Системе цифровых сертификатов Евросоюза, позволяющих привитым от коронавируса людям путешествовать в пределах блока стран без необходимости проходить карантин, скоро исполнится неделя. ЕС, слегка порефлексировав по поводу этичности подобной системы, как и обещал, запустил её с 1 июля.
К этому времени из 450 миллионов человек, проживающих на территории стран Евросоюза, сертификаты получили около 200 миллионов. В документах указаны данные о том, вакцинирован ли обладатель сертификата или у него имеется свежий тест на COVID-19 с отрицательным результатом или же доказано наличие антител.
Получить доступ к сертификату, который содержит сканируемый QR-код, европейские граждане и неграждане, проживающие в ЕС на законных основаниях, могут в интернете. В зависимости от действующей национальной системы документ можно загрузить в мобильное приложение или распечатать. Государства обязаны предоставлять сканирующие устройства для проверки документации.
Еврокомиссией и прессой было сказано немало красивых слов о том, как новая система поможет возродить на территории блока туризм и облегчит жизнь простых европейских граждан во время сезона летних отпусков. Однако действительность принесла оптимистам немало сюрпризов.
Хаос в аэропортах
Уже в первый день работы системы появились сообщения об огромных очередях, образовавшихся из-за необходимости проверки сертификатов.
«Всё заблокировано», – жаловался один из работающих на стойке регистрации авиакомпании Brussels Airlines сотрудников. В это время в месте прохождения контроля сертификатов в аэропорту Брюсселя уже выстроилась огромная очередь, в которой о социальном дистанцировании никто из пассажиров уже, естественно, не вспоминал.
«Мы опоздаем на рейс», – волновалась пара с двумя детьми. «Это ковид, это процедура. Если вы опоздаете на свой рейс, мы подберём вам другой», – успокаивал их сотрудник компании.
В первый день работы системы появились сообщения об огромных очередях, которые образовались из-за проверки сертификатов.Фото: Europa Press/Contacto via ZUMA Press
В мадридском аэропорту Барахас очередей на проверку сертификатов не было, зато толпы озабоченных пассажиров метались по залам, выяснив, что для поездки им теперь необходим паспорт вакцинации. Многие из них не были предупреждены о его введении. Другие в силу почтенного возраста не смогли справиться с техникой для его получения и теперь пытались доказать своё право на поездку без этого документа. Третьи вообще летели не в Европу, но с пересадкой в европейских аэропортах, и не знали, понадобится ли сертификат в этом случае.
О риске возникновения подобных ситуаций накануне запуска системы цифровых сертификатов предупреждали руководители аэропортов и авиакомпаний, обратившиеся к лидерам ЕС. По их мнению, сертификаты должны проверяться онлайн до прибытия путешественников в аэропорт и только в пункте вылета. На данный момент их проверяют не только в аэропортах отправления, но и прибытия.
Кроме того, сами QR-коды, как выяснилось, имеют массу недоработок. По словам пресс-секретаря Brussels Airlines Маайке Андрис, QR-код в европейских сертификатах не привязан к пункту назначения путешественника.
Это означает, что авиакомпании по-прежнему должны проводить визуальный контроль, чтобы убедиться, что пассажир соответствует эпидемиологическим требованиям страны, в которую он направляется. Проверке подлежат в том числе и препараты, использованные при вакцинации, что представляет собой отдельную проблему.
Вас тут не стояло
На данный момент европейский сертификат вакцинации могут получить люди, привившиеся одним из четырёх зарегистрированных Европейским агентством по лекарственным средствам (EMA) препаратов – от компаний Pfizer-BioNTech, AstraZeneca, Moderna и Johnson & Johnson. При этом в список попал лишь препарат AstraZeneca, известный как Vaxzevria, выпущенный производителями EMA в Европе, Китае, Южной Корее и США. Вакцина, произведённая по той же технологии Индийским институтом сыворотки (SII) и вышедшая на рынок под названием Covishield, в перечень не входит.
Агентство настаивает на том, что, поскольку малейшие различия в условиях производства могут привести к несоответствию конечного продукта заданным параметрам, закон ЕС требует, чтобы до принятия какого-либо решения были проведены проверка и оценка процесса производства. При этом представители EMA заявили, что агентство не несёт ответственности за какие-либо решения, связанные со статусом вакцинации от коронавируса и ограничениями на поездки для тех, кто желает посетить страны ЕС.
Индия заявила, что предпримет контрмеры. И до тех пор, пока вакцину не признают, не будет освобождать обладателей европейских паспортов вакцинации от карантинов.Фото: Mahesh Kumar A/AP/TASS
Предсказуемо разразился скандал. Индия заявила, что примет контрмеры и до тех пор, пока вакцину не признают, не будет освобождать обладателей европейских паспортов вакцинации от необходимости проходить карантин. Африканский центр по контролю и профилактике заболеваний (Africa CDC) и Африканский союз (AU) напомнили, что именно Covishield был основным препаратом, переданным странам континента в рамках программы по снабжению COVAX. Озабоченность по поводу отказа включать индийскую вакцину в список разрешённых EMA выразил и британский премьер Борис Джонсон, так как препарат использовался в Соединённом Королевстве наряду с оригинальной AstraZeneca. Причём речь идёт о 5 миллионах привитых им британцев. Заволновались и в Канаде, где Covishield были вакцинированы 272 тысячи жителей.
Неудивительно, что под таким давлением уже пять стран Евросоюза – Эстония, Испания, Исландия, Словения и Греция – подтвердили, что признают сертификаты вакцинации, выданные после прививки Covishield, несмотря на отсутствие разрешения EMA. Ещё четыре страны – Австрия, Германия, Ирландия и Швейцария – также сняли ограничения для тех, кто использовал этот препарат, но официального заявления на эту тему их власти не сделали.
Согласно существующим правилам не одобренные на уровне Евросоюза вакцины тоже можно внести в сертификат. Право решать, пускать ли на свою территорию туристов с такими документами, остаётся за принимающими странами ЕС.
Раздолье для хакеров
Ещё на одну проблему, связанную с европейскими цифровыми сертификатами, уже указали эксперты по безопасности из немецкой компании G Data Cyber Defense AG, которые обнаружили в них ряд уязвимостей, в том числе риск подделки. Специалисты смогли изготовить поддельный цифровой сертификат вакцинации для человека, родившегося в 1843 году. Они создали цифровую личность, присвоив ей имя известного немецкого микробиолога и лауреата Нобелевской премии Роберта Коха. Вакцинация фальшивого Коха должна была состояться в 1890 году, то есть при его жизни, но приложение без проблем приняло этот сертификат.
Вакцинация фальшивого Роберта Коха должна была состояться в 1890 году, то есть при его жизни. Но приложение приняло этот сертификат о вакцинации без проблем.Фото: Wikipedia
Как уверяет один из ведущих специалистов по безопасности в G Data Тим Бергхофф, наиболее очевидным слабым местом системы является функция отображения цифрового доказательства вакцинации в приложении, поскольку электронная подпись не проверяется.
Кроме того, при оформлении свидетельства о вакцинации в аптеке или кабинете врача проверка данных не проводится, часто они бывают указаны неверно. При этом в качестве эмитента сертификата всегда выступает немецкое агентство по инфекционным заболеваниям или Институт имени Роберта Коха (RKI), а не та организация, которая в действительности выдала документ.
Сам RKI практически не получает информацию, а просто выдаёт криптографические ключи для подписания сертификатов вакцинации. Проще говоря, если аптека запросит доказательство вакцинации Дональда Дака, она, скорее всего, его получит, поясняют работники института.
В принципе, мошенникам нужен только поддельный сертификат о вакцинации, а проверить подлинность подписи врача, находящегося в другом городе или даже стране, вряд ли возможно.
Фальсификация документов, связанных с вакцинацией от коронавируса, карается законом Германии о защите населения от инфекционных болезней, поправки к которому вступили в силу 1 июня. Любому задержанному по подозрению в нарушении закона может грозить до двух лет тюремного заключения.
Тем не менее количество подделок сертификатов растёт, в том числе за счёт проникновения хакеров в системы аптек и создания фиктивных записей о вакцинации.
Ситуацию осложняет то, что такие сертификаты не могут быть отозваны, поскольку заверяются электронным способом.
Всё это происходит в стране, которая считается одной из самых законопослушных в Евросоюзе, и нет никаких гарантий, что обо всех имеющихся уязвимостях не осведомлены киберпреступники в Германии и за её пределами. В то же время неудивительно, что в ситуации, когда граждане явно не спешат ставить прививки (полностью вакцинировано менее 34 процентов населения Европы), а именно они становятся пропуском к абсолютному числу общедоступных благ, спрос на фальшивые паспорта вакцинации с QR-кодами только растёт.
Между тем, как показывает практика, наличие цифрового сертификата ЕС вовсе не гарантирует доступ в любую страну Европы. Например, та же Германия ввела до 29 июля карантинные меры в отношении прибывающих из Португалии. Там зафиксирована вспышка штамма «Дельта», ранее именовавшегося индийским. Теперь все приезжающие из этой страны обязаны проходить двухнедельный карантин даже при наличии QR-кодов, подтверждающих полную вакцинацию.