Het coronapaspoort moet binnenkort binnen Europa weer het vrije verkeer van personen mogelijk maken. Dit Digitale Certificaat wordt vanaf 1 juli officieel geïntroduceerd en vanaf vandaag geïntegreerd in de CoronaCheck-app. Met deze app wordt de qr-code nog breder in de samenleving gebruikt. Dat is in principe geen probleem, maar vereist wel onze aandacht.
Na de invoering van het coronapaspoort zou iedereen op Schiphol naast zijn paspoort ook zijn smartphone met deze app moeten laten zien om aan te tonen dat hij of zij gevaccineerd, onlangs getest of immuun voor het virus is. De uitgifte van de certificaten is in zeven landen alvast begonnen: Bulgarije, Tsjechië, Denemarken, Duitsland, Griekenland, Kroatië en Polen. De app laat een qr-code zien die toegang geeft tot de benodigde informatie uit het medisch dossier van elke Europese burger.
Nederland wacht tot vandaag (23 juni) met het verspreiden van de certificaten. Dit heeft ook nadelen, met name voor Nederlandse burgers die voor die datum op vakantie willen. Zij zullen het gele vaccinatieboekje moeten gebruiken, of zich houden aan de groene, gele en rode risicogebieden en de bijbehorende verplichtingen voor pcr-tests en quarantaines.
Privacyrisico’s
Dat het coronapaspoort gaat komen, is duidelijk. Dat neemt niet weg dat er nog wel veel discussie en onduidelijkheid bestaat. Vooralsnog wordt het gepresenteerd als een niet-verplicht document, dat moet worden getoond bij reizen, het bijwonen van belangrijke evenementen of voor het betreden van een openbare plaats. De vraag is welke praktische beperkingen dit oplevert voor personen die het coronapaspoort weigeren te gebruiken.
Daarnaast is de gekozen techniek een punt van aandacht. Het scannen van de qr-code maakt het weliswaar gemakkelijk om snel te controleren of de houder van het certificaat tegen Covid-19 is ingeënt, en geeft daarnaast ook informatie over de herkomst van het vaccin, of de persoon reeds drager van het virus is geweest en of hij of zij antilichamen heeft. Deze persoonlijke informatie kan in principe op een vrij eenvoudige manier gestolen worden door kwaadwillenden. Qr-codes zijn immers met vrijwel elke camera uit te lezen, wat vele malen eenvoudiger is dan de techniek achter het skimmen van bankpassen.
Hacken via qr-codes
Sinds het begin van de coronapandemie hebben allerlei sectoren, van de detailhandel tot gezondheidszorg, geprofiteerd van de voordelen van de qr-code. Daarbij zijn ze vaak vergeten aan welke gevaren ze de gebruikers, maar ook hun eigen systemen mogelijk blootstellen. Veel overheden en bedrijven zien de qr-code als een snelle en eenvoudige manier om personen te koppelen aan websites, promotiecampagnes, winkelkortingen, medische dossiers en mobiele betalingen.
Het hacken van systemen via qr-codes vereist nog de nodige skills, maar ligt binnen het bereik van vaardige hackers. Daarnaast zijn qr-codes in te zetten als vehikel om gebruikers te besmetten met malware, bijvoorbeeld door een qr-code onder valse voorwendselen (‘Gratis wifi!’) op een publieke plek achter te laten. Hackers maken actief gebruik van deze mogelijkheid, en ze proberen daarmee op allerlei manieren geld en persoonlijke gegevens van hun slachtoffers te stelen.
Risico’s voor bedrijven
Het mag duidelijk zijn: de invoering van het coronapaspoort zal leiden tot een nog massaler gebruik van qr-codes. Indirect lopen ook bedrijven gevaar door de explosieve groei van thuiswerken en het bring-your-own-device-beleid. Lang niet elk bedrijf heeft immers mobile device management (mdm)-software in gebruik om zowel zakelijke als persoonlijke devices van werknemers te beschermen.
Voor de gemiddelde gebruiker zien alle qr-codes er hetzelfde uit. In de haast van het dagelijks leven kan iedereen gemakkelijk in de val lopen op het moment dat de vraag komt om een qr-code te scannen, om vervolgens te worden omgeleid naar een valse website die vraagt om persoonlijke gegevens of die kwaadaardige software downloadt.
Er is dus alles aan gelegen om in de eerste plaats de bewustwording van de risico’s van qr-codes te vergroten. Gebruikers moeten voor het openen van de link achter elke qr-code altijd zeker zijn dat de gebruikte qr-code legitiem is, en bijvoorbeeld niet zomaar afgekorte bit.ly-links accepteren. In de tweede plaats moeten bedrijven de beveiliging van mobiele devices verbeteren om hun gebruikers beter te beschermen tegen phishing, ransomware, datalekken en identiteitsdiefstal. Door enkel aanvallen en downloads van kwaadaardige toepassingen te blokkeren, is de gegevensbeveiliging van een organisatie al aanzienlijk te verbeteren.
En voor burgers die geen waakzame werkgever of de mogelijkheid hebben om hun mobiele device extra beschermen? Die zijn voorlopig aan de heidenen overgeleverd.
