Bilde: Getty Images
Riksrevisjonen i Vest-Australia har levert sin rapport til statens COVID-19 innsjekkingsapp, SafeWA, og avslørte at ikke bare fikk politiet tilgang til dataene sine, men appen hadde en rekke feil da den ble utgitt.
WA Health leverte SafeWA -appen i november 2020 for å utføre sporing av COVID -kontakt.
I sin rapport [PDF] sa Riksrevisjonen (OAG) at det var bekymret for bruken av personlig informasjon samlet inn gjennom SafeWA til andre formål enn sporing av COVID-kontakter.
I midten av juni innførte WA-regjeringen lovgivning for å holde SafeWA-informasjon borte fra politimyndigheter etter at det ble avslørt at politistyrken brukte den til å etterforske “to alvorlige forbrytelser”. Den offentlige meldingen rundt appen var at den bare skulle brukes til sporing av kontakt med COVID.
Se også: Australias politimenn må minne om at det å jakte på kriminelle ikke er samfunnets eneste behov
“I mars 2021, som svar på vårt revisjonsspørsmål rundt datatilgang og bruk, avslørte WA Health at det hadde mottatt forespørsler og politiordre i henhold til Criminal Investigation Act 2006 om å produsere SafeWA -data til WA Police Force, “heter det i rapporten.
WA politistyrke beordret tilgang til dataene ved seks anledninger og ba om innsyn ved en anledning. Påleggene ble gitt av Justices of the Peace etter søknad fra WA Police Force.
WA politistyrke fikk pålegg om å få tilgang til SafeWA -data for saker som etterforskes, inkludert et overfall som resulterte i skader på leppen, et knivstikk, en drapsetterforskning og et potensielt karantenebrudd.
Riksrevisjonen sa at WA Health til slutt ga tilgang som svar på tre av påleggene før lovgivningen ble vedtatt. Søknader til WA Health 14. desember, 24. desember og 10. mars ble sendt til politiet; søknader 24. februar, 1. april, 7. mai og 27. mai var ikke det.
Personvernerklæringen for SafeWA, som brukerne må godta før bruk, detaljer som WA Health samler inn, behandler, oppbevarer, avslører og bruker personlig informasjon om personer som får tilgang til og bruker SafeWA -mobilappen. Riksrevisjonen sa også at informasjon om enkeltpersoner kan bli avslørt for andre enheter som rettshåndhevelse, domstoler, domstoler eller andre relevante enheter.
Informasjonen som SafeWA fanger inkluderer sensitiv personlig informasjon som navn, e-postadresse, telefonnummer, sted eller begivenhet som er besøkt, tid og dato og informasjon om enheten som ble brukt til å sjekke inn.
Per 31. mai 2021 ble over 1,9 millioner individer og 98 569 arenaer registrert i SafeWA -applikasjonen. Det totale antallet innsjekkingsskanninger mellom desember 2020 og mai 2021 oversteg 217 millioner.
I tillegg til at politiet fikk tilgang til kontaktsporingsdata, kort tid etter den første utgivelsen av SafeWA, fikk appen et systembrudd på grunn av dårlig styring av endringer, og Riksrevisjonen sa at dette satte tilgjengeligheten av SafeWA i fare.
“WA Health har adressert denne risikoen og fortsetter å administrere leverandørkontrakten som har krevd endringer etter hvert som statens strategi for bruk av SafeWA har utviklet seg,” heter det i rapporten.
Appen ble levert av GenVis og er plassert i Amazon Web Services (AWS) -skyen. Den totale kontraktsverdien var opprinnelig 3 millioner dollar, men den har siden steget til 6,1 millioner dollar over tre år.
GenVis sa at den har prosesser på plass for å slette innsjekkingsdata 28 dager etter innsamling. Hvis et medlem av offentligheten tester positivt for COVID-19 eller kvalifiserer som en nær kontakt, kan WA Health lagre et delsett av dataene som er relevante for den saken på ubestemt tid. Riksrevisjonen sa at dette er i strid med WA Healths loggings- og overvåkingsstandard, som krever oppbevaring i minst syv år og der det er mulig for systemets livssyklus.
Av ytterligere bekymring for Riksrevisjonen var at WA Health ikke overvåker SafeWA -tilgangslogger for å identifisere uautorisert eller upassende tilgang til SafeWA -informasjon.
Riksrevisjonen tok også opp problemer med WA Health og GenVis evne til å bare be om, ikke håndheve at AWS ikke overfører, lagrer eller behandler data utenfor Australia.
WA Health bruker leverandørstyrte krypteringsnøkler for SafeWA, som er lagret i AWS-databasen, i stedet for selvstyrte nøkler der skyleverandøren ikke har synlighet eller tilgang til dem.
“WA Health informerte oss om at den nåværende løsningen er nødvendig, slik at AWS kan få tilgang til nøkler gjennom programvare for å utføre plattformvedlikehold og støtte leverandøren med tekniske problemer,” heter det i rapporten. “Selv om sannsynligheten er lav, kan skyleverandøren bli pålagt å utlevere SafeWA-informasjon til utenlandske myndigheter ettersom den er underlagt disse lovene.”
Se også: Riksadvokat oppfordret til å legge frem fakta om Amerikansk rettshåndhevelse tilgang til COVIDSafe
Før du gikk live, identifiserte WA Health at SafeWA -registrering kan fullføres med et feil nummer eller andres telefonnummer, la Riksrevisjonen til.
“Dette var fordi SafeWA ikke fullstendig bekreftet en brukers telefonnummer under registreringsprosessen,” sa det. “På grunn av tidspunktet for SafeWA-utviklingen og WA Healths behov for å balansere risiko med implementering, ble dette problemet bare delvis løst før det gikk live. De resterende svakhetene kan utnyttes til å registrere falske kontoer og innsjekkinger.”
< p> Problemet ble løst i februar.
Det var ikke bare politiet som kan ha fått tilgang til kontaktsporingsdata, men Riksrevisjonen bemerket at det også var bekymret for den begrensede kommunikasjonen rundt WA Healths bruk av personopplysninger samlet inn av andre offentlige enheter, inkludert Transperth SmartRider, Police G2G grenseovergangskort data og CCTV -opptak i sitt kontaktsporingsarbeid. Under tilsynet identifiserte Riksrevisjonen også at WA Healths Mothership og Salesforce-baserte Public Health COVID Unified System (PHOCUS) får tilgang til SafeWA-data.
“Når WA Health mottar bekreftelse på et positivt COVID-19-tilfelle fra en patologiklinikk, bruker den PHOCUS til å samle data som er relevante for saken fra flere kilder,” heter det i rapporten
“WA Health har ikke gitt samfunnet nok informasjon om annen personlig informasjon den får tilgang til for å hjelpe til med å spore kontakt.”
Mothership-kontaktsporingsprogrammet, sa OAG, har sikkerhetsproblemer, inkludert en svak passordpolicy og inkonsekvent bruk av flerfaktorautentisering. Riksrevisjonen utarbeider en egen rapport som fokuserer på Mothership and PHOCUS.
RELATERT DEKKING
Vest-Australia tenker endelig på å sette COVID-innsjekkingsinformasjon i karantene fra politietCOVIDSafe lastet opp 1,65 m 'håndtrykk' og ble bare brukt av NSW og Victoria 328 svakheter funnet av WA-revisor-generalen i 50 lokale myndighetssystemer Å leve med COVID-19 skaper et personverndilemma for oss alle
Relaterte emner:
Australia Security TV Data Management CXO Data Centers