A közelmúltban megjelent bejelentés óta a sajtó a koronavírus védettségi kártya kibocsátásával kapcsolatos hírektől hangos. Megjelent ugyanis a Magyar Közlöny 21. számában a Covid-19 elleni védettséget igazoló kártyáról szóló rendelet. Azóta minden médiában kiemelt hír, hogy március 1-től postázzák majd ki ezeket.
Ebben a cikkben azokat a kérdéseket keressük, hogy kiberbiztonsági szempontból milyen aggályai lehetnek a kártyának.
Mit fog igazolni a védettségi igazolvány?
A kártya a koronavírus elleni védettséget hivatott bizonyítani, ha
- igazoltan átestünk a betegségen vagy
- ha megkaptuk a védőoltásból a megfelelő adagot
- illetve, ha átestünk a fertőzésen; de nem tudtunk róla vagy nem készült róla teszt; és utólag elvégzett ellenanyag-vizsgálat (antigén teszt) igazolja a kóron való átesését is.
Milyen személyes adatokat fog tartalmazni ez a kártya:
- az érintett nevét;
- útlevélszámot (ha van);
- az állandó személyigazolvány számát (ha ezzel rendelkezik);
- a védettségi kártya számát;
- az oltottság tényének igazolása esetén az oltás idejét és a védőoltás típusát;
- a fertőzésből történő felgyógyulás tényének az igazolása esetén az igazolvány érvényességének dátumát;
- a fenti adatokból képzett informatikai eszközzel optikailag olvasható adattároló kódot (QR kód?).
A rendelet szerint készülni fog egy applikáció is, melynek célja szintén a koronavírus elleni védettség igazolása lesz.
Azonosítást követően vélhetően megjeleníti majd:
- az érintett nevét;
- TAJ számát;
- az oltás idejét, típusát;
- a fertőzéssel szembeni védettség tényét vagy annak hiányát.
Láthatjuk, hogy ezek együttesen személyazonosításra alkalmas információk (PII – melyről egy korábbi cikkünkben itt írtunk); melyek megfelelő kezelése és védelme az EU általános adatvédelmi rendelete (GDPR) szempontjából is kiemelten fontos.
Mi ezeknek az adatoknak a forrása?
A következőkben megvizsgáljuk azt a három esetet, amely során a koronavírus elleni védettségünk igazolható a kártyával vagy az applikációval.
1. Igazoltan átestünk a betegségen vagy megkaptuk a védőoltást
Abban az esetben, ha átestünk a betegségen és ennek tényét hivatalosan bejelentettük a hatóságnak; akkor a koronavírus védettségi kártya érvényességi ideje az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) rendszerben található nyilvántartásból ered.
Abban az esetben, ha védőoltást kapunk szintén az EESZT-ből eredő információk alapján kerül kiállításra az igazolás.
Az adatkezelési tájékoztató szerint ezt a rendszert a NISZ üzemelteti.
2. Antigén teszttel rendelkezünk
A harmadik lehetőség a védettségünk bizonyítására, ha laborban csináltattuk antigén tesztet; mely bizonyítja, hogy ellenanyaggal rendelkezik a szervezetünk, tehát valamikor átestünk a koronavírus fertőzésen. Ebben az esetben a laboratórium fogja igazolni nekünk, hogy rendelkezünk e a védettséggel; így ennek az informatikai rendszerétől függ az adat megbízhatósága.
Mely törvényeknek kell megfelelniük az egészségügyi rendszereknek?
A HIPAA, azaz az Egészségbiztosítás hordozhatóságáról és elszámoltathatóságról szóló törvény biztosítja az egészségügyi rendszer hatékonyságát és eredményességét; anélkül, hogy veszélyeztetné az egyéni egészségügyi információk biztonságát.
Ezeket a megfelelőségi előírásokat alaposan be kell tartania minden egészégügyi szolgáltatónak és üzleti munkatársnak; illetve bármely olyan személynek, aki a szokásos üzleti tevékenysége során egészségügyi ellátást biztosít; annak ellenére, hogy nincs hivatalos HIPAA tanúsító akkreditáció.
Főbb IT biztonsági kontrolpontok:
- Rendszer hozzáférések periodikus ellenőrzése;
- Megfelelő naplózás (logolás) használata (naplózásról korábban itt írtunk);
- Teljes nyilvántartás vezetése a páciensek kórtörténetéről;
- Védett egészségügyi adatok titkosítása;
- Kötelező rendszeres kockázatelemzés.
Magyarországon az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről az 1997. évi XLVII. törvény („Eüak.”) rendelkezik. A 2020. március 16-án kihirdetett III. Kormányrendelet az előbb említett törvény egyes rendelkezéseit módosította, illetve új adattovábbítási kötelezettségeket vezet be.
Fenti törvények betartása mind az EESZT mind a magánkórházak esetében betartandó.
Kockázatok
Hipotetikusan nézzük meg, hogy milyen kiberbiztonsági kockázatok léphetnek fel ezekkel az informatikai rendszerekkel kapcsolatban:
- A weboldalt / mobilapplikációt egy rosszindulatú hacker feltöri; hozzáférést szerez a felhasználók személyes és védett egészségügyi adataihoz (Protected Health Information – PHI). Ezeket a DarkWeben értékesíteni tudja.
- Az oldal kompromittálásával a fekete kalapos hacker saját magának oltási igazolást állíthat be az oldalon, így megkapja az igazolást. Esetleg másoknak is árulhat.
- Az előző ponthoz hasonlóan, de ártóbb szándékkal a már oltással rendelkező vagy meggyógyult felhasználók adatait törölhetik; így számukra a védettség igazolása nem lenne lehetséges.
- Az EESZT Magyarország új e-egészségügyi rendszere; melyet 2017 óta a háziorvosi szolgálatok, járó- és fekvőbeteg ellátó intézmények és az összes gyógyszertár használ. A weboldal leállását az ország EÜ rendszere megsínylené.
- Magánlaborok esetében egy adatvédelmi incidens a védett egészségügyi adatok miatt magas bírsággal lehet számolni.
Utószó
A minap megjelent a koronavírus oltási kalkulátor, mely a napi beadott vakcinák számából megbecsüli számunkra, hogy nagyjából mikor kerülünk sorra. A kalkulátor itt található.
Ha itt megnézzük, hogy mikor jönne el a mi időnk…
… akkor azt gondolnánk, hogy ráérünk még kiberbiztonsági tesztelés alá venni a kritikus kormányzati weboldalakat és a magánkórházak applikációit; de a kiberbiztonsági kockázatokra most kell felkészülnie, mind az EESZT üzemeltetőjének, mind a magánklinikáknak.
A kockázat valós, erre is példa a közelmúltban megjelent kormányzati tájékoztatás egy összehangolt kibertámadásról a kormányzati oldalak ellen. Ez érinti a az oltási regisztrációnak és a konzultációnak otthont adó oldalt, a koronavírusról szóló tájékoztató oldalt; valamit a kormány.hu portált is.
Szívesen állunk minden érdeklődő rendelkezésére az elérhetőségeinken, vagy a kapcsolati űrlapon keresztül is. Előremutató lenne, ha ezek a kritikus egészségügyi rendszerek is rendelkeznének bug bounty programmal. Az etikus hacker közösség segít megtalálni a sérülékenységeket, ezzel csökkentve a kiberbiztonsági kockázatokat.
Szolgáltatásaink itt megtalálhatóak.
