.

Först och främst utvecklar många företag smartphone-applikationer med dessa system för Covid-19-vaccinationspass. Programmen skapar digitala referenser som kan visas upp när man går in på en viss plats eller när man vill resa till andra länder. Medieinformation som testresultat eller vaccinationsbevis, sjukhusjournaler, intyg läggs till och den unika QR-koden bildas. Många program fungerar som behållare för intyg. Du kan hitta dem i appbutiker för smarttelefoner.

Den andra frågan är vilken information som bör lagras i applikationen, så att den person som kontrollerar uppgifterna kan vara säker på att informationen och uppgifterna om immunitet är kopplade till den särskilda innehavaren av applikationen. Dessa testuppgifter har en viss tidsperiod då de är giltiga; detsamma gäller för information om antikroppar och även vaccination. Dessa variabler kan också bero på vilket vaccin en person har fått eftersom effektiviteten för varje vaccin varierar mellan 80 och 95%.

A point of entry – whether that's a border, whether that's a venue – is going to want to know, did you get the Pfizer vaccine, did you get the Russian vaccine, did you get the Chinese vaccine, so they can make a decision accordingly.

Slutligen lagrar smartphones numera mer än kontaktinformation och personliga fotografier. Många människor lagrar hälften av sina liv på en mobil enhet eftersom e-postmeddelanden, andra tjänster och plattformar kan hanteras med hjälp av den. En annan funktion i den digitala tidsåldern – bankinformation och digital valuta. Många appar och tjänster lagrar dessa kreditkortsuppgifter när du handlar online via telefonen eller betalar för en viss tjänst. Det är bekvämt och användbart, men det är också riskabelt.

Mobila hot och digitaliserade pengar kan leda till ekonomiska förluster

Om du använder Uber eller en liknande biltjänst, beställer mat via en takeout-applikation eller sköter din ekonomi via en mobilapp finns det många kreditkortsuppgifter i dessa appar. Utbyte av kryptovalutor sker också i mobilapplikationer, och massor av dem blir populärare varje dag. Lägg till Covid-19-passet med ännu fler personliga uppgifter om din hälsohistoria och identifieringsinformation.

När din telefon blir stulen eller om du förlorar den kan det leda till stora ekonomiska förluster eller till och med identitetsstöld. Dessa betalningar kan ske ganska snabbt och du kanske inte ens märker att bankkontot töms. Det finns många farhågor om förfalskningar och misslyckanden i statligt stödda teknikprojekt.

Användningen av smarttelefoner och dessa mobilapplikationer som blir verktyg för identifiering och hantering av finansiella tjänster blir en allt större säkerhetsfråga eftersom användarna spenderar allt mer tid på internet med hjälp av mobiltelefonen. Internet är inte den säkraste platsen att tillbringa sin tid på. Särskilt när det finns massor av mobila hot som du kan ladda ner utan att märka det:

• adware (annonsprogram);
• drive-by nedladdningar;
• trojaner;
• phishing-bedrägerier;
• webbläsarbaserade hot;
• maskar;
• bakdörrar;
• droppers;
• mobiltrojaner.

Samtidigt som man säkerställer integritetsskyddet och kontrollerar den information som lämnas via ”gröna” pass kan man glömma bort säkerhets- och IT-sårbarheter. Att ha så många uppgifter på en enhet är viktigt för enhetens lösenordssäkerhet och säkerhet i verkligheten. Om infektionen eller till och med en illvillig aktör kommer in i systemet är det möjligt att radera enheten helt och hållet och få tag på alla dessa privata uppgifter med målet att utföra attacker eller få ekonomisk vinning.

Bristfällig kontroll av dataintegritet och risk för överträdelser

Eftersom dessa Covid-19-vaccinpass bygger på att informationen om vaccinationen lagras i centraliserade databaser. Frågan om exponering av sådana uppgifter uppstår. Information kan avslöjas, och kontrollen av sådan information kan hanteras dåligt. Det har funnits många exempel på att klientuppgifter från olika databaser eller till och med när skadlig kod är inblandad. Uppgifter kan spridas på grund av följande:

• insider misstag;
• fysisk stöld av information;
• DDoS-attacker;
• malware-infektioner;
• SQL-ijniceringar;
• Skimning av betalkort;
• Cyberspionage;
• läckor/hack i databasen.

Vissa säkerhetsbrister har redan upptäckts i sådana pass under utvecklingen. Enskilda användare och organisationer kanske inte vill delta om dessa frågor om säkerhet och integritet inte åtgärdas när tjänsten lanseras över hela världen. Det finns många frågor, och det är ännu inte klart om alla länder kommer att införa användningen av vaccinpass.

Det är viktigt att bekämpa detta virus och hitta lösningar som samordnar alla länder. Vissa programutvecklare uppger att sekretess och öppenhet är viktigt för dem, som företrädare för IBM och Linux Foundation:

Trust and transparency remain paramount when developing a platform like a digital health passport, or any solution that handles sensitive personal information. Putting privacy first is an important priority for managing and analyzing data in response to these complex times.

Det finns minst tre parter som är inblandade i sådana tillämpningar: leverantören av sådan information, vårdgivaren, statliga institutioner; innehavaren – en person som har rätt till detta pass; kontrollanten – en person eller institution som kan tillhandahålla en viss tjänst som inte är tillgänglig utan det aktuella testresultatet eller vaccinationsbeviset. Därför bör särskilda säkerhetsåtgärder genomföras i olika delar. Det finns fortfarande många frågor och bekymmer, men man tror att dessa problem kan redas ut och beaktas när varje land släpper sin version av det ”gröna” passet.