Спас Иванов: Монетизирането на COVID-19 сертификатите в България удължава мерките

Спас Иванов: Монетизирането на COVID-19 сертификатите в България удължава мерките

© Личен архив на Спас Иванов



Спас Иванов е експерт по киберсигурност и управляващ директор в Baseline IT. "Дневник" го потърси за мнението му за сигурността на европейските цифрови сертификати за ваксинирани, преболедували и тествани за COVID-19. Те бяха въведени в ЕС на 1 юли и вече се използват в 46 държави. Паралелно повечето страни от ЕС, особено в Западна Европа, започнаха да ги използват широко като предусловие за достъп до различни обществени събития, за посещения на заведения и места за развлечение. Това естествено увеличи предположенията, че антиваксърите биха могли да ги манипулират, за да избегнат ваксиниране.


Г-н Иванов, според Европейската комисия от 1 юли насам вече са издадени над 420 млн. цифрови сертификата за COVID-19 при население на ЕС от 445 млн. души. Каква част от тях са фалшиви?


- Първо искам да уточня, че европейският портал за проверка на сертификатите обединява информацията от ваксинационните портали в държавите членки. На практика този портал проверява достоверността на заложените в сертификатите криптографски ключове чрез верификация в системата на неговия издател в дадена държава.




Самата европейска система не съдържа и не издава сертификати. Ако националният орган, издаващ сертификата, допусне попълването на неверни данни, системата на ЕС няма как да знае, че те са такива. Имаше експерименти в института "Роберт Кох" в Германия, които установиха слабости в немската система за внасяне на данните, и те бяха широко коментирани. Но това не са слабости на европейската система. Издателите на сертификатите разполагат с криптографски публични ключове, които системата разчита с презумпцията, че данните вътре са достоверни.


В българския случай "Информационно обслужване" дава платформата на ваксиниращите лица и организации да попълват данните. За истинността на тази информация отговарят хората, които я въвеждат. При въвеждане на данните в системата от лекарите тя е в състояние да провери дали такъв човек наистина съществува в националните регистри, но, съгласете се, няма как да удостовери, че ваксината действително е поставена.


Няма ли някакви защитни системи, които да могат да открият подправен документ?


- Фалшивите сертификати не се различават от истинските, защото те се генерират от едни и същи системи с едни и същи данни. Истината е, че е оставено е на съвестта и на отговорността на хората, които въвеждат данните на ваксинираните лица. Така че е много вероятно лекари, които и преди това са били склонни да издават неверни имунизационни листове, например за разрешения за детски градини, да го правят и сега.


И все пак можете ли да направите предположение за размера на проблема с фалшивите сертификати?


- Единственият начин да се направи предположение е голяма част от населението да е ваксинирано и по развитието на пандемията да се предположи колко са фалшификатите. Например при един и същ процент ваксинирани в различните държави да имаме различен процент заболели, което ще покаже относителния процент неверни сертификати.


За съжаление в България поради изключително ниския брой ваксинирани с две дози това е невъзможно да се установи. В държави, като Дания например, с над 80% ваксинирано население такова изследване е възможно.


Европейската комисия твърди, че цифровият сертификат е изключително добре защитен и затова тя не се безпокои от манипулации.


- Самият сертификат е невъзможно да се фалшифицира. Проблемът е в генерацията. Става въпрос за технологично напълно защитен механизъм за верификация, който обаче лесно се компрометира от недобросъвестни медицински лица или друг оторизиран персонал, който има право да въвежда данни в системата. Ако тези лица подават неверни данни, цялата технологична сигурност на сертификата се обезсмисля.


Проблемът е подобен на този с купените шофьорски книжки - там отново и купените, и реалните са издадени от една и съща система. Това е истинският проблем, а не технологията, която го обезпечава.



В гръцката преса се писа, че имало готови фалшиви QR кодове, които се предлагали на черен пазар?


- Това се отнася по-скоро за националните сертификати. Всяка държава има N брой приложения, които се проверяват в национални системи. Локалните системи дават възможност да се правят манипулации, преди да влязат в европейския портал, но самата европейска система е сигурна. Всяка държава има право да си направи собствени апликации за проверка и достъп, но ако ги включи в системата на ЕС, те трябва да отговарят на европейските изисквания.


Това, че европейската система за проверка е направена с отворен код, не понижава ли нейната сигурност от кибератаки?


- Практика в ЕС е широко използваните системи да разчитат на отворения код. Наличието на библиотеки или платформи с отворен код не прави автоматично даден краен продукт по-сигурен или по-несигурен.


Според вас ще се увеличават ли опитите за фалшифициране на пропуските, или ще се загуби интерес към подправянето им?


- В Западна Европа с напредването на ваксинацията сертификатът ще изчезне по органичен път, защото хората няма да имат нужда от него. В Източна Европа и в антиваксърските държави фалшификациите ще продължат по всякакъв възможен начин, включително и на хартиените копия, удостоверяващи ваксинация или отрицателен тест.


В някои страни от Източна Европа се допусна дезинформацията за ваксините да се превърне в мантра на голяма част от населението.

Други решиха на монетаризират този ваксинационен скептицизъм, предлагайки сертификати с невярно съдържание. Този "кокошкарски" бизнес само наврежда на имиджа на страната и удължава извънредните мерки.



Като цяло рано или късно сертификатите следва да изчезнат от публичния живот в ЕС, но в нашата страна жизненият им цикъл може би ще е по-дълъг заради гореизброеното.


Колко време живот давате на COVID сертификата?


- Този сертификат има краен срок и той е до момента, в който директорът на Световната здравна организация обяви, че пандемията е приключила. Но той разполага с механизъм, при който, ако се появи отново необходимост, сертификационните системи ще се възстановят. В момента, в който повече страни ваксинират повече хора, което да позволи отваряне на икономиката, сертификатът ще отпадне от само себе си.


Какво смятате за задължителната ваксинация за COVID-19?


- Преди пандемията всички деца си имаха имунизационни паспорти и никой не питаше какво има във ваксините, например наночастици или 5G. За мен интересите на множеството трябва да преобладават над индивида. Само така ще се върнем към нормалността. Аз съм преболедувал - много леко, само за няколко часа. Имам и ваксина, най-вече защото така смятам, че мога да пазя по-добре другите хора около мен.


Но в България нещата не се развиват добре.


- Всичко тръгна от нашите политици. Те не показаха никакво лидерство, твърдост или стратегия. Първо имаше бой за ваксини, след това те се изхвърлят в кошчето. Допусна се в публичното пространство да говорят антиваксъри, като техните тези бяха легитимирани по този начин. Никъде на Запад не беше допуснато да се говори против науката по национални медии.


Вижте какво става в Италия - държава с възрастно население като България и висока смъртност. Те видяха, че с напредването на ваксинациите спряха да хвърчат линейките, спряха да измират хора, че ваксините работят. Италианците се убедиха, че правителството не е толкова сатанинско, и сега са на едно от първите места в ЕС по процент ваксинирани, а икономиката им е отворена изцяло и преживява истински ренесанс.


Преди няколко години, когато 20 възрастни хора в България загинаха при пътен инцидент, имаше национален траур. Сега всеки ден умират три пъти по толкова и на никого не му прави впечатление, защото личната свобода на група невежи била, видите ли, много важна.


Бихте ли направили предположение каква част от издаваните в България COVID-19 сертификати са фалшиви?


- Не ми се иска да съм прав, но от това, което чувам, особено от по-малките градове, бих казал, че 5-10% от сертификатите с голяма вероятност са фалшиви.


Ако се направи съпоставка на броя на притежаващите сертификат за ваксинация, но хоспитализирани в тежко състояние в България и в други държави, би могло да се разбере какъв е относителният дял на фалшивите сертификати. От там включително могат да се направят обосновани заключения кои са лекарите, злоупотребили с информационната ни система. И ако има разум в Министерството на здравеопазването, ще си направят сметка дали да потърсят отговорност от тези лекари.


Особено внимание трябва да се обърне и на личните лекари, защото при тях ваксинацията се извършва в неконтролирана среда - лекарят е на четири очи с пациента, докато във ваксинационните центрове, винаги има 6-7 човека, които участват в процеса.



За съжаление в по-малките населени места по-ниският образователен ценз обуславя скептицизма срещу ваксините да е по-силен. Лесно можете да проверите разликата в статистиките за ваксинирани в големите градове и малките населени места. Това не е проблем в големите градове.


По данни на здравното министерство 10% от починалите са били ваксинирани, докато в САЩ те са между 2 и 5 процента. Може ли чрез сравняване на фактите да се каже, че подобно несъответствие се дължи и на броя на фалшивите сертификати, издавани в България?


- За съжаление има много висока вероятност това да е така. Разбира се, този анализ не може да се базира само на крайни стойности, тъй като има множество други фактори, оказващи влияние. Но при изравнени променливи и при сравнение с идентичен обем данни от други държави, ако ние отново водим убедително в смъртността, вината ще бъде именно на мнимите ваксинирани.


Всичко, което трябва да знаете за:
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK