A közelmúltban megjelent bejelentés óta a sajtó a koronavírus védettségi kártya kibocsátásával kapcsolatos hírektől hangos. Megjelent ugyanis a Magyar Közlöny 21. számában a Covid-19 elleni védettséget igazoló kártyáról szóló rendelet. Azóta minden médiában kiemelt hír, hogy március 1-től postázzák majd ki ezeket.  

Ebben a cikkben azokat a kérdéseket keressük, hogy kiberbiztonsági szempontból milyen aggályai lehetnek a kártyának. 

Mit fog igazolni a védettségi igazolvány? 

A kártya a koronavírus elleni védettséget hivatott bizonyítani, ha 

1. igazoltan átestünk a betegségen vagy 
2. ha megkaptuk a védőoltásból a megfelelő adagot 
3. illetve, ha átestünk a fertőzésen; de nem tudtunk róla vagy nem készült róla teszt; és utólag elvégzett ellenanyag-vizsgálat (antigén teszt) igazolja a kóron való átesését is. 

Milyen személyes adatokat fog tartalmazni ez a kártya: 

• az érintett nevét; 
• útlevélszámot (ha van); 
• az állandó személyigazolvány számát (ha ezzel rendelkezik); 
• a védettségi kártya számát; 
• az oltottság tényének igazolása esetén az oltás idejét és a védőoltás típusát; 
• a fertőzésből történő felgyógyulás tényének az igazolása esetén az igazolvány érvényességének dátumát; 
• a fenti adatokból képzett informatikai eszközzel optikailag olvasható adattároló kódot (QR kód?). 

A rendelet szerint készülni fog egy applikáció is, melynek célja szintén a koronavírus elleni védettség igazolása lesz.  

Azonosítást követően vélhetően megjeleníti majd: 

• az érintett nevét; 
• TAJ számát; 
• az oltás idejét, típusát; 
• a fertőzéssel szembeni védettség tényét vagy annak hiányát. 

Láthatjuk, hogy ezek együttesen személyazonosításra alkalmas információk (PII – melyről egy korábbi cikkünkben itt írtunk); melyek megfelelő kezelése és védelme az EU általános adatvédelmi rendelete (GDPR) szempontjából is kiemelten fontos. 

Mi ezeknek az adatoknak a forrása? 

A következőkben megvizsgáljuk azt a három esetet, amely során a koronavírus elleni védettségünk igazolható a kártyával vagy az applikációval. 

1. Igazoltan átestünk a betegségen vagy megkaptuk a védőoltást 

Abban az esetben, ha átestünk a betegségen és ennek tényét hivatalosan bejelentettük a hatóságnak; akkor a koronavírus védettségi kártya érvényességi ideje az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) rendszerben található nyilvántartásból ered.  

Abban az esetben, ha védőoltást kapunk szintén az EESZT-ből eredő információk alapján kerül kiállításra az igazolás. 

Az adatkezelési tájékoztató szerint ezt a rendszert a NISZ üzemelteti.  

2. Antigén teszttel rendelkezünk 

A harmadik lehetőség a védettségünk bizonyítására, ha laborban csináltattuk antigén tesztet; mely bizonyítja, hogy ellenanyaggal rendelkezik a szervezetünk, tehát valamikor átestünk a koronavírus fertőzésen. Ebben az esetben a laboratórium fogja igazolni nekünk, hogy rendelkezünk e a védettséggel; így ennek az informatikai rendszerétől függ az adat megbízhatósága.  

Mely törvényeknek kell megfelelniük az egészségügyi rendszereknek? 

A HIPAA, azaz az Egészségbiztosítás hordozhatóságáról és elszámoltathatóságról szóló törvény biztosítja az egészségügyi rendszer hatékonyságát és eredményességét; anélkül, hogy veszélyeztetné az egyéni egészségügyi információk biztonságát.  

Ezeket a megfelelőségi előírásokat alaposan be kell tartania minden egészégügyi szolgáltatónak és üzleti munkatársnak;  illetve bármely olyan személynek, aki a szokásos üzleti tevékenysége során egészségügyi ellátást biztosít; annak ellenére, hogy nincs hivatalos HIPAA tanúsító akkreditáció. 

Főbb IT biztonsági kontrolpontok: 

• Rendszer hozzáférések periodikus ellenőrzése; 
• Megfelelő naplózás (logolás) használata (naplózásról korábban itt írtunk); 
• Teljes nyilvántartás vezetése a páciensek kórtörténetéről; 
• Védett egészségügyi adatok titkosítása; 
• Kötelező rendszeres kockázatelemzés. 

Magyarországon az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről az 1997. évi XLVII. törvény („Eüak.”) rendelkezik. A 2020. március 16-án kihirdetett III. Kormányrendelet az előbb említett törvény egyes rendelkezéseit módosította, illetve új adattovábbítási kötelezettségeket vezet be. 

Fenti törvények betartása mind az EESZT mind a magánkórházak esetében betartandó. 

Kockázatok

Hipotetikusan nézzük meg, hogy milyen kiberbiztonsági kockázatok léphetnek fel ezekkel az informatikai rendszerekkel kapcsolatban: 

• A weboldalt / mobilapplikációt egy rosszindulatú hacker feltöri; hozzáférést szerez a felhasználók személyes és védett egészségügyi adataihoz (Protected Health Information – PHI). Ezeket a DarkWeben értékesíteni tudja. 
• Az oldal kompromittálásával a fekete kalapos hacker saját magának oltási igazolást állíthat be az oldalon, így megkapja az igazolást. Esetleg másoknak is árulhat. 
• Az előző ponthoz hasonlóan, de ártóbb szándékkal a már oltással rendelkező vagy meggyógyult felhasználók adatait törölhetik; így számukra a védettség igazolása nem lenne lehetséges. 
• Az EESZT Magyarország új e-egészségügyi rendszere; melyet 2017 óta a háziorvosi szolgálatok, járó- és fekvőbeteg ellátó intézmények és az összes gyógyszertár használ. A weboldal leállását az ország EÜ rendszere megsínylené. 
• Magánlaborok esetében egy adatvédelmi incidens a védett egészségügyi adatok miatt magas bírsággal lehet számolni. 

Utószó 

A minap megjelent a koronavírus oltási kalkulátor, mely a napi beadott vakcinák számából megbecsüli számunkra, hogy nagyjából mikor kerülünk sorra. A kalkulátor itt található.  

Ha itt megnézzük, hogy mikor jönne el a mi időnk…

… akkor azt gondolnánk, hogy ráérünk még kiberbiztonsági tesztelés alá venni a kritikus kormányzati weboldalakat és a magánkórházak applikációit; de a kiberbiztonsági kockázatokra most kell felkészülnie, mind az EESZT üzemeltetőjének, mind a magánklinikáknak. 

A kockázat valós, erre is példa a közelmúltban megjelent kormányzati tájékoztatás egy összehangolt kibertámadásról a kormányzati oldalak ellen. Ez érinti a az oltási regisztrációnak és a konzultációnak otthont adó oldalt, a koronavírusról szóló tájékoztató oldalt; valamit a kormány.hu portált is. 

Szívesen állunk minden érdeklődő rendelkezésére az elérhetőségeinken, vagy a kapcsolati űrlapon keresztül is. Előremutató lenne, ha ezek a kritikus egészségügyi rendszerek is rendelkeznének bug bounty programmal. Az etikus hacker közösség segít megtalálni a sérülékenységeket, ezzel csökkentve a kiberbiztonsági kockázatokat. 

Szolgáltatásaink itt megtalálhatóak.