Institucijų verdiktas: Lietuvoje naudojamos kinų kameros susietos su Rusijos serveriais

Reklama

LRT Tyrimų skyriui paviešinus, kad pasieniečiai, policija ir vadovybės apsauga naudoja kiniškas vaizdo stebėjimo kameras, Kibernetinio saugumo centras atliko įrangos tyrimą. Nustatyta, kad šalies institucijose įrengtos kameros yra ne tik lengvas grobis įsilaužėliams, bet ir nukreipia į rusiškus serverius, kur galima duomenų vagystė. 

JAV valdžia vaizdo stebėjimo kameras vadina dar vienu kinų žvalgybos kibernetiniu ginklu, nes jose nustatyta įvairiausių saugumo spragų. Todėl vienos populiariausių „Hikvision“ ir „Dahua“ kameros nuo pernai draudžiamos šalies įstaigose.

Sausį LRT Tyrimų skyrius rašė apie tai, kad Lietuvoje „Hikvision“ ir „Dahua“ kameromis naudojasi bent šešios jautrią informaciją kaupiančios valstybės institucijos. Tai Vadovybės apsaugos, Migracijos, Policijos departamentai, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybos bei valstybės įmonė „Oro navigacija“.

Reaguodamas į pasirodžiusią informaciją, Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Rytis Rainys pranešė, kad bus pradėtas kiniškų kamerų tyrimas. Po 4 mėnesių jis išvydo dienos šviesą, o rezultatai kinų gamintojams – nepalankūs.

NKSC kamerų analizė rodo, kad šalies institucijų naudojamos Kinijos gamintojų kameros turi keturias dideles saugumo rizikas: galimybę nulaužti slaptažodį, 61 pažeidžiamą vietą programinėje įrangoje, sąsajas su Rusijos serveriais ir netrukdomą gamintojo prieigą prie kameros duomenų.

Pasak R. Rainio, šiuo metu rizikingas kameras turi 57 šalies institucijos, kurios – neatskleidžiama. LRT Tyrimų skyriaus duomenimis, „Hikvision“ arba „Dahua“ kameras viešosioms erdvėms stebėti naudoja ir 36 savivaldybės. Tai 60 proc. visos Lietuvos.

Kameras lengva užvaldyti

„Hikvision“ ir „Dahua“ kameros – pirmosios, kurias nagrinėjo kibernetinį saugumą užtikrinanti šalies institucija. Pasak R. Rainio, tyrimui buvo atrinkti tie kamerų modeliai, kurie naudojami jautrią informaciją renkančių institucijų vaizdo stebėjimo sistemose, todėl yra brangesni.

Nustatyta, kad kamerose naudojami slaptažodžiai yra itin silpnai apsaugoti. Tyrimų metu buvo perimti užkoduoti „Hikvision“ ir „Dahua“ kamerų slaptažodžiai, jie iššifruoti ir panaudoti nuotoliniam prisijungimui.

„Būtent todėl tas kameras galima perimti, atlikti įvairius veiksmus, pakeisti jas, įjungti, išjungti, pakeisti vaizdelius“, – LRT komentuoja R. Rainys. Anot jo, kameros valdymo instrukciją sudaro daugiau kaip 700 puslapių, todėl pasinaudojimo galimybės – itin plačios.

Taip pat NKSC kiniškų kamerų analizė parodė įvairius programinės įrangos paketus, turinčius net 61 pažeidžiamą vietą, kurios gali būti išnaudojamos kibernetinėms atakoms.

„Iš to 61 – 23 turi aukštą pažeidžiamumo balą. Tai reiškia, kad labai lengva pasinaudoti saugumo spragomis. Galima organizuoti kibernetines atakas, tokias kaip atkirtimas nuo paslaugos ar kenkėjiško kodo įterpimas“, – teigia NKSC vadovas.

Reklama

Neįprasta tai, kad Lietuvos institucijų naudojamos kameros turi tiesioginių sąsajų su Rusija. Reikalingus kamerų atnaujinimus „Hikvision“ ir „Dahua“ gamintojai siūlo atsisiųsti iš IP adresų Kinijoje, tačiau nustatyta, kad šie peradresuoja į serverius, esančius Rusijoje. Tai reiškia, kad vartotojas, siųsdamasis atnaujinimus iš Rusijos serverių, ten gali palikti savo duomenis ir kartu gauti ne tai, ko atėjo.

„Taip pat nustatėme, kad naudojama mobilioji programėlė, kuria kameras galima valdyti iš mobiliojo telefono, surenka jautrią informaciją, duomenis apie vartotoją, apie patį aparatą. Yra protokolai, kurie leidžia prie kameros prisijungti dėl tarnybinio aptarnavimo, o tai reiškia, kad leidžia gamintojui prisijungti prie kamerų“, – teigia R. Rainys.

Daugiau nei pusėje Lietuvos – kinų akys

LRT Tyrimų skyrius kreipėsi į šalies savivaldybes, vaizdo stebėjimo kamerų tiekėjus ir nagrinėjo viešųjų pirkimų dokumentus. Užklausos parodė, kad beveik 40 savivaldybių, t. y. 60 proc. Lietuvos, viešosioms erdvėms stebėti naudoja „Hikvision“ arba „Dahua“ kameras.

Kai kuriuose regionuose, tokiuose kaip Druskininkai, Kupiškis, Šilutė ar Telšiai, Kinijos gamintojų kameros sudaro mažą dalį vaizdo stebėjimo sistemos. Bet didžiuosiuose šalies miestuose karaliauja išimtinai kinų produkcija.

Reklama

Dažniausiai savivaldybių pirkimus šioje srityje laimi „Telia“. Jos vaizdo stebėjimo sprendimų ekspertas Saulius Kalašnikovas teigia, kad viešuosiuose pirkimuose lemiamą sprendimo svorį turi mažiausia kaina, todėl viešosiose erdvėse atsiduria būtent Kinijos gaminiai.

„Turbūt sunku, remiantis mažiausios kainos kriterijumi, tikėtis kokybės. Visomis prasmėmis yra neįmanoma. Turime atsirinkę tokius gamintojus, kurie diktuoja technologines madas. Jie akivaizdžiai investuoja į naujų technologijų kūrimą, jų tobulinimą, ir natūralu, kad tai kainuoja. Su Azijos šalių gamintojais taip dažniausiai būna, kad jie deklaruoja, jog atitinka visus parametrus arba net ir pralenkia. Ir tada lieka mažiausia kaina“, – LRT komentuoja S. Kalašnikovas.

Anot eksperto, kai kurios savivaldybės tampa Viešųjų pirkimų įstatymo įkaitėmis, todėl negali laisvai rinktis įrangos, kuri būtų ir geresnė, ir saugesnė. Panašiai įvyko sostinėje, kur viešosioms erdvėms stebėti išimtinai naudojamos kinų gamintojų kameros.

Viešųjų pirkimų duomenimis, Vilnius 2017 m. įsigijo daugiau kaip 200 „Dahua“ kamerų, bet jų yra ir daugiau. Sostinės administracijos direktoriaus pavaduotojas Adomas Bužinskas teigia, kad visos kameros, stebinčios Vilnių, yra kiniškos.

„Mes esame padarę veiksmus, mėgindami išvengti tam tikrų gamintojų, kurie gali kelti grėsmę, bet didesnio palaikymo iš centrinių institucijų nesulaukėme“, – sako A. Bužinskas.

Jis pasakoja, kad savivaldybė kreipėsi tiek į VSD, tiek į NKSC ir gavo išvadą, kad tam tikrų tiekėjų galimybes dalyvauti konkursuose reikėtų riboti iš nacionalinio saugumo perspektyvos. Tačiau esą po kreipimosi į Viešųjų pirkimų tarnybą ar Vyriausybę jokių veiksmų sostinės valdžia nesulaukė.

Reklama

„Esame tokioje stadijoje, kur skelbiame naują viešąjį pirkimą dėl kamerų ir didelė tikimybė, kad vėl laimės ta įmonė, kuri pasiūlys kinišką produkciją“, – teigia A. Bužinskas.

Jis abejoja, ar pavyktų iš konkursų pašalinti tiekėjus, siūlančius kiniškas kameras, pakeitus sąlygas ir neperkant sistemų pagal mažiausios kainos kriterijų.

Įrangos lupti lauk neplanuoja

Ypač daug ginčų sukėlė Kauno gatvėse sumontuotos kiniškos kameros, kurios ne tik filmuoja, bet ir fiksuoja mašinų numerius, gali atpažinti veidus. Lietuvos saugumas dar vasarį pasisakė, kad už biudžeto pinigus perkant kinišką įrangą reikėtų labiau pasverti rizikas.

Informacinių ir ryšių technologijų asociacijos „Infobalt“ direktorius Mindaugas Ubartas sako, kad, lyginant Kauno ir Vilniaus kiniškas sistemas, sostinė tiesiog įsigijo vaizdo stebėjimo sprendimą, o Kaunas dar gali apdoroti matomą vaizdą.

Anot jo, pasirodžius NKSC tyrimo išvadoms, institucijos turės nuspręsti, kaip pašalinti grėsmes iš savo vaizdo stebėjimo sistemų.

Reklama

„Jeigu nustatyta, kad yra galimybė perduoti duomenis, tai klausimas kaip tą galimybę panaikinti. Jeigu yra nustatoma, kad tuo naudojamasi arba specialiai paliktos galinės durys, tada, mano akimis, kameras reikia lupti lauk ir viskas“, – sako M. Ubartas.

Pasak „Telia“ eksperto S. Kalašnikovo, jeigu NKSC tyrimas kiniškų kamerų atžvilgiu – neigiamas, tuomet esą akivaizdu, kad valstybės institucijos nesaugios įrangos neturėtų pirkti.

Tačiau, pasak NKSC vadovo R. Rainio, išimti kinų gamybos kameras iš vaizdo stebėjimo sistemų – rekomendacijose nėra. Centras pirmiausia siūlo jau turimas „Hikvision“ ir „Dahua“ kameras atskirti vidiniame tinkle, o programinius atnaujinimus siųsti tik iš serverių, esančių Lietuvoje.

„Parengėme rekomendacijas taip, kad jos būtų įgyvendinamos ir pasiekiamos. Visos rekomendacijos nesunkiai įgyvendinamos, ir mes tikimės, kad institucijos jas jau įgyvendino“, – teigia R. Rainys.

Paklaustas, kodėl, pavyzdžiui, JAV kiniškas kameras išėmė iš viešojo sektoriaus, o Lietuvoje tokios rekomendacijos nėra, NKSC vadovas nesiryžo vertinti JAV sprendimo.

„Mes atlikome tyrimą, jis baigtas, ir dabar reikia išdiskutuoti. Yra faktai, išvados, skaičiai ir juos reikia pasverti“, – LRT komentuoja R. Rainys.

Reklama

Išvadose taip pat įvardyti pasiūlymai viešiesiems pirkimams. Pavyzdžiui, rekomenduojama į konkurso sąlygas įtraukti reikalavimą, kad kamerose būtų užlopytos visos saugumo spragos, o tiekėjas užtikrintų, jog programinės įrangos atnaujinimai būtų atsiunčiami tik iš Europos Sąjungoje esančių serverių.

LRT primena, kad pernai įsigaliojo Viešųjų pirkimų įstatymo pataisa, kurioje numatyta, kad valstybinės įstaigos turi teisę reikalauti, jog tiekėjo siūlomos prekės nekeltų grėsmės nacionaliniam saugumui.

Nors įstatymas leidžia nesaugią įrangą ar paslaugas siūlančias bendroves šalinti iš konkurso, naujai suteiktas įrankis, ekspertų nuomone, kol kas neveikia. Esą problema ta, kad nėra numatyta, kas turi nuspręsti, jog produktas yra nesaugus.

NKSC tyrimas dėl kiniškų kamerų galėtų tapti pagrindu pasinaudoti galimybėmis eliminuoti Kinijos gamintojus iš viešųjų konkursų. LRT Tyrimų skyriaus duomenimis, šiuo metu „Hikvision“ ir „Dahua“ užima iki 50 proc. vaizdo stebėjimo sistemų rinkos.