Skriftlig innspill fra Trond Arve Wasskog

Høring: Skriftlig innspill til forslag om midlertidige endringer i smittevernloven mv. (koronasertifikat) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning (EU) om koronasertifikat i EØS-avtalen
Innspillsdato: 28.05.2021

Tekniske utfordringer og risiki med koronasertifikater

Koronasertifikatene skaper en pan-europeisk infrastruktur for automatisert, administrativ kontroll av borgerne. Denne infrastrukturen kan vise seg å bli vanskelig å løsrive fra helsesystemene våre i ettertid. Den den raske utrullingen av sertifikatene vil bare forsterke problemene som følger med denne typen infrastruktur.

Spesielt presserende er det at forslaget blir rullet ut uten en ordentlig konsekvensanalyse eller risikoanalyse. Det er ingen god forståelse av risikoen eller hvilke tiltak som kan være helt nødvendige for å redusere disse risikoene.

Sikkerheten i systemet er avhengig av digitale signaturer. For at et sertifikat skal kunne godtas, må signaturen være gyldig, og signeringsnøkkelen må være klarert.

Sikkerhet er altså avhengig av at (1) signeringsnøklene er godt beskyttet, og (2) at de som kan lage signaturer er klarerte. Rammeverket forutsetter at sertifikatene kan utstedes av sykehus, testsentre, og helsemyndigheter. Følgende risikopunkter må adresseres, på tvers av EU/EØS:

  • Vil alle autoriserte ansatte ved disse institusjonene ha sin egen signeringsnøkkel?
  • I så fall hvordan vil de bli sikret? Hvordan kan vi være sikre på at de ikke er kompromittert?
  • Ansatte kan miste nøklene, eller låne dem til andre, frivillig eller under tvang.

En vanlig løsning for å unngå problemene med å stole på menneskers håndtering av nøkler, er å outsource signeringsnøkkelen til tredjepart eller IT-systemer som er lettere å sikre, og at disse signerer på deres vegne. Hvis signering blir outsourcet, hvordan kan signatøren forsikre at de lager et sertifikat for riktig person? Eller at denne personen har blitt vaksinert? Hvordan er det mulig å vite om en autorisert person ba om signaturen og ikke en hacker med kontroll over en datamaskin?

Koronasertifikat-infrastrukturens sikkerhet avhenger med andre ord av at:

  • Ingen signaturnøkler blir stjålet eller kompromittert
  • Ingen IT-systemer ved testsentre eller sykehus blir hacket
  • Ingen ansatte (lege, sykepleier, IT, etc) ved testsentre eller sykehus er korrupte eller tvinges til å gi fra seg nøkler, i alle institusjoner på tvers av alle land i EU/EØS.

Hvis det skjer et sikkerhetsbrudd på et sted av de mange tusen mulige, er infrastrukturen sårbar for svindel i stor skala, fordi mange ulovlige sertifikater lett kan produseres.

Systemet er med andre ord ikke «secure by design». Sikkerhet avhenger av at mange aktører oppfører seg innenfor de teoretiske rammene skissert ovenfor. I et så komplekst system, der mange aktører med begrenset digital kompetanse forventes å delta, er det stor sannsynlighet for at de teoretiske rammene overskrides.

En annen sårbarhet er eventuell revokering (tilbakekalling) av kompromitterte nøkler. Revokering er en av de mest komplekse og vanskeligste oppgavene innen sikkerhet. Lettvint eller mangelfull håndtering av denne prosessen lar døren stå åpen for dårlige eller feilaktige implementeringer som enten kan redusere sikkerheten, redusere nytteverdien eller begge deler.

Oppsummert: Det er stor risiko for sikkerhetsbrister, sårbarheter, korrupsjon og svindel når man ruller ut en slik omfattende infrastruktur på tvers av hele EU/EØS. Man kan ikke la seg blende av tekniske uttrykk som «secure by design». Infrastrukturen er avhengig av et stort antall mennesker som skal forholde seg til nye prosesser, systemer og teknologi på kort tid. Dette innebærer vesentlig risiko for misbruk og svindel.