Mariusz Sepioło
Ilustracja: Wicha&Frycz
13 stycznia 2022
Fałszywe certyfikaty szczepień można zdobyć już za kilkaset złotych, na kilka sposobów. Handlują nimi przestępcy, którzy wcześniej handlowali narkotykami, lekami i danymi personalnymi. Do udziału w procederze werbują medyków niższego szczebla.
B. ma w ofercie dopalacze, amfetaminę i przemycane ukraińskie papierosy. Ostatnio poszerzył asortyment o fałszywe certyfikaty szczepień.
Ogłoszenia wrzuca do sieci Tor – jednego z rodzajów tzw. darknetu. Sieć zapewnia niemal całkowitą anonimowość. Można ją przeglądać tylko za pomocą specjalnych programów. Adres IP i inne dane użytkownika są wtedy w praktyce niemożliwe do ustalenia. Tor i inne darknety są narzędziem pracy dla wielu aktywistów, dziennikarek i sygnalistów. Niestety także dla przestępców.
W ostatnich miesiącach w darknecie kwitnie handel towarami „pandemicznymi”: fałszywymi certyfikatami szczepień i niesprawdzonymi lekami. Poszliśmy tropem sprzedawców, klientów i pieniędzy, które przepływają między nimi.
Polskie forum Cebulka to jedno z kilku źródeł, z których za kilkaset złotych i bez wychodzenia z domu ciągle można załatwić fałszywy certyfikat szczepienia. Wszystko w czasie, kiedy liczba potwierdzonych zakażeń wciąż jest wysoka i przekracza 10 tys. dziennie. W środę 12 stycznia umierają 684 osoby z COVID-19. Światowa Organizacja Zdrowia ostrzega: nowy wariant koronawirusa, omikron, stanowi „bardzo wysokie globalne zagrożenie o potencjalnie poważnych konsekwencjach”.
Elementy łańcucha
Tymczasem handlarze instruują: wyślij wiadomość, podaj imię, nazwisko, numer PESEL. Twoje dane zostaną wprowadzone do centralnego systemu przez osobę posiadającą do niego bezpośredni dostęp. Wygenerowany z systemu certyfikat wraz z kodem QR trafi do ciebie na kilka sposobów: przez Internetowe Konta Pacjenta, aplikację mObywatel, portal Pacjent.gov albo mailem w pliku PDF.
Ceny? Od kilkuset do 3 tys. złotych. Wszystko zależy od różnych czynników. Czy kupujący chce podać numer PESEL (bez PESEL-u jest drożej)? Czy jest obywatelem Polski (dla cudzoziemców, chcących uzyskać certyfikat z polskiego forum w darknecie cena jest zazwyczaj wyższa)? I przede wszystkim: czy płatność odbywa się przed wygenerowaniem certyfikatu, czy po? Opcja druga bywa o kilkaset złotych droższa.
Płatność odbywa się najczęściej przez rachunek escrow (tzw. rachunek zastrzeżony), który umożliwia wykonanie poufnej transakcji między dwiema stronami, poza tradycyjną bankowością elektroniczną. Przelew przez escrow trudniej wyśledzić.
Historie warte uwagi.
Zapisz się na nasz Newsletter
żeby żadnej nie przegapić
Handlarze są przezorni, dlatego do przyjmowania przelewów używają rachunków bankowych założonych na osoby trzecie. Czasem są to typowe słupy – ludzie rejestrujący konta w bankach za niewielką opłatą, często rekrutowani wprost z ulicy. Faktyczną kontrolę nad rachunkami sprawują oczywiście oszuści. Rola słupa kończy się na przedstawieniu dowodu osobistego i złożeniu podpisu.
Inny sposób, choć bardziej ryzykowny: założenie rachunku bankowego na podstawie danych odkupionych od innych oszustów. To dlatego na forach w darknecie roi się od ogłoszeń o sprzedaży skanów dowodów osobistych. Tak samo jest na polskiej Cebulce. Dowody służą do zakładania kont bankowych, kontrolowanych przez oszustów.
Bywa też, że handlarze rekrutują ludzi, do których obowiązków ma należeć seryjne zakładanie kolejnych rachunków bankowych. Otrzymują za to prowizję od przelewów. Takich ogłoszeń w darknecie jest pełno.
Przelew to przedostatnie ogniwo łańcucha. Ostatnim jest wygenerowanie certyfikatu.
Kasa, kasa, kasa
Operacja nie mogłaby się powieść, gdyby nie dwa elementy.
Pierwszy: bezpośredni dostęp do systemu, do którego wprowadzane są dane pacjenta. Drugi: dostęp do informacji dotyczących konkretnego egzemplarza szczepionki.
Oba mają wyłącznie pracownicy ochrony zdrowia: lekarze, pielęgniarki, ratownicy medyczni, technicy. – Dostęp do systemu e-Zdrowie ma wielu członków różnych zawodów medycznych. Lista ta jest stale poszerzana przez ustawodawcę – wyjaśnia Rafał Hołubicki, rzecznik prasowy Naczelnej Izby Lekarskiej.
– Na listę zaszczepionych może wpisać tylko ktoś z dostępem do systemu. Nieuczciwy, chcący zarobić po cichu albo przekupiony przez przestępców personel – tłumaczy lekarz rezydent z dużego szpitala w Łodzi, który osobiście bierze udział w wykonywaniu i rejestrowaniu szczepień.
Według eksperta od cyberbezpieczeństwa, do niedawna zatrudnionego w państwowej instytucji, najważniejszym elementem łańcucha jest zawsze nieuczciwy medyk. – To ludzie wpisują dane do systemu. I to człowiek jest zawsze najsłabszym ogniwem. Można go przekupić, zastraszyć, zaszantażować. Sposobów jest wiele.
Wystawianie fałszywych certyfikatów szczepień to nie tylko złamanie przysięgi Hipokratesa, ale poważne zawodowe przewinienie. Lekarz rezydent: – Taki medyk powinien ponieść surową karę. Co nim kieruje? Wiadomo: kasa. Czy potrzeba czegoś więcej? Nie sądzę, żeby u nas zdarzały się sytuacje takie jak w Niemczech, gdzie pielęgniarka, przeciwniczka szczepień, bez wiedzy pacjentów wstrzykiwała im domięśniowo sól fizjologiczną. W naszym systemie do przestępstwa popycha ludzi chciwość, nie wallenrodyzm.
– Trudno określić, czym kieruje się osoba, która ryzykuje bardzo dolegliwą karę w zamian za korzyści majątkowe – mówi Rafał Hołubicki, rzecznik NIL. – W chwili obecnej nie mamy dostatecznych dowodów na to, że są to lekarze, ale jeśli zostanie to dowiedzione, będzie skutkowało zagrożeniem pozbawienia prawa wykonywania zawodu.
A jeśli nie medycy, to kto? Rzecznik Naczelnej Izby Lekarskiej twierdzi, że w przypadku kilku postępowań prowadzonych przez Naczelnego Rzecznika Odpowiedzialności Zawodowej mogło dojść (choć nie ma na to dowodów) do kradzieży tożsamości pracowników ochrony zdrowia. To z kolei świadczyłoby nie tylko o niezwykłej przebiegłości oszustów, potrafiących zdobyć zdalny dostęp do systemu, ale przede wszystkim – o jego słabości.
Pewne jest jedno: numer partii i numer pojedynczej szczepionki muszą pochodzić z oryginalnego opakowania. To oznacza, że za każdym razem klientowi przypisana zostaje prawdziwa sztuka szczepionki. Co dzieje się z nią później? „Każdy certyfikat to realna szczepionka, która leci do kosza” – wyjaśnia jeden z handlarzy, aktywny na kilku stronach internetowych i w komunikatorze Telegram. Potwierdza to kolejny, który w mailu odpisuje: „Po każdym kliencie lekarz utylizuje szczepionkę”.
Strach się opłaca
Polscy handlarze z darknetu zwęszyli temat fałszywych certyfikatów kilka miesięcy temu.
Na początku września pierwszy post z ofertą publikuje K. (na Cebulce od trzech lat). Dotąd zajmował się głównie handlem zarejestrowanymi kartami SIM, skanami dowodów osobistych i paszportów, skradzionymi kontami na platformach Allegro i Morele.
2 września pisze: „Sprzedam covid-19 certyfikat Johnson. Wszystko legit, będzie można zeskanować QR kod przez aplikację” (pisownia oryginalna). Koszt: 2700 zł. Transakcja ma się odbyć przez rachunek escrow.
5 września pisze: „UWAGA PROMOCJA: Przy zakupie dwóch szczepionek, cena jest 2000 zł”.
B. z Cebulki sprzedaje certyfikat za 2500 zł. Podaje swój adres w szyfrowanym komunikatorze. Tu posługuje się już innym pseudonimem.
Wysyłamy pytanie: jak odbywa się transakcja? Odpowiedź przychodzi po kilku godzinach:
„Escrow, do tygodnia są papiery. Na wizytę nie idziesz, do lekarza w tym dniu tym bardziej. Szczepionka trafia w kosz. I poza obiekt. To już głowa lekarza, że ma być dobrze. Bo za to 15 lat można mieć”.
Czy lekarze się nie boją? B.: „Po tym jak ostatnio idiota w powiedział w szpitalu, że się szczepił ‘na niby’, to strach jest na pewno. Ale się opłaca”.
Przelew albo kwarantanna
Jednym z najbardziej aktywnych handlarzy jest człowiek występujący pod pseudonimem M. Pojawia się głównie w komunikatorze Telegram, ale też na Instagramie i na portalach z ogłoszeniami.
„W obecnych czasach wszystko zmierza do tego, że powoli nie będziemy mogli wyjść z domu bez ‘magicznego certyfikatu’. Zmuszają nas do tego wszędzie – w pracy, w szkole i gdzie tylko się da, by uprzykrzyć nam życie” – pisze w pierwszym poście na Telegramie. „Zdając sobie sprawę, że pewna część populacji to jednak ludzie myślący, którzy nie chcą dobrowolnie brać udziału w eksperymencie medycznym, którego skutki odczujemy być może dopiero za kilka lat, oferuję pomoc w zdobyciu certyfikatu. Oczywiście bez żadnych igieł”.
Korzystając z fałszywego konta mailowego, wypytujemy M. o szczegóły. Pisze w liczbie mnogiej, choć najpewniej – jak większość oszustów – działa w pojedynkę. „Jesteśmy solidną firmą i realizujemy uczciwie zawsze nasze zobowiązania” – wyjaśnia. „U nas każdy może zapłacić, gdy już wszystko będzie gotowe, ale również zabezpieczamy własne interesy”.
Jak? „Od momentu pojawienia się certyfikatu będziesz miał 24 godziny na zapłatę, a gdybyś jednak jej nie dokonał, zostajesz usunięty z systemu + wrzucamy cię oficjalnie na kwarantannę z zakazem podróżowania na miesiąc”.
M. dba nie tylko o zabezpieczenie swoich interesów, ale też o marketing. Publikuje zrzuty ekranu, na których widać jego korespondencję z zadowolonymi klientami. Zrzuty mają potwierdzić, że interes się kręci, a M. jest wart zaufania. „Dobry wieczór! Dzisiaj około 16 otrzymałam certyfikat!!! Ale jestem szczęśliwa!!!” – pisze kobieta. W innym miejscu anonimowy mężczyzna relacjonuje: „Jest! Już się bałem, ale nareszcie na moim IKP pojawiła się informacja o przyjęciu pierwszej dawki”. I dalej: „Wyślę do Pana od razu ojca i siostrę”. Prawdziwości korespondencji nie sposób zweryfikować.
Zainteresowanych usługami M. jest coraz więcej. Z czasem handlarz tworzy grupę dyskusyjną na Telegramie dla zainteresowanych fałszywymi szczepieniami.
Rekrutacja do przestępstwa
Od początku istnienia grupy (grudzień 2021 r.) zebrało się w niej kilkaset wpisów. Co ciekawe, wielu użytkowników, najpewniej nieświadomych braku anonimowości, występuje tu pod imieniem i nazwiskiem, a w ich profilach z łatwością odszukać można numery telefonów.
Biznes się rozkręca. Do tego stopnia, że M. rozpoczyna rekrutację. Do tego celu wykorzystuje właśnie grupę dyskusyjną.
„Będziesz miał 24 godziny na zapłatę, a gdybyś jednak jej nie dokonał, zostajesz usunięty z systemu + wrzucamy cię oficjalnie na kwarantannę z zakazem podróżowania na miesiąc”
Wypuszcza kolejne ogłoszenie – tym razem proponuje zarobek. Chętni mają zgłaszać się przez prywatne wiadomości. Przez specjalnie stworzone do tego konto piszemy do handlarza z prośbą o podanie szczegółów.
M. proponuje współpracę. Pisze, że potrzebuje ludzi do współpracy „przy promocji” i „do wyłapywania żuli spod sklepu”, potrzebnych do tworzenia kont bankowych.
Na czym miałaby polegać promocja usług? „Wszelkie reguły dozwolone, czyli może być to wyszukiwanie ludzi w realu lub też akcja reklamowa po wszelkich grupach facebookowych, forach dyskusyjnych etc.” – wyjaśnia. „Twoje zarobki zależeć będą od wysłanych ludzi do mnie, którzy się zdecydują. Płacę od sztuki. Stawka do uzgodnienia”. Na początek proponuje 100 zł od głowy.
Zadanie drugie to znajdowanie słupów. M. płaci 800 zł od „gotowego” konta bankowego założonego na słupa. Wyjaśnia: „Płacę tylko za konta kompletne, czyli razem z dostępem do niego musi być: umowa, skan dowodu osobistego, karta SIM z numerem przypisanym do tego konta oraz wszelka dokumentacja otrzymana przy jego zakładaniu”. Karta SIM potrzebna jest do bezpiecznego kontaktu między słupem a handlarzem i do przyjmowania potwierdzeń transakcji z banku.
Pytany, czy współpraca z nim jest bezpieczna, wpada w irytację. „Znasz moje stawki oraz moje zasady. Ludzie z tobą mają dogadywać szczegóły, a do mnie masz wysyłać już zdecydowanych. Masz wystarczająco potwierdzeń na kanale i na grupie, że jestem legit” – pisze. I dopytuje: „Zdecydowany?”.
Skutecznie eliminuje konkurencję. Na Telegramie publikuje wpis: „Ostrzegam wszystkich przed korzystaniem z usług oferowanych na tym kanale (link poniżej). Trafiło do mnie masę ludzi, którzy zostali przez nich oszukani! Admin tego kanału nie pokusił się nawet nawet na szczyptę kreatywności, a cały tekst promocyjny skopiował prosto z mojego kanału”.
Kontaktujemy się z właścicielem kanału, któremu M. zarzuca oszustwo. Odgrywamy rolę niezdecydowanych, nieufnych. „Jesteśmy w Internecie, tu nikt nikomu nie ufa. Więc to zdrowe zachowanie” – przyznaje właściciel kanału. „Co do pewności, to masz ją tylko wtedy, gdy przychodzisz do mnie z czyjegoś polecenia. Rodziny, znajomych. Jak większość. Pełno jest oszustów. Jeden cię oszuka na 50 zł, drugi na 2500”.
W końcu przyznaje, że jest „zwykłym, szarym człowiekiem, żadnym lekarzem czy doktorem”, korzysta jedynie ze swoich kontaktów. Żeby jeszcze bardziej się uwiarygodnić, wyjawia model biznesowy. Jego fałszywka kosztuje 800 zł: „Sam płacę 500 zł za zlecenie twojego szczepienia (…). Z czego 300 zł idzie do mojej kieszeni”.
Daje bonus: dawkę przypominającą w gratisie.
„Mamy urzędnika”
M. to niejedyny handlarz, który do prowadzenia rosnącego biznesu potrzebuje ludzi.
Podobne oferty znajdujemy na zagranicznych forach darknetowych. Te w większości prowadzone są po angielsku, ale zrzeszają użytkowników z całego świata. A raczej: prowadzących działalność o międzynarodowym zasięgu.
Użytkownicy tacy jak B. czy M. to handlarze działający wyłącznie w Polsce. Ale polski użytkownik może kupić fałszywy certyfikat także od handlarzy z Niemiec, Rosji, Holandii, Francji. Tacy ludzie pozostają poza zasięgiem polskiej policji, a ich fałszywki ciągle powiększają polskie statystyki zaszczepionych.
Wchodzimy w konwersację z handlarzem posługującym się nickiem C. w komunikatorze Wickr. Oferuje fałszywe certyfikaty dla całej Europy. Zdobycie fałszywki – 500 euro, ale handlarz akceptuje też płatność w bitcoinach, kryptowalutach, którymi obrót wymaga specjalistycznej wiedzy. Dopytujemy: skąd dostęp do szczepionek i przypisanych do nich danych? „Mamy urzędnika w agencji rządowej, z którym pracujemy. Mamy też szpitale, które zdobywają dla nas certyfikaty” – brzmi odpowiedź.
Tak jak M., także C. proponuje w końcu współpracę. Schemat się powtarza: współpracownik ma naganiać klientów na forach internetowych, Facebooku, Instagramie, Telegramie i w realu. Za każdego fikcyjnie zaszczepionego dostaje wynagrodzenie. Ale interes ma się opłacać – im więcej klientów, tym lepiej. Naganiacz może zebrać dowolną liczbę chętnych i zgłosić ją handlarzowi. Każdy chętny dostanie certyfikat. Wystarczy dla wszystkich.
Od dilerów do konfederatów
Jest Sylwester, więc A. robi sobie wolne. Życzy wszystkim wszystkiego dobrego i wysyła obrazek stukających się kieliszków szampana. „Obyśmy wytrwali do końca bez szczepień” – odpisuje mu jedna z klientek.
A. to jeden z najpopularniejszych handlarzy fałszywkami w polskim Telegramie. W stworzonej przez niego (już drugiej z rzędu – poprzednia została zablokowana) grupie dyskusyjnej jest 640 użytkowników. Twierdzi, że może załatwić certyfikat z datą nawet kilka miesięcy wstecz. Jest dość otwarty: przyjmuje płatności przez blik, chętnie odpisuje na wiadomości, ma aktywne konto na Instagramie. To ostatnie promują zagraniczni spamerzy, reklamujący ofertę A. w prywatnych wiadomościach rozsyłanych do użytkowników Instagrama.
Prosta analiza pozwala ustalić: a) w jakich kręgach obracają się A. i dobrze nam znany M.; b) jakie polityczne sympatie ma A. – a przynajmniej do czyich wyborców chce trafić ze swoją ofertą.
Plugi i szczury, czyli koledzy od THC
Handlarze A. i M. obserwują profile związane z handlem narkotykami i dopalaczami, najczęściej produktami zawierającymi THC lub mającymi naśladować jego działanie. A. śledzi na Instagramie strony takie jak „check_poland_plug” czy „calipluggz.pl”.
„Plug” to w przestępczym slangu osoba z dostępem do nielegalnych towarów, w tym narkotyków czy dopalaczy. Pospolity użytkownik Instagrama zainteresowany substancjami psychoaktywnymi ma trudność z dotarciem do profili, w których może załatwić towar. Dlatego potrzebni są przewodnicy, testerzy instagramowych plugów, którzy podpowiedzą, które z profili są „legitne” – godne zaufania, a które konta to scammerzy (oszuści) czy „szczury” (użytkownicy podejrzewani o bycie informatorami służb). Sprzedawany przez nich towar, głównie psychoaktywny susz lub cukierki, pochodzi od czarnorynkowych marek, które w ciągu ostatnich dwóch lat zdobyły popularność dzięki dystrybucji wzbogaconych syntetycznymi kannabinoidami płynów i wkładów do waporyzatorów i e-papierosów.
Te same profile testerów obserwują A. i M. Handlarzy fałszywkami i testerów łączy też biegłość w posługiwaniu się anonimowymi sposobami płatności. Za nielegalne używki można zapłacić nie tylko blikiem czy escrowem, ale też bitcoinami. Podobnie jest z największymi kanałami rozprowadzającymi certyfikaty. Oba światy posługują się podobnym żargonem, używają grafik w podobnym stylu.
Polityczni sojusznicy
Handlarz A. obserwuje profile Ruchu Narodowego i Konfederacji. Śledzi konta posłów: Janusza Korwin-Mikkego, Krzysztofa Bosaka, Sławomira Mentzena, Artura Dziambora i Konrada Berkowicza. Wszyscy oni wypowiadają się o szczepionkach co najmniej sceptycznie.
Poseł Berkowicz zasłynął kontrolą w Sanepidzie na Podhalu i poparciem dla restauratorów, którzy otwierali swoje lokale mimo trwającego lockdownu.
Artur Dziambor to z kolei poseł, który w grudniu 2019 r., tuż przed wybuchem pandemii przyznawał, że szczepi dzieci, bo słucha mądrzejszych od siebie, a kilka miesięcy później maszerował ramię w ramię z antyszczepionkowcami, obok transparentu „Szczepienie czyni wolnym”, stylizowanym na napis Arbeit Macht Frei z obozu Auschwitz-Birkenau.
Jednym z czołowych antyszczepionkowców jest Grzegorz Braun, założyciel własnej partii, Konfederacji Korony Polskiej. Jej przedstawiciele stworzyli petycję do samorządów pod nazwą Stop Segregacji Sanitarnej. W swoich mediach społecznościowych Braun (223 tys. obserwujących na Facebooku) głosi kontrowersyjne poglądy i teorie. Ministra zdrowia nazywa „ministrem choroby i nagłej śmierci”, przypisuje mu decyzje, które nie zapadły, jak np. o „przymusie szczepień”. W ostatnim czasie zapowiedział powstanie komisji śledczej w związku z nadużyciami pod pretekstem walki z pandemią (nigdy nie powstała).
Wiceprezesem partii Brauna jest Roman Fritz, przedstawiający się jako przedsiębiorca, żonaty, działacz społeczno-katolicki. 19 grudnia 2021 r. wystąpił na wiecu organizowanym przez brandenburską filię AfD (niem. Alternative für Deutschland) – skrajnie prawicową, populistyczną partię przeciwną imigracji, Unii Europejskiej, a ostatnio szczepieniom. Przez 16 minut, na zmianę po polsku i po niemiecku, mówił o przyjaźni między tymi dwoma narodami i komunizmie 2.0 wdrażanym przez oficjalne władze.
Podobne teorie i antynaukowe opowieści wypełniają grupy dyskusyjne założone przez handlarzy fałszywkami. Przykład: na telegramowej grupie A.B. pojawia się artykuł o rzekomym morderstwie niemieckiego chemika, który miał odkryć duże ilości grafenu w szczepionkach mRNA. Artykuł pochodzi z zarejestrowanego w Wielkiej Brytanii, polskojęzycznego, skrajnie antysemickiego portalu Noweateny.pl.
Fałszywki badane niespiesznie
Tymczasem w Polsce liczba w pełni zaszczepionych to tylko nieco ponad 21 mln osób. Ciągle nie wiadomo, jaki odsetek stanowią posiadacze fałszywych certyfikatów.
Skalę zjawiska trudno oszacować. Jak dotąd do Narodowego Funduszu Zdrowia miało wpłynąć kilkanaście sygnałów dotyczących handlu fałszywymi certyfikatami szczepień i fałszowania dokumentacji medycznej. – Wszystkie takie zgłoszenia są analizowane przez specjalny zespół analityczny NFZ i przekazywane policji – mówi Sylwia Wądrzyk, dyrektor biura komunikacji społecznej NFZ. – Już po pierwszych sygnałach fundusz przesłał pismo do punktów szczepień z informacją o sankcjach karnych za fałszowanie dokumentacji medycznej, w tym przypadku karty szczepień, oraz za przyjęcie korzyści majątkowej lub osobistej przez pracowników punktów. Poinformował też o konieczności zgłaszania takich przypadków służbom.
Z kolei do Naczelnego Rzecznika Odpowiedzialności Zawodowej wpłynęło dotąd 14 informacji o możliwych nieprawidłowościach lekarzy. – Rzecznik prowadzi obecnie trzy postępowania w sprawie wystawiania fałszywych zaświadczeń potwierdzających szczepienia przeciwko COVID-19 – mówi Rafał Hołubicki, rzecznik NIL. – Niestety, prokuratury niechętnie lub wcale udzielają informacji o zgromadzonym materiale śledczym.
Komary przy uchu
Handel w darknecie nadal pozostaje trudny do wykrycia i udowodnienia. Dlaczego?
Tłumaczy nam to etyczny haker – specjalista od poszukiwania luk w cyfrowych zabezpieczeniach firm i instytucji (woli zachować anonimowość).
Według niego, użytkownicy Cebulki są dla służb nie do wyśledzenia. Nie zostawiają po sobie niemal żadnych śladów, nigdy nie używają stałych adresów IP, często zmieniają konta w szyfrowanych komunikatorach, adresy email. Nigdy nie zdradzają informacji o sobie. W ten sposób mogą funkcjonować latami, są niemal niewidoczni.
– Problemem niekoniecznie jest to, że osoby z ogromną wiedzą techniczną znajdują błędy zabezpieczeń systemu certyfikatów szczepień. Problemem jest to, że te błędy istnieją, i że informacje o nich nie trafiają do administratorów tego systemu. Gdyby polski rząd oferował tzw. bug bounty, nagrody za znalezienie błędów i odpowiedzialne o tym poinformowanie, być może ktoś wysłałby takie zgłoszenie, system zostałby poprawiony, a my wszyscy moglibyśmy się czuć bezpieczniej. Takie podejście stało się standardową praktyką w dużych firmach technologicznych, bo jest po prostu skuteczne -– mówi Michał „rysiek” Woźniak, specjalista od bezpieczeństwa informacji.
Pokazuje to faktyczny stan polskiego systemu cyberbezpieczeństwa, którego częścią jest rejestr szczepień. – W Polsce na sferę cyber brakuje pomysłu, holistycznego podejścia. Kolejne reformy to nic innego jak chęć zbijania politycznego kapitału, a nie realne zmiany – mówi anonimowo ekspert związany w przeszłości z zespołem reagowania na incydenty związane z cyberbezpieczeństwem. – Ludzie od cyberbezpieczeństwa są w poszczególnych resortach traktowani jak komary latające przy uchu w letnią noc.
Według niego potrzebna jest zmiana świadomości, podejścia do kwestii cyberbezpieczeństwa. A ze świadomością – jak przyznaje nasz rozmówca – w Polsce nigdy nie było zbyt dobrze. Urzędnicy są odporni na naukę technologii, a – co pokazała afera z wyciekiem rządowych maili – problem dotyczy nawet najważniejszych osób w państwie.
Zdaniem naszego rozmówcy system rejestracji szczepień w punktach szczepień mógłby być bardziej szczelny, a przypadki oszustw wykrywane szybciej i częściej. – Załóżmy, że znamy średnią ilość zaszczepień z powiatów o zbliżonej liczbie ludności. Badamy liczbę szczepień wprowadzonych dziennie lub tygodniowo i jeżeli w strukturalnie podobnych powiatach dostrzegamy duże różnice, to widzimy, gdzie mógł być przekręt. Zwłaszcza jeśli dane do systemu wbija jedna, dwie osoby w danej placówce – tłumaczy ekspert.
Polska na cyber kolanach
To jednak wymaga potraktowania kwestii cyberbezpieczeństwa poważnie. Tymczasem w systemie brakuje dobrych wynagrodzeń, które przyciągnęłyby specjalistów, ale też pieniędzy na szkolenia, oprogramowanie. Poszczególne ministerstwa, jak tłumaczy nasz rozmówca, dysponują oddzielnymi, często nieprzystającymi do siebie systemami informatycznymi. Brakuje dobrego zarządzania, spójnych zasad, a przede wszystkim wiedzy o zagrożeniach. Efekt? – Niestety, ale przypomina to dobrze nam znany polski „tupolewizm” – mówi dalej ekspert. – Wiele wskazuje na to, że i w tej dziedzinie zmierzamy do podobnej katastrofy.
Doświadczeni, skutecznie ukrywający się w sieci oszuści są o krok przed służbami. Potrafią wykorzystać luki systemu, by zagrać im na nosie.
Choć udaje się to nie tylko przestępcom. Ostatnio zrobił to żartowniś o nicku Przedsiębiorca – użytkownik jednego z for o tematyce hakerskiej. Łamiąc zabezpieczenia polskiego systemu, uzyskał polski certyfikat szczepienia i działający na terenie Unii Europejskiej kod QR na nazwisko Adolfa Hitlera. 
Współpraca Julia Dauksza
