Social media
#CyberMagazyn: Handel fałszywymi certyfikatami COVID-19 w sieci kwitnie. „Kluczem weryfikacja”
Choć za fałszywy certyfikat szczepienia przeciwko COVID-19 grozi kara do 5 lat więzienia, chętnych nie brakuje. Polacy są gotowi, by zaryzykować – wszystko po to, by mieć możliwość przekroczenia granic. Tych krajowych i tych moralnych. W myśl zasady: „jest popyt, jest podaż” handel fałszywymi certyfikatami w sieci kwitnie.
Na ogłoszenia w tej sprawie można natrafić na Facebooku, sami znaleźliśmy także wpis zachęcający do zakupu certyfikatu potwierdzającego szczepienie na jednym z popularnych portali e-commerce czy na lokalnym serwisie ogłoszeniowym: „Szczepienie Covid-19 Paszport Unijny z wpisem do IKP Unijny Certyfikat Covid w 24h bez wychodzenia z domu. UCC Negatywny wynik testu na COVID-19” (pisownia oryginalna – red). Certyfikaty są wystawiane nie tylko przez cyberprzestępców, którzy są w stanie je podrobić, ale także – niestety – przez lekarzy, którzy za cenę między 500 a 1500 złotych (tę ostatnią stawkę podaje serwis Spider's Web) są gotowi wystawić go „zaufanym osobom”. Choć grozi za to postępowanie karne i dyscyplinarne, obie strony są gotowe ryzykować.
Niepokojący trend zaobserwowali także specjaliści z Check Point Software – w tym przypadku oszuści i cyberprzestępcy wykorzystują również komunikatory internetowe (takie jak np. Telegram czy Signal) do handlowania zaświadczeniami o szczepieniu przeciwko COVID-19 i/lub negatywnymi testami na obecność przeciwciał SARS-CoV-2.
Eksperci alarmują, że drastycznie rośnie również liczba użytkowników zainteresowanych fałszywymi certyfikatami. Informują, że jedna z grup internetowych zrzeszająca handlarzy podróbkami i ich klientów posiada obecnie ponad 7 tysięcy członków.
W ramach szyfrowanych komunikatorów pojawiają się kanały w różnych językach. Część ofert rzeczywiście kończy się wystawieniem certyfikatu, a część to zwykłe wyłudzanie pieniędzy. Takiej procedury nie zgłosi się przecież na policję, oświadczając, że „chciało się kupić fałszywy certyfikat szczepienia”.
Efekt rządowych ograniczeń i nie tylko
Oded Vananu, ekspert firmy Check Point Software podkreśla, że wzrost zainteresowania tego typu podrobionymi dokumentami jest efektem wprowadzanych kolejnych restrykcji i ograniczeń dla osób niezaszczepionych. Najlepszym tego przykładem jest Francja, gdzie korzystanie z restauracji, kin czy innych wydarzeń kulturalnych i sportowych to przywilej dla obywateli, którzy przyjęli preparat przeciwko COVID-19 lub mają negatywny wynik testu.
„Ogromne zainteresowanie, a co za tym idzie szansa na wysoki zarobek, nakręca nielegalną działalność, która może skutkować kolejnymi ogniskami infekcji i dalszymi mutacjami wirusa. Niestety zagrozi to szybszemu powrotowi do normalności znanej sprzed epidemii” – uważa Oded Vananu, ekspert firmy Check Point Software.
Pomimo nakładanych ograniczeń, wiele osób nadal nie chce się szczepić. Z drugiej jednak strony domagają się powrotu do normalnego życia, dlatego szukają sposobów, aby skutecznie objeść rządowe zalecenia. To wszystko sprawiło, że nie tylko Polska, ale także inne europejskie kraje mają dzisiaj problem z handlem fałszywymi certyfikatami, a proceder ten naraża na utratę zdrowie i życia innych ludzi.
Ministerstwo Zdrowia: to problem głównie w UE
W związku z coraz bardziej widocznym problemem fałszywych certyfikatów kilka dni temu postanowiliśmy skontaktować się z Ministerstwem Zdrowia. W odpowiedzi resort wskazał, że jest świadomy obrotu sfałszowanymi zaświadczeniami o szczepieniu, lecz głównie w Unii Europejskiej, a nie w Polsce. Dodatkowo oświadczył, że „nie otrzymuje żadnych sygnałów dotyczących prób fałszowania danych na etapie ich wprowadzania do systemu”.
Przypomnijmy, że MZ i Centrum e-Zdrowia odpowiadają za bezpieczeństwo znajdujących się w elektronicznych bazach informacji oraz ich integralność w odniesieniu do wystawianych certyfikatów. „Dokładamy starań, by wprowadzane dane były bezpieczne, zwalidowane i umożliwiały wystawianie wiarygodnych zaświadczeń w systemie Unijnych Certyfikatów Covid” – podkreśliło ministerstwo w odpowiedzi dla naszego portalu.
Równocześnie resort zdrowia odradza obywatelom posługiwania się sfałszowanymi dokumentami, ponieważ – jak wyjaśniono: „system wydawania certyfikatów w Polsce jest oparty na indywidualnych identyfikatorach dokumentów, które są poddawane weryfikacji w momencie okazania”. Dodatkowo potwierdzana jest również tożsamość osoby posiadającej taki certyfikat, w związku z tym „szanse na to, że sfałszowany dokument spełni kryteria weryfikacji są niskie” – wyjaśniło ministerstwo dla naszego portalu.
Zmiana strategii
Taką odpowiedź otrzymaliśmy jednak kilka dni przed zmianą strategii resortu - od około tygodnia widać, że komunikacja Ministerstwa Zdrowia jest już inna. Krótko po nadesłanej portalowi CyberDefence24.pl odpowiedzi, minister zdrowia Adam Niedzielski stwierdził, że „będzie weryfikacja doniesień o handlu certyfikatami szczepień, bo to skrajna nieodpowiedzialność”.
„Zaangażujemy służby kontrolne NFZ w weryfikację doniesień o handlu certyfikatami szczepień; to wyraz skrajnej nieodpowiedzialności, nie wyobrażam sobie, żeby ktoś ze środowiska medycznego brał na siebie odpowiedzialność fałszowania dokumentacji medycznej” – ocenił.
Podczas konferencji w ubiegłym tygodniu przyznał także, że jest po rozmowie z prezesem Naczelnej Rady Lekarskiej prof. Andrzejem Matyją, który potwierdził, że „takie praktyki mogą mieć miejsce”, ale zaznaczył, że „nie były to sygnały o konkretnych sytuacjach, tylko dotyczące tego, że takie praktyki mogą mieć miejsce”.
Od 3 miesięcy do 5 lat
Handel podrobionymi certyfikatami o szczepieniu przeciwko COVID-19 należy do kategorii przestępstw opisanych w art. 270 par. 1 Kodeksu karnego, który odnosi się do fałszowania dokumentów.
"Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5". – brzmi art. 270a Kodeksu karnego.
„Odpowiedzialności karnej podlega ten, kto w celu użycia za autentyczny podrabia lub przerabia dokument, co może dotyczyć sprzedawcy sfałszowanego certyfikatu/zaświadczenia szczepienia oraz ten kto takiego sfałszowanego dokumentu jako autentycznego używa, co może dotyczyć kupującego sfałszowany certyfikat/zaświadczenie szczepienia” – podkreśla w odpowiedzi dla naszego portalu kom. Piotr Świstak z Komendy Głównej Policji.
"Dokumentem jest każdy przedmiot lub inny zapisany nośnik informacji, z którym jest związane określone prawo, albo który ze względu na zawartą w nim treść stanowi dowód prawa, stosunku prawnego lub okoliczności mającej znaczenie prawne". – to z kolei definicja dokumentu według art. 115 par. 14 Kodeksu karnego.
"Za popełnienie tego typu przestępstwa grozi kara grzywny, ograniczenia wolności lub też pozbawienia wolności od 3 miesięcy do 5 lat. „Ponadto Ustawa kodeks karny przewiduje również karalność przygotowania do przestępstwa opisanego w treści art. 270 par. 1 kk, o czym mówi par. 3" – dodaje kom. Piotr Świstak.
Jak udało się ustalić naszej redakcji, policja w naszym kraju prowadziła do tej pory 2 postępowania przygotowawcze dotyczące podrobienia albo posłużenia się jako autentycznym zaświadczeniem o zaszczepieniu przeciw COVID-19.
W jednym przypadku zakończyło się ono umorzeniem wobec braku znamion przestępstwa. Z kolei drugie dotyczyło usiłowania sprzedaży przez serwis ogłaszamy.pl zaświadczeń o zaszczepieniu przeciw COVID-19 i zakończyło się aktem oskarżenia przeciwko jednemu podejrzanemu. Skala zjawiska jest jednak znacznie większa, co pokazuje fakt, że każdy zainteresowany bez większych problemów może dotrzeć do handlarzy, oferujących swoje „usługi” w internecie.
Ekspert: Fałszerstwo praktycznie niemożliwe
W rozmowie z portalem CyberDefence24.pl Marcin Marciniak, ekspert wdrożeniowy Cyber Security Implementations w EY Polska zaznacza, że problem z zaświadczeniami szczepień jest dwojaki. „Po pierwsze, dotyczy handlu fałszywymi zaświadczeniami szczepiennymi, które nie mają formy Unijnego Certyfikatu Covid. Są stosunkowo proste do podrobienia, przykładowo świadectwo negatywnego wyniku testu wydane w wielu krajach poza UE nie jest objęte żadnym mechanizmem, który jest możliwy do sprawdzenia - czy ten certyfikat został podrobiony na drodze cyfrowej, czy analogowej. Zatem papierowa wersja zaświadczenia, która nie zawiera żadnego mechanizmu kryptograficznego, a jest jedynie klasycznym zaświadczeniem urzędowym jest możliwie łatwa do podrobienia. Miało to miejsce na większą skalę w Stanach Zjednoczonych, Kanadzie, Francji, Hiszpanii, Niemczech - choć tam wejście Unijnego Certyfikatu Covid chronionego metodami kryptograficznymi bardzo ten proceder ukróciło – podkreśla.
Marciniak dodaje, że z drugiej strony mamy certyfikaty unijne, wydawane także przez nasze Ministerstwo Zdrowia. „Ich mechanizm jest dobrze opisany, wykorzystuje zdobycze kryptografii. Jego nośnikiem jest udokumentowany cyfrowy kod QR. Podpis zabezpieczany jest kluczem prywatnym, którego autentyczność można zweryfikować za pomocą właściwej aplikacji. Zawartość certyfikatu COVID jest spójna i istnieje procedura weryfikacji kluczy wydanych przez właściwy urząd - to najważniejsza przewaga cyfrowego zaświadczenia. O ile klucze nie zostaną skradzione, o ile nie było włamania do systemu, który te certyfikaty wydaje; o tyle podrobienie takiego certyfikatu polegające na wydaniu nieistniejącego w systemie zaświadczenia jest bardzo mało prawdopodobne, praktycznie niemożliwe” – podkreśla.
Jak dodaje, informacje osobiste, czyli imię i nazwisko, a także dane dotyczące szczepienia, testu lub wyzdrowienia z choroby zostają zakodowane, a po zakodowaniu podpisane cyfrowo kluczem prywatnym urzędu, który je wystawił. „Zatem, dopóki ktoś nie włamie się do systemu lub ewentualnie nie podrobi klucza, bądź też w systemie nie będzie poważnej wady rozwiązań kryptograficznych - o tyle podrobienie takiego dokumentu będzie nadzwyczaj trudne. Zastosowane tam mechanizmy klucza publicznego są znane od lat, korzystamy z nich praktycznie codziennie w internecie” – stwierdza.
W rozmowie z portalem CyberDefence24.pl przyznaje, że w procesie weryfikowania zaświadczeń widzi jednak dwie słabości: pierwsza i najważniejsza polega na tym, że certyfikatów się nie sprawdza tam, gdzie to się powinno robić. „Są odpowiednie narzędzia, które umożliwiają ich weryfikację za pomocą aplikacji. Jeśli ktoś nie wierzy aplikacji, może takie sprawdzenie przeprowadzić samemu. Musi być jednak ktoś, kto to zrobi. Musi być ktoś, kto sprawdzi podpis cyfrowy poprzez wczytanie kodu QR, ale także zweryfikuje tożsamość osoby, która się tym certyfikatem posługuje za pomocą standardowych dokumentów tożsamości takich jak choćby paszport. I tutaj mamy słaby punkt, ponieważ są miejsca, gdzie nikt tego nie robi. Kwestie zabezpieczeń kryptografii sprawiają, że fałszerstwo jest praktycznie niemożliwe, jednak błąd polega na tym, że weryfikacja odbywa się bardzo rzadko” – uważa.
Zdaniem Marcina Marciniaka, odpowiedzialność ciąży także na lekarzach, którzy wprowadzają do systemu dane dotyczące szczepień czy przebycia choroby.
„To nie jest czynność automatyczna, wykonuje ją człowiek, dlatego jest trudna do zweryfikowania i mogą pojawić się nadużycia polegające na wystawieniu dokumentu niezgodnie z etyką. To nie słabość systemu, a czynnik ludzki. Opór i niechęć związana z pokazywaniem certyfikatów może rzeczywiście przerodzić się w chęć pozyskiwania ich w nielegalny sposób, ale trudno jest to teraz ocenić. Być może to kwestia większej kontroli. O wiele trudniej będzie taki certyfikat podrobić niż wystawić go na niewłaściwą osobę przez nieuczciwy personel, który posiada do tego uprawnienia” – podsumowuje.
Naczelny Rzecznik Odpowiedzialności Zawodowej lek. Grzegorz Wrona podkreślał w niedawno wydanym oświadczeniu, że do Naczelnej Izby Lekarskiej dochodzą informacje o udziale lekarzy w wystawianiu fałszywych zaświadczeń potwierdzających szczepienia przeciwko COVID-19 oraz związanymi z tym działaniami polegającymi na niszczeniu dawek szczepionek i fałszowaniu dokumentacji medycznej w celu uzasadnienia wydania takiego zaświadczenia”.
W jego ocenie takie postępowanie należy uznać za przewinienie zawodowe, a lekarz albo lekarz dentysta podejmujący takie działania, w sposób rażący narusza zasady etyki lekarskiej oraz przepisy związane z wykonywaniem zawodu. Może to stanowić przestępstwo i prowadzić do odpowiedzialności karnej. „Uzyskanie wiarygodnej informacji o udziale konkretnego lekarza albo lekarza dentysty w procesie wystawiania fałszywych zaświadczeń będzie skutkować wszczęciem w takiej sprawie postępowania wyjaśniającego w przedmiocie odpowiedzialności zawodowej a także zawiadomieniem właściwych organów ścigania” – wskazał.
W ostatnich dniach w Polsce doszło do fizycznych ataków na osoby pracujące w punktach szczepień. W niedzielę w nocy podpalono mobilny punkt szczepień i budynek sanepidu w Zamościu (woj. lubelskie). Sprawca nadal jest poszukiwany. Natomiast pod koniec lipca doszło do zamieszek - grupa osób chciała wtargnąć do punktu i zaatakowała pracowników placówki w Grodzisku Mazowieckim.
Unijny Certyfikat COVID obowiązuje od 1 lipca na terenie Unii Europejskiej, a Polska jest jednym z państw, które brały udział w pilotażu tego rozwiązania. Można go pobrać w Internetowym Koncie Pacjenta IKP, następnie trzeba się zalogować, wybrać rodzaj certyfikatu i pobrać kod QR. Obejmuje on osoby, które zostały zaszczepione jednodawkową szczepionką lub przyjęły dwie dawki i minęły przynajmniej dwa tygodnie od szczepienia. UCC może posiadać także osoba, która uzyskała negatywny wynik testu na koronawirusa (jest ważny przez 48 godzin), a także jeśli jest ozdrowieńcem (wtedy jest ważny od 11. do 180. dnia od uzyskania pozytywnego testu na wynik testu PCR).
Autorzy: Nikola Bochyńska & Szymon Palczewski
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany