Billede: Getty Images
Generalrevisor i Vest-Australien har afleveret sin rapport til statens COVID-19 check-in-app, SafeWA, og afslørede, at ikke kun fik politiet adgang til dens data, men appen havde en række fejl, da den blev frigivet.
WA Health leverede SafeWA -appen i november 2020 for at udføre sporing af COVID -kontakt.
I sin rapport [PDF] sagde Rigsrevisionen (OAG), at det var bekymret over brugen af personlige oplysninger indsamlet via SafeWA til andre formål end sporing af COVID-kontakt.
I midten af juni indførte WA-regeringen lovgivning for at holde SafeWA-oplysninger væk fra de retshåndhævende myndigheder, efter at det blev afsløret, at politiet brugte det til at undersøge “to alvorlige forbrydelser”. Den offentlige besked omkring appen var, at den kun ville blive brugt til sporing af COVID -kontakt.
Se også: Australiens betjente skal minde om, at jagt på kriminelle ikke er samfundets eneste behov
“I marts 2021, som svar på vores revisionsspørgsmål omkring datatilgang og brug, afslørede WA Health, at det havde modtaget anmodninger og politiordrer i henhold til Criminal Investigation Act 2006 om at producere SafeWA -data til WA Police Force, “hedder det i rapporten.
WA Police Force beordrede adgang til dataene seks gange og anmodede om adgang ved en lejlighed. Ordren blev udstedt af fredens dommer efter ansøgning fra WA Police Force.
WA politistyrke fik påbud om at få adgang til SafeWA -data for sager, der undersøges, herunder et overfald, der resulterede i en skår i læben, et knivstikkeri, en mordundersøgelse og et potentielt karantænebrud.
Rigsrevisionen sagde, at WA Health i sidste ende gav adgang som reaktion på tre af ordrerne, inden lovgivningen blev vedtaget. Ansøgninger til WA Health den 14. december, 24. december og 10. marts blev sendt til politiet; ansøgninger den 24. februar, 1. april, 7. maj og 27. maj var ikke.
SafeWA -fortrolighedspolitikken, som brugerne skal acceptere inden brug, detaljer, som WA Health indsamler, behandler, opbevarer, videregiver og bruger personlige oplysninger om personer, der får adgang til og bruger SafeWA -mobilapplikationen. Rigsrevisionen sagde også, at oplysninger om enkeltpersoner kan videregives til andre enheder, f.eks. Retshåndhævelse, domstole, domstole eller andre relevante enheder.
De oplysninger, som SafeWA indsamler, omfatter følsomme personlige oplysninger såsom navn, e-mail-adresse, telefonnummer, besøgssted eller begivenhed, tid og dato og oplysninger om den enhed, der bruges til at tjekke ind.
Pr. 31. maj 2021 blev over 1,9 millioner individer og 98.569 spillesteder registreret i SafeWA -applikationen. Det samlede antal check-in-scanninger mellem december 2020 og maj 2021 oversteg 217 millioner.
Ud over at politiet fik adgang til kontaktsporingsdata, kort efter den første frigivelse af SafeWA, led appen et systemafbrydelse på grund af dårlig styring af ændringer, idet Riksrevisionen sagde, at dette satte tilgængeligheden af SafeWA i fare.
“WA Health har behandlet denne risiko og fortsætter med at administrere leverandørkontrakten, som har krævet ændringer, efterhånden som statens strategi for brugen af SafeWA har udviklet sig,” hedder det i rapporten.
Appen blev leveret af GenVis og er hostet i Amazon Web Services (AWS) skyen. Den samlede kontraktværdi var oprindeligt 3 millioner dollars, men den er siden steget til 6,1 millioner dollars over tre år.
GenVis sagde, at det har processer på plads til at slette indtjekningsdata 28 dage efter indsamling. Hvis et offentligt medlem tester positivt for COVID-19 eller kvalificerer sig som en tæt kontakt, kan WA Health gemme et delsæt af de data, der er relevante for den sag, på ubestemt tid. Rigsrevisionen sagde, at dette er i modstrid med WA Healths lognings- og overvågningsstandard, som kræver opbevaring i mindst syv år og, hvor det er muligt, i systemets livscyklus.
Af yderligere bekymring for Riksrevisionen var, at WA Health ikke overvåger SafeWA -adgangslogger for at identificere uautoriseret eller upassende adgang til SafeWA -oplysninger.
Riksrevisionen rejste også problemer med WA Health og GenVis mulighed for kun at anmode om, ikke håndhæve, at AWS ikke overfører, gemmer eller behandler data uden for Australien.
WA Health bruger udbyderstyrede krypteringsnøgler til SafeWA, som er gemt i AWS-databasen, i stedet for selvstyrede nøgler, hvor cloud-udbyderen ikke har synlighed eller adgang til dem.
“WA Health informerede os om, at den aktuelle løsning er påkrævet, så AWS kan få adgang til nøgler via software til at udføre platformvedligeholdelse og støtte leverandøren med tekniske problemer,” hedder det i rapporten. “Selvom sandsynligheden er lav, kan skyudbyderen blive pålagt at videregive SafeWA-oplysninger til oversøiske myndigheder, da den er underlagt disse love.”
Se også: Rigsadvokaten opfordres til at fremlægge fakta om Amerikansk retshåndhævende adgang til COVIDSafe
Inden WA Health identificerede, at SafeWA -registrering kunne afsluttes med et forkert nummer eller en andens telefonnummer, tilføjede OAG.
“Det var fordi SafeWA ikke fuldt ud bekræftede en brugers telefonnummer under registreringsprocessen,” stod der. “På grund af tidspunktet for SafeWA-udvikling og WA Healths behov for at afbalancere risiko med implementering, blev dette problem kun delvist løst, før det gik live. De resterende svagheder kunne udnyttes til at registrere falske konti og check-ins.”
< p> Problemet blev løst i februar.
Det var ikke kun politiet, der muligvis havde adgang til kontaktsporingsdata, men Rigsrevisionen bemærkede, at det også var bekymret over den begrænsede kommunikation omkring WA Healths brug af personlige oplysninger indsamlet af andre offentlige enheder, herunder Transperth SmartRider, Police G2G grænseovergangskort data og CCTV -optagelser i dets kontaktsporingsindsats. Under revisionen identificerede Rigsrevisionen også, at WA Health's Mothership og Salesforce-baserede Public Health COVID Unified System (PHOCUS) får adgang til SafeWA-data.
“Når WA Health modtager bekræftelse på en positiv COVID-19-sag fra en patologiklinik, bruger den PHOCUS til at indsamle data, der er relevante for sagen, fra flere kilder,” står der i rapporten
“WA Health har ikke givet samfundet tilstrækkelige oplysninger om andre personlige oplysninger, som de får adgang til til at hjælpe med at spore kontakter.”
Mothership-kontaktopsporingsprogrammet, sagde OAG, har sikkerhedssvagheder, herunder en svag adgangskodepolitik og inkonsekvent brug af multifaktorgodkendelse. Riksrevisionen er ved at udarbejde en separat rapport med fokus på moderskibet og FOKUS.
RELATERET DÆKNING
Vest-Australien tænker endelig på at sætte COVID-check-in information fra politiet i karantæneCOVIDSafe uploadede 1,65 m 'håndtryk' og blev kun brugt af NSW og Victoria328 svagheder fundet af WA-generalrevisor i 50 lokale myndighedssystemer At leve med COVID-19 skaber et dilemma for fortrolighed for os alle
Relaterede emner:
Australia Security TV Data Management CXO Data Centers