HU

EN

Koronavírus védettségi kártya kiberbiztonsági szemmel

Itt a vakcina, a harmadik hullám és érkezik a koronavírus védettségi kártya is.

A közelmúltban megjelent bejelentés óta a sajtó a koronavírus védettségi kártya kibocsátásával kapcsolatos hírektől hangos. Megjelent ugyanis a Magyar Közlöny 21. számában a Covid-19 elleni védettséget igazoló kártyáról szóló rendelet. Azóta minden médiában kiemelt hír, hogy március 1-től postázzák majd ki ezeket.  

Ebben a cikkben azokat a kérdéseket keressük, hogy kiberbiztonsági szempontból milyen aggályai lehetnek a kártyának. 

Mit fog igazolni a védettségi igazolvány? 

A kártya a koronavírus elleni védettséget hivatott bizonyítani, ha 

  1. igazoltan átestünk a betegségen vagy 
  2. ha megkaptuk a védőoltásból a megfelelő adagot 
  3. illetve, ha átestünk a fertőzésen; de nem tudtunk róla vagy nem készült róla teszt; és utólag elvégzett ellenanyag-vizsgálat (antigén teszt) igazolja a kóron való átesését is. 

Milyen személyes adatokat fog tartalmazni ez a kártya: 

  • az érintett nevét; 
  • útlevélszámot (ha van); 
  • az állandó személyigazolvány számát (ha ezzel rendelkezik); 
  • a védettségi kártya számát; 
  • az oltottság tényének igazolása esetén az oltás idejét és a védőoltás típusát; 
  • a fertőzésből történő felgyógyulás tényének az igazolása esetén az igazolvány érvényességének dátumát; 
  • a fenti adatokból képzett informatikai eszközzel optikailag olvasható adattároló kódot (QR kód?). 

A rendelet szerint készülni fog egy applikáció is, melynek célja szintén a koronavírus elleni védettség igazolása lesz.  

Azonosítást követően vélhetően megjeleníti majd: 

  • az érintett nevét; 
  • TAJ számát; 
  • az oltás idejét, típusát; 
  • a fertőzéssel szembeni védettség tényét vagy annak hiányát. 

Láthatjuk, hogy ezek együttesen személyazonosításra alkalmas információk (PII – melyről egy korábbi cikkünkben itt írtunk); melyek megfelelő kezelése és védelme az EU általános adatvédelmi rendelete (GDPR) szempontjából is kiemelten fontos. 

Egy újabb plasztikkártya kerülhet a pénztárcákba márciustól?

Mi ezeknek az adatoknak a forrása? 

A következőkben megvizsgáljuk azt a három esetet, amely során a koronavírus elleni védettségünk igazolható a kártyával vagy az applikációval. 

1. Igazoltan átestünk a betegségen vagy megkaptuk a védőoltást 

Abban az esetben, ha átestünk a betegségen és ennek tényét hivatalosan bejelentettük a hatóságnak; akkor a koronavírus védettségi kártya érvényességi ideje az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) rendszerben található nyilvántartásból ered.  

Abban az esetben, ha védőoltást kapunk szintén az EESZT-ből eredő információk alapján kerül kiállításra az igazolás. 

Az adatkezelési tájékoztató szerint ezt a rendszert a NISZ üzemelteti.  

2. Antigén teszttel rendelkezünk 

A harmadik lehetőség a védettségünk bizonyítására, ha laborban csináltattuk antigén tesztet; mely bizonyítja, hogy ellenanyaggal rendelkezik a szervezetünk, tehát valamikor átestünk a koronavírus fertőzésen. Ebben az esetben a laboratórium fogja igazolni nekünk, hogy rendelkezünk e a védettséggel; így ennek az informatikai rendszerétől függ az adat megbízhatósága.  

Antigén teszttel is igazolhatjuk védettségünket Covid ellen.

Mely törvényeknek kell megfelelniük az egészségügyi rendszereknek? 

HIPAA, azaz az Egészségbiztosítás hordozhatóságáról és elszámoltathatóságról szóló törvény biztosítja az egészségügyi rendszer hatékonyságát és eredményességét; anélkül, hogy veszélyeztetné az egyéni egészségügyi információk biztonságát.  

Ezeket a megfelelőségi előírásokat alaposan be kell tartania minden egészégügyi szolgáltatónak és üzleti munkatársnak;  illetve bármely olyan személynek, aki a szokásos üzleti tevékenysége során egészségügyi ellátást biztosít; annak ellenére, hogy nincs hivatalos HIPAA tanúsító akkreditáció. 

Főbb IT biztonsági kontrolpontok: 
  • Rendszer hozzáférések periodikus ellenőrzése; 
  • Megfelelő naplózás (logolás) használata (naplózásról korábban itt írtunk); 
  • Teljes nyilvántartás vezetése a páciensek kórtörténetéről; 
  • Védett egészségügyi adatok titkosítása; 
  • Kötelező rendszeres kockázatelemzés. 

Magyarországon az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről az 1997. évi XLVII. törvény („Eüak.”) rendelkezik. A 2020. március 16-án kihirdetett III. Kormányrendelet az előbb említett törvény egyes rendelkezéseit módosította, illetve új adattovábbítási kötelezettségeket vezet be. 

Fenti törvények betartása mind az EESZT mind a magánkórházak esetében betartandó. 

Kockázatok

Hipotetikusan nézzük meg, hogy milyen kiberbiztonsági kockázatok léphetnek fel ezekkel az informatikai rendszerekkel kapcsolatban: 

  • A weboldalt / mobilapplikációt egy rosszindulatú hacker feltöri; hozzáférést szerez a felhasználók személyes és védett egészségügyi adataihoz (Protected Health Information – PHI). Ezeket a DarkWeben értékesíteni tudja. 
  • Az oldal kompromittálásával a fekete kalapos hacker saját magának oltási igazolást állíthat be az oldalon, így megkapja az igazolást. Esetleg másoknak is árulhat. 
  • Az előző ponthoz hasonlóan, de ártóbb szándékkal a már oltással rendelkező vagy meggyógyult felhasználók adatait törölhetik; így számukra a védettség igazolása nem lenne lehetséges. 
  • Az EESZT Magyarország új e-egészségügyi rendszere; melyet 2017 óta a háziorvosi szolgálatok, járó- és fekvőbeteg ellátó intézmények és az összes gyógyszertár használ. A weboldal leállását az ország EÜ rendszere megsínylené. 
  • Magánlaborok esetében egy adatvédelmi incidens a védett egészségügyi adatok miatt magas bírsággal lehet számolni. 
Az egészségügyi rendszerek kiberbiztonsága kritikus

Utószó 

A minap megjelent a koronavírus oltási kalkulátor, mely a napi beadott vakcinák számából megbecsüli számunkra, hogy nagyjából mikor kerülünk sorra. A kalkulátor itt található.  

Ha itt megnézzük, hogy mikor jönne el a mi időnk…

… akkor azt gondolnánk, hogy ráérünk még kiberbiztonsági tesztelés alá venni a kritikus kormányzati weboldalakat és a magánkórházak applikációit; de a kiberbiztonsági kockázatokra most kell felkészülnie, mind az EESZT üzemeltetőjének, mind a magánklinikáknak. 

A kockázat valós, erre is példa a közelmúltban megjelent kormányzati tájékoztatás egy összehangolt kibertámadásról a kormányzati oldalak ellen. Ez érinti a az oltási regisztrációnak és a konzultációnak otthont adó oldalt, a koronavírusról szóló tájékoztató oldalt; valamit a kormány.hu portált is. 

Szívesen állunk minden érdeklődő rendelkezésére az elérhetőségeinken, vagy a kapcsolati űrlapon keresztül is. Előremutató lenne, ha ezek a kritikus egészségügyi rendszerek is rendelkeznének bug bounty programmal. Az etikus hacker közösség segít megtalálni a sérülékenységeket, ezzel csökkentve a kiberbiztonsági kockázatokat. 

Szolgáltatásaink itt megtalálhatóak. 

Megosztás

Tartalomjegyzék

Legfrisebb cikkeink