LRT tyrimai

2020.01.29 05:30

LRT tyrimas. Lietuvos vadovus saugo kameros, kurių bijo amerikiečiai

Mindaugas Aušra, LRT Tyrimų skyrius, LRT.lt 2020.01.29 05:30

Vaizdo stebėjimo kameros – dar vienas kinų žvalgybos kibernetinis ginklas, nuo pernai draudžiamas JAV federalinėse agentūrose. Amerikiečių viešasis sektorius privalėjo atsikratyti kiniškų „Hikvision“ ir „Dahua“ kamerų, įrodžius, kad jos turi saugumo spragų. Tačiau Lietuvoje šios kameros plačiai naudojamos ne tik pasieniečių ir policijos veikloje, bet ir šalies vadovų apsaugai.

Pagal 2018 m. priimtą Jungtinių Amerikos Valstijų (JAV) Krašto apsaugos įstatymą, nuo pernai uždrausta naudoti Kinijos kompanijų parduodamą vaizdo stebėjimo ir saugumo įrangą. Amerikiečių viešosioms įstaigoms ne tik draudžiama įsigyti naujas „Hikvision“, „Dahua“ bei „Huawei“ technologijas, bet ir nurodyta atsikratyti jau turimos įrangos.

Tyrimas trumpai

  • Bent šešios jautrią informaciją kaupiančios Lietuvos institucijos savo veikloje naudoja kiniškas „Hikvision“ ir „Dahua“ vaizdo stebėjimo kameras.
  • „Hikvision“, „Dahua“ bei „Huawei“ įranga nuo 2019 m. įstatymu draudžiama JAV – dėl saugumo spragų ir kylančios šnipinėjimo iš Kinijos grėsmės.
  • LRT Tyrimų skyriaus duomenimis, kiniškas kameras yra įsigiję Lietuvos Vadovybės apsaugos, Migracijos, Policijos departamentai, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybos bei valstybės įmonė „Oro navigacija“.
  • Vadovybės apsaugos departamentas teigia kiniškas kameras naudojantis ten, kur fiksuojama žvalgybiniu požiūriu nereikšminga informacija. Tačiau tokia įranga naudojama ir šalies vadovybės kortežuose.
  • Nuo praėjusių metų Lietuvos valstybinės įstaigos turi teisę reikalauti, kad tiekėjo siūlomos prekės nekeltų grėsmės nacionaliniam saugumui.
  • Viešųjų pirkimų tarnybos duomenimis, ši sistema neveikia, nes nenumatyta, kas priima sprendimą dėl perkamos įrangos saugumo.
  • Kiniškas kameras naudojančios institucijos tvirtina, kad jų tinklai yra apsaugoti nuo galimų įsilaužimų iš išorės.

LRT kalbintas Vašingtone įsikūrusios idėjų kalvės „The Heritage Foundation“ technologijų politikos vadovas Klonas Kitchenas sako, kad JAV valdžia tokį sprendimą priėmė dėl dviejų esminių problemų, kurias kelia kinų technologijų bendrovės.

„Pirmiausia, tai kibernetinio saugumo iššūkiai, nes dauguma bendrovių turi informacijos saugojimo problemų ir spragų, kurių nesutvarko. Antra, JAV susirūpinusi, kad Kinijos valdžia naudoja savo bendroves kaip priemonę kitiems sekti. Todėl JAV elgiasi visiškai racionaliai, bandydama apriboti kinų žvalgybos galimybes“, – teigia K. Kitchenas.

Anot jo, dauguma „Hikvision“ ir „Dahua“ kamerų buvo naudojamos amerikiečių karinėse bazėse ar kitose padidinto saugumo institucijose. O visa bendrovių renkama informacija keliauja tiesiai į Kinijoje esančius serverius, prie kurių prieigą turi Kinijos valdžia. Draudimu stengtasi išvengti Kinijos žvalgybos bandymų įrašinėti ir identifikuoti asmenis, dirbančius karinėse bazėse.

Lietuvoje „Hikvision“ ir „Dahua“ kameromis naudojasi bent šešios jautrią informaciją kaupiančios valstybės institucijos. LRT Tyrimų skyrius nustatė, kad tai Vadovybės apsaugos, Migracijos, Policijos departamentai, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybos bei valstybės įmonė „Oro navigacija“.

Vaizdo stebėjimo technologijų įmonė „Hikvision“ yra iš dalies priklausoma nuo Kinijos Vyriausybės – ji valdo 42 proc. bendrovės. Dar 2017 m. nustatyta, kad „Dahua“ kameros turi saugumo spragą, leidžiančią rinkti duomenis ir siųsti informaciją į Kiniją. Nors „Dahua“ skelbė, kad spragas ištaisė, netrukus buvo nustatytos ir kitos galimybės išoriniams veikėjams prisijungti prie kamerų informacijos.

Kinų akis šalies vadovybėje

Lietuvos dabartinį ir buvusius prezidentus, premjerą, Seimo pirmininką, jų rezidencijas bei atstovaujamas institucijas saugantis Vadovybės apsaugos departamentas (VAD) 2018 ir 2017 m. įsigijo 16 „Hikvision“ ir 14 „Dahua“ kamerų bei kartu komplektuojamus įrašymo įrenginius.

Tokių kamerų departamento veikloje gali būti naudojama ir daugiau. VAD direktoriaus pavaduotojas Paulius Nemira į klausimus atsakydamas raštu teigė, kad šiuo metu iš viso naudojama daugiau kaip 500 vaizdo stebėjimo kamerų, todėl, atliekant mažos vertės pirkimus, minėtų produktų galėjo būti įsigyta ir daugiau.

Vadovybę sauganti institucija teigia žinanti grėsmes, kurias kelia „trečiųjų šalių elektronikos naudojimas“. Anot P. Nemiros, kadangi pagal įstatymus negalima diskriminuoti tiekėjų, departamentas mažiau patikimų gamintojų vaizdo kameras naudoja ten, kur esą fiksuojama žvalgybiniu požiūriu nereikšminga informacija. Taip pat tikina, kad departamentas užtikrina informacijos saugumą.

Tai iš esmės reiškia, kad VAD, viešojo konkurso būdo įsigijęs kameras ir sužinojęs jų kilmę, ieško vietų, kur kameras galima būtų panaudoti. Pasak laikinosios Viešųjų pirkimų tarnybos vadovės Jovitos Petkuvienės, toks pasiaiškinimas atrodo keistai.

„Skamba tikrai nelogiškai. Ir turbūt neturėtume leisti pinigų dalykams, kurių mums nelabai reikia. Turėtume turėti tokią įrangą, kurią būtų galima perkelti iš vienos vietos į kitą gedimo atveju“, – sako J. Petkuvienė.

Tačiau iš tiesų VAD kiniškas kameras naudoja ne tik, kaip teigiama, ūkinei veiklai prižiūrėti. 2018 m. liepą už daugiau kaip 10 tūkst. eurų departamentas įsigijo „Dahua“ gamintojo 14 vaizdo stebėjimo kamerų ir 7 įrašymo įrenginius, skirtus automobiliams.

Pasak P. Nemiros, šios kameros gali būti naudojamos kaip vaizdo registratoriai siekiant kontroliuoti, kaip vairuoja pareigūnai, ir peržiūrėti medžiagą eismo įvykio atvejais. Perklaustas, ar tai automobiliai, naudojami šalies vadovams vežioti, P. Nemira patvirtino, kad registratoriai skirti kortežų automobiliams.

Beje, išsiaiškinta, kad prie „Dahua“ kamerų įmanoma prisijungti iš išorės ir fiksuoti kameros įrašinėjamą garsą, net kameros turėtojui atjungus tokią galimybę. Tai pernai rugpjūtį pripažino pati bendrovė.

Pasak JAV technologijų eksperto K. Kitcheno, „Hikvision“ ir „Dahua“ buvo analizuotos tiek privačių, tiek valstybinių saugumo bendrovių, ir visais atvejais nustatyta plataus masto saugumo spragų, kurias bendrovės delsė tvarkyti.

Ginasi tvirtais tinklais

Vakarų saugumo bendrovės skaičiuoja, kad apie 40 proc. visų naudojamų vaizdo stebėjimo kamerų yra pažeidžiamos ir neatlaikytų kibernetinių atakų. Informacinių ir ryšių technologijų asociacijos „Infobalt“ direktorius Mindaugas Ubartas sako, kad šie įrenginiai renka itin jautrią informaciją.

„Vaizdus galima apdoroti, galima naudoti veidų arba dokumentų atpažinimo sistemas. Jeigu kameros matys jūsų kompiuterį, galima žiūrėti, ką jūs veikiat. Todėl saugumo reikmėms reikia naudoti saugias priemones. Tiek JAV gamybos, tiek kinų gamybos kameros turi silpnų vietų, bet geriau, kai silpnos vietos yra žinomos mūsų sąjungininkams, o ne atiduodamos totalitarinėms valstybėms“, – teigia M. Ubartas.

LRT Tyrimų skyriaus duomenimis, Policijos departamentas 2018 m. įsigijo 45 vienetus „Dahua“ kamerų. Jų policijos veikloje gali būti ir daugiau. Kam konkrečiai jos naudojamos, policijos atstovai nenorėjo detalizuoti.

Objektų ir teritorijų apsaugai „Dahua“ kamerų įsigijo Viešojo saugumo tarnyba. Ji užtikrina viešąją tvarką ypatingų ir ekstremalių situacijų atvejais bei saugo svarbius objektus.

„Hikvision“ ir „Dahua“ kamerų konkurso būdu nusipirko ir Valstybės sienos apsaugos tarnyba. Dalis įrenginių skirta aviacijai stebėti, kita įranga – teritorijų perimetro apsaugai. Tarnybos atstovas Giedrius Mišutis patikino, kad negali suskaičiuoti, kiek tokių kamerų iš viso naudojama, tačiau „kamerų yra ir daugiau“.

„Tarnyboje naudojamos perimetro saugos ar sienos stebėjimo sistemų kameros jungiamos į VRM tinklą kabeliais, o ne Wi-Fi technologija. Sienos stebėjimo sistemos dar papildomai turi savo ugniasienę, nepaisant to, kad VRM tinklas taip pat apsaugotas ugniasiene. Taigi prieigos prie vaizdo yra apsaugotos“, – LRT Tyrimų skyriui situaciją tikslina G. Mišutis.

Panašiu argumentu remiasi ir valstybinė įmonė „Oro navigacija“. Ji keliomis „Dahua“ kameromis stebi eismą Vilniaus aerodromo skrydžių valdymo centre. Įmonės atstovė atsakyme teigia, kad sistema, kurioje veikia kiniškos kameros, yra nepriklausoma ir nesujungta su jokiais duomenų apdorojimo ar skrydžių valdymo tinklais.

Tačiau M. Ubartas abejoja tokiais argumentais. Anot jo, net ir saugiausias sistemas galima palaužti. Taip nutiko su „Wannacry“ virusu, kuris prasiskverbė į saugiomis laikytas „Microsoft“ programines įrangas.

„Mes turime kibernetinio neraštingumo problemą. Kol neatsitinka, pareigūnai apie tai nepagalvoja. Turint potencialiai grėsmingą įrenginį savo vidiniame tinkle, tai gal informacija ir negali išeiti, kol vidinis tinklas yra saugiai uždarytas. Bet kas gali paneigti, kad langas vienu momentu atsidarys, ir ta informacija, kuri bus reikalinga, išeis“, – komentuoja M. Ubartas.

Verta atkreipti dėmesį, kad pernai Pasauliniame kibernetinio saugumo indekse Lietuva dviem vietomis nusileido JAV: Lietuva užėmė 4, o JAV – 2 vietą. Tačiau JAV vis tiek nusprendė nerizikuoti nacionaliniu saugumu ir nesinaudoti kinų gamybos kameromis.

LRT Tyrimų skyrius kreipėsi į lietuvių bendroves „Fima“ ir ATEA, kurios laimėjo minėtus viešuosius konkursus, siūlydamos kinišką įrangą. Į klausimus atsakė tik „Fima“. Įmonė skaičiuoja, kad per 3–5 metus viešajam sektoriui yra pardavusi kelis šimtus „Dahua“ ir apie keliasdešimt „Hikvision“ kamerų. Tai esą sudaro tik menką dalį visų valstybinėms įstaigoms tiekiamų kamerų, kurių parduodama tūkstančiais.

Pasiteiravus dėl galimų saugumo iššūkių, susijusių su kiniškomis kameromis, „Fima“ atstovai sako girdėję, kad „Hikvision“ ir „Dahua“ JAV yra įtraukti į juoduosius sąrašus, tačiau Lietuvoje tokio sąrašo nėra. Teigiama, kad šiuo metu saugumo iššūkių bendrovė nesvarstė, tačiau informacija apie tai turėjo juos pasiekti iš valstybės institucijų.

„FIMA teikia pasiūlymus, kurie atitinka konkurso sąlygose nustatytus techninius, funkcionalumo ir įrangos saugumo reikalavimus bei neprieštarauja LR įstatymams. Visuomet siekiame pateikti geriausią pasiūlymą už mažiausią įmanomą kainą“, – rašoma atsakyme.

Kuriozinė įstatymo pataisa

Pernai pavasarį Seimas priėmė Viešųjų pirkimų įstatymo pataisą, kurioje numatyta, kad valstybinės įstaigos turi teisę reikalauti, jog tiekėjo siūlomos prekės nekeltų grėsmės nacionaliniam saugumui. Pataisa taikoma institucijoms, veikiančioms gynybos srityje ar valdančios ypatingai svarbią informaciją. Taip pat įstaigoms dirbančioms srityse, kurios laikomos nacionaliniam saugumui užtikrinti strategiškai svarbių ūkio sektorių dalimi.

Tačiau Migracijos departamentas 105 vienetų „Hikvision“ kamerų ir papildomų įrašymo įrenginių įsigijo 2019 m. gruodį, jau priėmus pataisas. Departamento atstovai sako, kad tai vienintelis atvejis, kai buvo įsigyta kiniškų kamerų, o jos naudojamos departamento klientų aptarnavimo erdvėms. Kaip ir kitos institucijos, departamentas tvirtina, kad jo tinklai yra apsaugoti nuo galimų įsilaužimų iš išorės.

„Pirkime kvalifikaciniai reikalavimai nebuvo keliami, o ekonomiškai naudingiausias pasiūlymas išsirinktas pagal mažiausią pasiūlytą kainą, kurią pateikė UAB ATEA. Įsigyta technika yra nupirkta iš Lietuvos bendrovės“, – teigiama atsakyme.

Pasak laikinosios Viešųjų pirkimų tarnybos vadovės J. Petkuvienės, negali būti, kad Migracijos departamento specialistai nežinojo apie įstatymo pataisą.

„Tai pakankamai jautri sritis, Migracijos departamento, ir apie tokius įrankius tikrai turi žinoti. Tai šitoje vietoje turbūt buvo žinoma, bet nelabai žinojo, kad vienos ar kitos kameros nedera su valstybės interesais“, – sako J. Petkuvienė.

Migracijos departamentas paprašytas patikslinti, kodėl nepasinaudojo naująja įstatymo pataisa, nukreipė į pirkimą vykdžiusį Turto valdymo ir ūkio departamentą prie VRM. Pateiktame atsakyme dėstoma, kad naujųjų pataisų buvo laikomasi.

„Atsižvelgiant į tai, kad šiuo pirkimu įsigyjamos vaizdo stebėjimo ir garso įrašymo sistemos yra skirtos Migracijos departamento klientų aptarnavimo erdvėms, minėta įstatymo nuostata pasinaudoti perkančioji organizacija neturėjo jokio pagrindo“, - rašoma atsakyme.

Nors įstatymas leidžia nesaugią įrangą ar paslaugas siūlančias bendroves šalinti iš konkurso, naujai suteiktas įrankis, ekspertų nuomone, kol kas neveikia. Anot J. Petkuvienės, problema ta, kad nėra numatyta, kas turi nuspręsti, jog produktas yra nesaugus.

„Nėra vienos sistemos valstybėje ar institucijos, kuri galėtų iškomunikuoti viešajam sektoriui, kad vieni ar kiti produktai būtų nepageidautini mūsų rinkoje, nes jie potencialiai kelia grėsmę. Įstatyme taip ir palikta visa atsakomybė perkančiajai organizacijai“, – komentuoja J. Petkuvienė.

LRT Tyrimų skyrius nustatė, kad, Seime svarstant naują Viešųjų pirkimų įstatymo redakciją, ši problema jau buvo iškilusi tiek Ekonomikos, tiek Audito komitetuose.

Tuo metu ekspertai atkreipė dėmesį, kad papildymas nesuderinamas su Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatymu ir negali būti įgyvendinamas dėl to, kad įstaigos neturi tinkamos kompetencijos įvertinti, ar siūlomos prekės kelia pavojų nacionaliniam saugumui. Taip pat nėra aišku, kokiais kriterijais vadovaujantis būtų nustatomas prekių pavojus.

Ekonomikos komitetas tokioms išvadoms pritarė iš dalies ir įstatymo redakcijoje pridėjo vieną žodį. Todėl siūlytas privalomas reikalavimas, kad prekės nekeltų pavojaus, tapo patariamasis.

LRT kreipėsi į pataisų autorę – Ekonomikos ir inovacijų ministeriją. Jos atstovai tikina, kad įstatymas numato, kas teikia informaciją apie grėsmę keliančius produktus. Esą tai vykdoma pagal Nacionaliniam saugumui užtikrinti svarbių objektų apsaugos įstatymo nustatytą tvarką. Arba informaciją perkančiajai organizacijai, veikiančiai gynybos srityje, teikia kompetentingos institucijos.

Vis dėlto, peržiūrėjus minėtas tvarkas, lieka neaišku, kaip konkrečiai turi būti nustatoma siūlomų produktų grėsmė, kas turėtų suformuoti pažymas ir informuoti institucijas, kad skelbiamuose konkursuose gali būti siūlomi valstybei nesaugūs produktai.

Informacija – žvalgybos rankose

„Hikvision“ bei „Dahua“ yra sukaupusios didelę patirtį veido atpažinimo technologijų ir didelių duomenų apdorojimo srityse. Jų kuriamos išmaniosios stebėjimo kameros geba skirti žmones pagal etniškumą. Abi įmonės užima 40 proc. pasaulinės vaizdo stebėjimo sistemų rinkos ir jų įranga bei technologijos plačiai naudojamos ne tik JAV, bet ir Europoje.

Abi bendrovės pernai rudenį į juodąjį amerikiečių prekybos sąrašą buvo įtrauktos ir dėl žmogaus teisių pažeidimų. Teigiama, kad įmonės prisideda prie Kinijos represijų musulmonų mažumų, tokių kaip uigūrai ir kazachai, atžvilgiu.

„Kinija šias technologijų bendroves naudoja kurdama visuotinio sekimo valstybę, kad galėtų ne tik stebėti savo piliečius, bet ir naudoti represijas prieš religines mažumas. Vien ši sąsaja verčia susirūpinti bendrovių veikla“, – sako JAV ekspertas K. Kitchenas.

Apie „Hikvision“ kamerų saugumo spragas buvo pranešta 2017 m., kai JAV Nacionalinio saugumo departamentas įspėjo, kad į vaizdo stebėjimo kameras galima lengvai įsilaužti. Teigta, kad ši spraga nustatyta 200 modelių, kurių pasaulyje gali būti parduota milijonai.

Spraga leido nesunkiai prisijungti prie kameros, gaunant administratoriaus teises, todėl, kaip skelbta, paprasta įsilaužti į vietinį tinklą per išorinį įrenginį. Dėl to viena didžiausių Kanados saugumo kompanijų „Genetec“ pranešė reikalausianti, kad jų klientai, norintys turėti „Hikvision“ kameras, privalės pasirašyti atskirą sutartį, neleidžiančią reikšti pretenzijų aptikus įsilaužimo atvejį į tinklą per „Hikvision“ įrangą. Kai kurios JAV apsaugos bendrovės išvis atsisakė prekiauti kinų bendrovės produktais.

JAV ekspertai pabrėžia, kad dauguma „Hikvision“ parduodamos įrangos turi ir „Huawei“ technologinių dalių. Tačiau pati bendrovė teigia paisanti įstatymų ir užtikrina, kad jos gaminama įranga – patikima. Taip pat aiškinama, kad Kinijos vyriausybė nedalyvauja kasdienėse „Hikvision“ kamerų operacijose.

Bet realybė yra kitokia, nei bando pateikti Pekinas ar jo įmonės. Kinijos žvalgybos įstatymas numato, kaip žvalgybos institucijos gali kreiptis į bendroves padėti vykdyti žvalgybines užduotis. Tuo labiau, kad Kinijos baudžiamojo proceso įstatymas įpareigoja įmones ir asmenis netrukdyti naudoti pasiklausymo įrangą.

„Kinijos valdžia įstatymu turi prieigą prie informacijos, kurią renka Kinijos technologijų bendrovės. Net jeigu informacija yra renkama Jungtinėse Valstijose. Ir ta informacija visuomet nukeliauja į kiniškus serverius ir yra naudojama valdžios“, – bendrovių veiklos pobūdį komentuoja idėjų kalvės „The Heritage foundation“ K. Kitchenas.

2018 m. rugsėjį „Hikvision“ ir „Dahua“ šnipinėjimo faktą nustatė Australijos vyriausybė. Tuo metu šalies kibernetinė policija sakė, kad šių kamerų naudojimas saugumo institucijose neturi jokios prasmės. Kinija bando įrodyti, kad ji neverčia bendrovių padėti jos žvalgybai šnipinėti, nes, esą, įstatymai gina verslo interesus. Bet 2005 m. istorija, kai „Yahoo“ privalėjo perduoti žvalgybai kinų žurnalisto laiškus, rodo ką kita.

K. Kitchenas atkreipia dėmesį į vieną paradoksą. Kinų vaizdo stebėjimo įrangos bendrovės teigia pirmaujančios pasaulyje pagal pažangumą, tačiau jų produkcija – perpus pigesnė nei vakarietiška.

„Tai labai aiški strategija. Kinų bendrovės yra finansuojamos valstybės. Jeigu įmonė nėra motyvuota gauti kuo didesnį pelną, kokie yra tikrieji motyvai? Įmones motyvuoja valdžia, kuri supranta, kad jeigu išplės savo produktų rinką į kitas valstybes, tai reiškia, kad išsiplės ir žvalgybos galimybės“, – sako K. Kitchenas.