Národné centrum zdravotníckych informácií (NCZI) podalo trestné oznámenie na neznámeho páchateľa v súvislosti s aktivitami, ktoré ohlásila slovenská bezpečnostná IT spoločnosť Nethemba.
Ako na utorňajšom tlačovom brífingu uviedol generálny riaditeľ NCZI Pavol Capek, spoločnosť získala vakcinačné preukazy 10 politikov možno prostredníctvom sprostredkovaných informácií zvnútra štátu.
Podhodený scenár?
Je podľa neho možné, že scenár, ktorý spoločnosť použila, jej bol podhodený práve v súvislosti s výberom generálneho riaditeľa NCZI.
Viac o téme: Očkovanie proti koronavírusu na Slovensku
Národné centrum totiž podľa Capeka zaznamenalo aj niekoľko útokov iného typu a oveľa väčšieho rozsahu, dáta ľudí však neboli ohrozené.
Nezmyselné a zastrašujúce tvrdenia
Tvrdenia okrem iného aj o tom, že spoločnosť môže plošne získať a zneužiť vakcinačné certifikáty EÚ, sú podľa generálneho riaditeľa NCZI nezmyselné, tendenčné a zastrašujúce len pre to, aby sa firma spopularizovala.
Poukázal na to, že Nethemba už raz v priebehu výberového konania na generálneho riaditeľa NCZI urobila aktivitu, pri ktorej získala informácie od približne 90-tisíc obyvateľov. Vo vyhlásení spoločnosti je podľa Capeka niekoľko nezrovnalostí, nepresností, vymyslených fabulácií a klamstiev.
Národné centrum zdravotníckych informácií posilňuje call centrum, infolinku obslúži aj súkromná firma
„Napríklad uviedli, že na to prišli pri bežnom používaní. Pri bežnom používaní sa nedá náhodou nabúrať do niekoľkých profilov politikov, či do rodného čísla, ktoré je vymyslené,“ podotkol šéf NCZI. Táto aktivita bola podľa neho jednoznačne pripravená.
Pracujú na novom prihlasovaní
Národné centrum podľa Capeka prijalo opatrenia, aby bola zastavená funkcionalita, ktorá umožňovala zmenu telefónneho čísla a e-mailu. Úrad tak urobil ešte 2. augusta, ihneď po odhalení zraniteľnosti systému. Ako Capek podotkol, pôvodne bola táto funkcionalita nastavená pre ľudí, ktorí si potrebovali opraviť nesprávne zadané údaje. Nethemba sa však priznala, že prostredníctvom hacku na systémoch Úradu pred dohľad nad zdravotnou starostlivosťou získala údaje, na základe ktorých sa na NCZI prihlasovala.
Capek dodal, že systém eHranica je síce prevázdkovaný NCZI, formuláre systému však prevádzkuje Ministerstvo investícií, regionálneho rozvoja a informatizácie (MIRRI) SR. Všetok vstup, ktorý ide do systému NCZI, tak ide cez systémy rezortu, ktoré nad nimi robia prevádzkový a bezpečnostný dohľad.
Tretina Slovákov sa bojí očkovať zo strachu pred nežiaducimi účinkami. Všetky dlhodobé už poznáme, tvrdia vedci
„Na základe aktivity, ktorá nastala prostredníctvom firmy Nethemba, sme pred viac ako týždňom požiadali MIRRI, že by sme chceli prevádzkovať tie formuláre my a nastaviť na ne štandardné bezpečnostné prvky za účelom zlepšenia funkcionality a zvýšenia bezpečnosti,“ dodal Capek s tým, že NCZI pracuje na novom prostredí pre prihlasovanie do eHranice.
Prístup k vakcinačným preukazom
Nethemba tvrdí, že objavila spôsob, ako je možné získať vakcinačné preukazy všetkých zaočkovaných občanov iba na základe ich mena a dátumu narodenia.
Zneužijú hackeri COVID preukazy? IT spoločnosť Nethemba varuje pred možným únikom citlivých údajov
Firma pritom už v minulosti upozorňovala na riziko úniku osobných údajov všetkých zaočkovaných občanov zo strany NCZI. Podľa zverejnených údajov mala spoločnosť získať vakcinačné preukazy prominentných politikov.
Navrhuje ukončiť aplikáciu
„V aplikácii eHranica sme identifikovali kritickú zraniteľnosť, pomocou ktorej sme dokázali získať kontrolu nad vakcinačným profilom ľubovoľného človeka,“ vyhlasuje Nethemba. Vzhľadom na obrovský rozsah potenciálneho zneužitia navrhuje prevádzku aplikácie úplne ukončiť.
Zároveň upozorňuje, že v súčasnej dobe nie je možné vynucovať akúkoľvek karanténu alebo iné pravidlá, keďže každý môže argumentovať, že ho do systému eHranica zaregistroval niekto iný, kto len vedel jeho dátum narodenia.
