Digitale Covid-19 paspoorten: mogelijke veiligheids- en privacyrisico's

De wereld introduceert “groene” paspoorten voor mensen met immuniteit: problemen met technologie en gegevensbescherming

De pandemie gaf een nieuwe betekenis aan woorden als werk, afstand nemen, en nu, paspoort. Een vaccinatie tegen Covid-19 begon mensen met ziekten, oudere generaties en degenen die meer risico lopen te helpen, dus het “groene” of vaccinatiepaspoort in digitale vorm werd het thema van veel zorgen. Het zou mensen moeten helpen om toegang te krijgen tot meer activiteiten. Toch plaatsen velen vraagtekens bij het feit dat veel details over een persoon moeten worden onthuld om het systeem doeltreffend te laten zijn in alle aspecten, van verificatie tot het voorkomen van vervalsing.

Zulk een paspoort moet de persoon met antilichamen certificeren, mensen met één of beide doses van het vaccin, en hun meer mogelijkheden geven om bepaalde culturele faciliteiten, sportscholen, bars, enz. te bezoeken. Weten dat de persoon het vaccin heeft gekregen en wanneer, is blijkbaar niet voldoende.

Deze paspoorten moeten meer persoonlijke gegevens bevatten, zoals geboortedatum, nummer van het identiteitsbewijs, data van negatieve testuitslagen en andere informatie. Volgens sommige ontwikkelaars moeten vaccins of “groene” paspoorten reizen mogelijk maken, dus is de foto naast de individuele QR-code ook nodig.

China was het eerste land dat deze vorm van vaccinatiepaspoort voor reizigers invoerde, zodat degenen die hun vaccinaties hebben gekregen, hun toestemming om rond te reizen konden verifiëren. Het ingevoerde paspoort bevat de vaccinatiestatus, recente Covid-19-testresultaten en antilichaamtesten. Er zijn echter nog steeds twijfels vanwege het gebrek aan bewijs voor vaccins en gelijkheidskwesties.

Smartphonegebruik houdt in dat persoonlijke of kredietinformatie wordt onthuld/opgeslagen

Een van de kenmerken van dit vaccinatiepaspoort is dat de QR-code en alle gegevens over immuniteit of negatieve tests worden opgeslagen in de mobiele applicatie, zodat deze toegankelijk zijn. Natuurlijk zijn er ethische redenen waarom niet iedereen de smartphone gebruikt en kan profiteren van de “vrijheid”-dienst, maar er zijn meer zorgen als het gaat om veiligheid en privacy van gegevens.

In de eerste plaats ontwikkelen veel bedrijven met deze systemen smartphone-applicaties voor Covid-19-vaccinatiepaspoorten. Programma's creëren digitale referenties die kunnen worden getoond wanneer een bepaalde locatie wordt betreden, of wanneer mensen naar andere landen willen reizen. Media-informatie zoals testresultaten of bewijzen van vaccinatie, ziekenhuisdossiers, certificaten worden toegevoegd, en de unieke QR-code wordt gevormd. Veel apps doen dienst als een container voor certificaten. Je kunt ze vinden in smartphone app stores.

De tweede vraag heeft betrekking op welke informatie in de applicatie moet worden opgeslagen, zodat degene die de gegevens controleert er zeker van kan zijn dat de informatie en gegevens over immuniteit verband houden met de specifieke houder van de app. Deze testgegevens hebben een bepaalde periode waarin ze geldig zijn; hetzelfde geldt voor de informatie over antilichamen en zelfs vaccinatie. Deze variabelen kunnen ook afhangen van het specifieke vaccin dat een persoon heeft gekregen, aangezien de effectiviteit van elk vaccin varieert van 80% tot 95%.

A point of entry – whether that's a border, whether that's a venue – is going to want to know, did you get the Pfizer vaccine, did you get the Russian vaccine, did you get the Chinese vaccine, so they can make a decision accordingly.

Ten slotte slaan smartphones tegenwoordig meer op dan contactinformatie en persoonlijke foto's. Veel mensen slaan de helft van hun leven op een mobiel toestel op omdat werkmails, andere diensten en platforms ermee kunnen worden beheerd. Een ander kenmerk van het digitale tijdperk: bankgegevens en digitale valuta. Veel apps en diensten slaan die creditcardgegevens op wanneer je via je telefoon online winkelt of voor een bepaalde dienst betaalt. Dat is handig en nuttig, maar ook riskant.

Mobiele bedreigingen en gedigitaliseerd geld kunnen leiden tot geldverlies

Als je gebruikmaakt van Uber of een soortgelijke autodienst, eten bestelt via een afhaaltoepassing of je financiën beheert via een mobiele app, er staan hoe dan ook veel creditcardgegevens op die apps. Het uitwisselen van cryptocurrencies gebeurt ook op mobiele applicaties, en tonnen daarvan winnen elke dag aan populariteit. Daar komt het Covid-19-paspoort bij met nog meer persoonlijke gegevens over je gezondheidsgeschiedenis en identificatiegegevens.

Wanneer je telefoon wordt gestolen, of je raakt hem kwijt, kan dat leiden tot enorme geldverliezen of zelfs identiteitsdiefstal. Die betalingen kunnen vrij snel gebeuren, en je merkt het misschien niet eens wanneer je bankrekening wordt geplunderd. Er zijn veel zorgen over vervalsing en het mislukken van door de overheid gesteunde technologieprojecten.

Het gebruik van smartphones en deze mobiele toepassingen die hulpmiddelen voor identificatie en het beheer van financiële diensten worden, wordt steeds meer een veiligheidsprobleem aangezien gebruikers steeds meer tijd op het internet doorbrengen met hun mobiele telefoon. Internet is niet de veiligste plek om je tijd op door te brengen. Zeker wanneer er tonnen mobiele bedreigingen zijn die je ongemerkt kunt downloaden:

• Adware;
• Drive-by downloads;
• Trojaanse paarden;
• Phishing-oplichterij;
• Browsergebaseerde bedreidingen;
• Wormen;
• Achterdeurtjes;
• Droppers;
• Mobiele gijzelsoftware.

Terwijl de bescherming van de privacy wordt gewaarborgd en de via het “groene” paspoort verstrekte informatie wordt gestaafd, kunnen veiligheids- en IT-kwetsbaarheden achterwege blijven. Het bewaren van zoveel gegevens op één apparaat is belangrijk voor de beveiliging van het wachtwoord en de beveiliging van het apparaat in het echt. Als de infectie of zelfs kwaadwillende actor toegang krijgt tot het systeem, is het mogelijk om je apparaat op te kuisen en al die privégegevens te verkrijgen met aanvallen of financieel gewin als doel.

Bedenkelijk toezicht op gegevensbescherming en risico van inbreuken

Aangezien deze Covid-19-vaccinatiepaspoorten afhankelijk zijn van de opslag van de informatie over de vaccinatie in gecentraliseerde gegevensbanken, rijst de kwestie van de blootstelling van dergelijke gegevens. Informatie kan worden gekraakt, en de controle van dergelijke informatie kan slecht worden beheerd. Er zijn veel gevallen geweest waarbij gegevens van klanten uit verschillende databanken werden gekraakt of zelfs wanneer malware betrokken was. Gegevens kunnen worden gekraakt als gevolg van:

• Fouten van ingewijden;
• Fysieke diefstal van informatie;
• DDoS-aanvallen;
• Malwar-infecties;
• SQL-injecties;
• Skimming van betaalkaarten;
• Cyberspionage;
• Database lekken/hacks.

Tijdens de ontwikkeling zijn al enkele zwakke plekken in de beveiliging van dergelijke paspoorten ontdekt. Individuele gebruikers en organisaties zullen misschien niet willen deelnemen als deze problemen in verband met veiligheid en privacy niet worden aangepakt wanneer de dienst wereldwijd wordt gelanceerd. Er zijn nog veel vragen, en het is nog niet duidelijk of alle landen het gebruik van het vaccinatiepaspoort zullen overnemen.

Het is van cruciaal belang dit virus te bestrijden en met coördinerende oplossingen te komen voor alle landen. Bepaalde programma-ontwikkelaars verklaren dat privacy en transparantie belangrijk voor hen zijn, zoals vertegenwoordigers van IBM en Linux foundation verklaren:

Trust and transparency remain paramount when developing a platform like a digital health passport, or any solution that handles sensitive personal information. Putting privacy first is an important priority for managing and analyzing data in response to these complex times.

Bij dergelijke praktijken zijn minstens drie partijen betrokken: de verstrekker van dergelijke informatie, zoals de zorgverstrekker en overheidsinstellingen; de houder, een persoon aan wie het recht op dit paspoort is verleend; de verificateur, een persoon of instelling die een bepaalde dienst kan verlenen die niet toegankelijk is zonder het bepaalde testresultaat of vaccinatiebewijs. In de verschillende onderdelen moeten dus bijzondere veiligheidsmaatregelen worden getroffen. Er zijn nog veel vragen en bezwaren, maar men gaat ervan uit dat deze problemen kunnen worden opgelost en in aanmerking kunnen worden genomen wanneer elk land zijn versie van het “groene” paspoort uitbrengt.