Ani start digitálních covidpasů, které začaly v Evropské unii fungovat ve čtvrtek, se neobešel bez problémů. Zahraniční státy sice hlásí ze strany svých občanů velký zájem, jenže kvůli enormnímu náporu on-line systémy často nefungovaly. Bezpečnostní experti navíc varují před digitálním podpisem, kterého už internetoví hackeři zneužívají. Aplikace dokonce přijala i vymyšlený očkovací certifikát z roku 1890.
Covid pasy zaručují až na výjimky cestování bez dodatečných omezení. Osvědčení o očkování, negativním testu či prodělané nemoci začaly uznávat všechny unijní země, ale i Norsko, Island a Lichtenštejnsko. Systém elektronických průkazů byl ale vyvinut tak rychle, že se v něm objevují trhliny. Další problémy pak nastávají ve chvíli, kdy je o vydání pasu větší zájem, než se čekalo.
„Ministerstvo zahraničí potvrdilo, že web, který certifikáty vydává, ve čtvrtek kvůli silnému náporu lidí nefungoval. Technici ale problém během několika hodin odstranili,“ popisuje web Times of Malta. Lidé, kteří po osvědčení toužili, ale nemohli ho získat, museli psát na ministerstvo e-maily. Na odpověď od resortu ale čekali i do druhého dne.
Se stejnými problémy se potýkali i ve Španělsku. „Měl jsem už zamluvenou letenku do Paříže. Jsem naočkovaný oběma dávkami, jenže certifikát mi ve čtvrtek nešel stáhnout. Odletěl jsem tak mohl jen po absolvování negativního testu na letišti. Vím, že v cestě stál technický problém, ale nechápu, proč jsem na test musel,“ cituje cestujícího Alejandra Abarca španělský web El País.
Očkování z roku 1890 prošlo bez problémů
V Německu se odborníci z bezpečnostní firmy GData CyberDefence rozhodli aplikaci otestovat a objevili řadu slabých míst. Největším rizikem je možnost padělání certifikátů.
Výzkumníci vytvořili falešné očkovací údaje německého mikrobiologa a nositele Nobelovy ceny Roberta Kocha, který se narodil v roce 1843 a zemřel v květnu 1910. Datum jeho očkování vakcínou proti covidu stanovili na rok 1890. A světe, div se, aplikace vyhodnotila očkovací certifikát jako platný.
Systém tak podle analytiků neprověřuje, kdy se u daného člověka očkování opravdu uskutečnilo. „Touha představit rychlé řešení před začátkem prázdnin byl zjevně důležitější než bezpečné řešení. Můžeme si dělat fantasy certifikáty a aplikace, která nás má chránit, je uzná,“ vysvětlují stanici Deutsche Welle bezpečnostní experti firmy GData Thomas Siebert a Tim Berghoff.
Nejslabší bodem celého systému je prý digitální podpis, který má ověřovat pravost certifikátů a údajů. A tak se v experimentu s falešnými údaji stalo, že místo dvoutýdenní platnosti mohl Koch využívat covid pas přes 130 let.
Podpis lékaře z cizí země nelze ověřit
Podle Berghoffa stačí podvodníkům pouze falešný očkovací certifikát, pravost podpis lékaře z jiného města nebo dokonce země lze v praxi prý jen těžko ověřit.
Hackeři navíc už mnohokrát pronikli do systémů zdravotnických zařízení, přivlastnit si jejich údaje a vytvořili libovolné záznamy nebo potvrzení. To hrozí i v případě očkování a covid pasů. Značným problémem podle Berghoffa je, že certifikáty nelze později zrušit, protože už prošly elektronickým ověřovacím procesem.
Padělatelům hrozí dva roky vězení
V Německu je od začátku června falšování dokumentů souvisejících s očkováním proti covidu trestné. Člověku, který se přestupku dopustí, hrozí až dva roky vězení. I přes všechny technické problémy a hackerské schopnosti některých lidí je pro odborníky největším problémem zmiňovaný příliš rychlý vývoj aplikace.
„Není špatné, že Evropa chtěl umožnit lidem snadnější cestování o letních prázdninách. Jenže v tomto případě je řešení bohužel na úkor lidské bezpečnosti,“ podotýká Berghoff.