V kauze získaných vakcinačných preukazov podalo NCZI trestné oznámenie na neznámeho páchateľa
Podľa generálneho riaditeľa NCZI Pavla Capeka je možné, že scenár, ktorý spoločnosť použila, jej bol podhodený práve v súvislosti s výberom generálneho riaditeľa NCZI.
Národné centrum zdravotníckych informácií (NCZI) podalo trestné oznámenie na neznámeho páchateľa v súvislosti s aktivitami, ktoré ohlásila slovenská bezpečnostná IT spoločnosť Nethemba.
Ako na utorňajšom tlačovom brífingu uviedol generálny riaditeľ NCZI Pavol Capek, spoločnosť získala vakcinačné preukazy 10 politikov možno prostredníctvom sprostredkovaných informácií zvnútra štátu.
Je podľa neho možné, že scenár, ktorý spoločnosť použila, jej bol podhodený práve v súvislosti s výberom generálneho riaditeľa NCZI. Národné centrum totiž podľa Capeka zaznamenalo aj niekoľko útokov iného typu a oveľa väčšieho rozsahu, dáta ľudí však neboli ohrozené.
Zneužitie certifikátov
Tvrdenia okrem iného aj o tom, že spoločnosť môže plošne získať a zneužiť vakcinačné certifikáty EÚ, sú podľa generálneho riaditeľa NCZI nezmyselné, tendenčné a zastrašujúce len pre to, aby sa firma spopularizovala.
Poukázal na to, že Nethemba už raz v priebehu výberového konania na generálneho riaditeľa NCZI urobila aktivitu, pri ktorej získala informácie od približne 90-tisíc obyvateľov. Vo vyhlásení spoločnosti je podľa Capeka niekoľko nezrovnalostí, nepresností, vymyslených fabulácií a klamstiev.
„Napríklad uviedli, že na to prišli pri bežnom používaní. Pri bežnom používaní sa nedá náhodou nabúrať do niekoľkých profilov politikov, či do rodného čísla, ktoré je vymyslené,“ podotkol šéf NCZI. Táto aktivita bola podľa neho jednoznačne pripravená.
Prijali opatrenia
Národné centrum podľa Capeka prijalo opatrenia, aby bola zastavená funkcionalita, ktorá umožňovala zmenu telefónneho čísla a e-mailu. Úrad tak urobil ešte 2. augusta, ihneď po odhalení zraniteľnosti systému.
Ako Capek podotkol, pôvodne bola táto funkcionalita nastavená pre ľudí, ktorí si potrebovali opraviť nesprávne zadané údaje. Nethemba sa však priznala, že prostredníctvom hacku na systémoch Úradu pred dohľad nad zdravotnou starostlivosťou získala údaje, na základe ktorých sa na NCZI prihlasovala.
Systém eHranica
Capek dodal, že systém eHranica je síce prevádzkovaný NCZI, formuláre systému však prevádzkuje Ministerstvo investícií, regionálneho rozvoja a informatizácie (MIRRI) SR.
Všetok vstup, ktorý ide do systému NCZI, tak ide cez systémy rezortu, ktoré nad nimi robia prevádzkový a bezpečnostný dohľad.
„Na základe aktivity, ktorá nastala prostredníctvom firmy Nethemba, sme pred viac ako týždňom požiadali MIRRI, že by sme chceli prevádzkovať tie formuláre my a nastaviť na ne štandardné bezpečnostné prvky za účelom zlepšenia funkcionality a zvýšenia bezpečnosti,“ dodal Capek s tým, že NCZI pracuje na novom prostredí pre prihlasovanie do eHranice.
Riziko úniku osobných údajov
Nethemba tvrdí, že objavila spôsob, ako je možné získať vakcinačné preukazy všetkých zaočkovaných občanov iba na základe ich mena a dátumu narodenia. Firma pritom už v minulosti upozorňovala na riziko úniku osobných údajov všetkých zaočkovaných občanov zo strany NCZI.
Podľa zverejnených údajov mala spoločnosť získať vakcinačné preukazy prominentných politikov. „V aplikácii eHranica sme identifikovali kritickú zraniteľnosť, pomocou ktorej sme dokázali získať kontrolu nad vakcinačným profilom ľubovoľného človeka,“ vyhlasuje Nethemba.
Vzhľadom na obrovský rozsah potenciálneho zneužitia navrhuje prevádzku aplikácie úplne ukončiť. Zároveň upozorňuje, že v súčasnej dobe nie je možné vynucovať akúkoľvek karanténu alebo iné pravidlá, keďže každý môže argumentovať, že ho do systému eHranica zaregistroval niekto iný, kto len vedel jeho dátum narodenia.
Sledujte novinky zo Zdravotníctva na Zdravotnícke správy - Zdravoteka.sk, Farmaceuti na Slovensku - Zdravoteka.sk, Zdravotné sestry - Zdravoteka.sk, alebo ich odoberajte cez e-mail.
Sledujte novinky zo Zdravotníctva na:
Zdravotnícke správy - Zdravoteka.sk
Farmaceuti na Slovensku - Zdravoteka.sk
Zdravotné sestry - Zdravoteka.sk
...alebo ich odoberajte cez e-mail: