LRT tyrimai

2020.05.27 11:16

Po LRT tyrimo. Institucijų verdiktas: Lietuvoje naudojamos kinų kameros susietos su Rusijos serveriais

Mindaugas Aušra, LRT Tyrimų skyrius, LRT.lt2020.05.27 11:16

LRT Tyrimų skyriui paviešinus, kad pasieniečiai, policija ir vadovybės apsauga naudoja kiniškas vaizdo stebėjimo kameras, Kibernetinio saugumo centras atliko įrangos tyrimą. Nustatyta, kad šalies institucijose įrengtos kameros yra ne tik lengvas grobis įsilaužėliams, bet ir nukreipia į rusiškus serverius, kur galima duomenų vagystė. 

JAV valdžia vaizdo stebėjimo kameras vadina dar vienu kinų žvalgybos kibernetiniu ginklu, nes jose nustatyta įvairiausių saugumo spragų. Todėl vienos populiariausių „Hikvision“ ir „Dahua“ kameros nuo pernai draudžiamos šalies įstaigose.

Taip pat skaitykite

Sausį LRT Tyrimų skyrius rašė apie tai, kad Lietuvoje „Hikvision“ ir „Dahua“ kameromis naudojasi bent šešios jautrią informaciją kaupiančios valstybės institucijos. Tai Vadovybės apsaugos, Migracijos, Policijos departamentai, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybos bei valstybės įmonė „Oro navigacija“.

Reaguodamas į pasirodžiusią informaciją, Nacionalinio kibernetinio saugumo centro (NKSC) vadovas Rytis Rainys pranešė, kad bus pradėtas kiniškų kamerų tyrimas. Po 4 mėnesių jis išvydo dienos šviesą, o rezultatai kinų gamintojams – nepalankūs.

NKSC kamerų analizė rodo, kad šalies institucijų naudojamos Kinijos gamintojų kameros turi keturias dideles saugumo rizikas: galimybę nulaužti slaptažodį, 61 pažeidžiamą vietą programinėje įrangoje, sąsajas su Rusijos serveriais ir netrukdomą gamintojo prieigą prie kameros duomenų.

Pasak R. Rainio, šiuo metu rizikingas kameras turi 57 šalies institucijos, kurios – neatskleidžiama. LRT Tyrimų skyriaus duomenimis, „Hikvision“ arba „Dahua“ kameras viešosioms erdvėms stebėti naudoja ir 36 savivaldybės. Tai 60 proc. visos Lietuvos.

Kameras lengva užvaldyti

„Hikvision“ ir „Dahua“ kameros – pirmosios, kurias nagrinėjo kibernetinį saugumą užtikrinanti šalies institucija. Pasak R. Rainio, tyrimui buvo atrinkti tie kamerų modeliai, kurie naudojami jautrią informaciją renkančių institucijų vaizdo stebėjimo sistemose, todėl yra brangesni.

Nustatyta, kad kamerose naudojami slaptažodžiai yra itin silpnai apsaugoti. Tyrimų metu buvo perimti užkoduoti „Hikvision“ ir „Dahua“ kamerų slaptažodžiai, jie iššifruoti ir panaudoti nuotoliniam prisijungimui.

„Būtent todėl tas kameras galima perimti, atlikti įvairius veiksmus, pakeisti jas, įjungti, išjungti, pakeisti vaizdelius“, – LRT komentuoja R. Rainys. Anot jo, kameros valdymo instrukciją sudaro daugiau kaip 700 puslapių, todėl pasinaudojimo galimybės – itin plačios.

Taip pat NKSC kiniškų kamerų analizė parodė įvairius programinės įrangos paketus, turinčius net 61 pažeidžiamą vietą, kurios gali būti išnaudojamos kibernetinėms atakoms.

„Iš to 61 – 23 turi aukštą pažeidžiamumo balą. Tai reiškia, kad labai lengva pasinaudoti saugumo spragomis. Galima organizuoti kibernetines atakas, tokias kaip atkirtimas nuo paslaugos ar kenkėjiško kodo įterpimas“, – teigia NKSC vadovas.

Neįprasta tai, kad Lietuvos institucijų naudojamos kameros turi tiesioginių sąsajų su Rusija. Reikalingus kamerų atnaujinimus „Hikvision“ ir „Dahua“ gamintojai siūlo atsisiųsti iš IP adresų Kinijoje, tačiau nustatyta, kad šie peradresuoja į serverius, esančius Rusijoje. Tai reiškia, kad vartotojas, siųsdamasis atnaujinimus iš Rusijos serverių, ten gali palikti savo duomenis ir kartu gauti ne tai, ko atėjo.

„Taip pat nustatėme, kad naudojama mobilioji programėlė, kuria kameras galima valdyti iš mobiliojo telefono, surenka jautrią informaciją, duomenis apie vartotoją, apie patį aparatą. Yra protokolai, kurie leidžia prie kameros prisijungti dėl tarnybinio aptarnavimo, o tai reiškia, kad leidžia gamintojui prisijungti prie kamerų“, – teigia R. Rainys.

Daugiau nei pusėje Lietuvos – kinų akys

LRT Tyrimų skyrius kreipėsi į šalies savivaldybes, vaizdo stebėjimo kamerų tiekėjus ir nagrinėjo viešųjų pirkimų dokumentus. Užklausos parodė, kad beveik 40 savivaldybių, t. y. 60 proc. Lietuvos, viešosioms erdvėms stebėti naudoja „Hikvision“ arba „Dahua“ kameras.

Kai kuriuose regionuose, tokiuose kaip Druskininkai, Kupiškis, Šilutė ar Telšiai, Kinijos gamintojų kameros sudaro mažą dalį vaizdo stebėjimo sistemos. Bet didžiuosiuose šalies miestuose karaliauja išimtinai kinų produkcija.

Dažniausiai savivaldybių pirkimus šioje srityje laimi „Telia“. Jos vaizdo stebėjimo sprendimų ekspertas Saulius Kalašnikovas teigia, kad viešuosiuose pirkimuose lemiamą sprendimo svorį turi mažiausia kaina, todėl viešosiose erdvėse atsiduria būtent Kinijos gaminiai.

„Turbūt sunku, remiantis mažiausios kainos kriterijumi, tikėtis kokybės. Visomis prasmėmis yra neįmanoma. Turime atsirinkę tokius gamintojus, kurie diktuoja technologines madas. Jie akivaizdžiai investuoja į naujų technologijų kūrimą, jų tobulinimą, ir natūralu, kad tai kainuoja. Su Azijos šalių gamintojais taip dažniausiai būna, kad jie deklaruoja, jog atitinka visus parametrus arba net ir pralenkia. Ir tada lieka mažiausia kaina“, – LRT komentuoja S. Kalašnikovas.

Anot eksperto, kai kurios savivaldybės tampa Viešųjų pirkimų įstatymo įkaitėmis, todėl negali laisvai rinktis įrangos, kuri būtų ir geresnė, ir saugesnė. Panašiai įvyko sostinėje, kur viešosioms erdvėms stebėti išimtinai naudojamos kinų gamintojų kameros.

Viešųjų pirkimų duomenimis, Vilnius 2017 m. įsigijo daugiau kaip 200 „Dahua“ kamerų, bet jų yra ir daugiau. Sostinės administracijos direktoriaus pavaduotojas Adomas Bužinskas teigia, kad visos kameros, stebinčios Vilnių, yra kiniškos.

„Mes esame padarę veiksmus, mėgindami išvengti tam tikrų gamintojų, kurie gali kelti grėsmę, bet didesnio palaikymo iš centrinių institucijų nesulaukėme“, – sako A. Bužinskas.

Jis pasakoja, kad savivaldybė kreipėsi tiek į VSD, tiek į NKSC ir gavo išvadą, kad tam tikrų tiekėjų galimybes dalyvauti konkursuose reikėtų riboti iš nacionalinio saugumo perspektyvos. Tačiau esą po kreipimosi į Viešųjų pirkimų tarnybą ar Vyriausybę jokių veiksmų sostinės valdžia nesulaukė.

„Esame tokioje stadijoje, kur skelbiame naują viešąjį pirkimą dėl kamerų ir didelė tikimybė, kad vėl laimės ta įmonė, kuri pasiūlys kinišką produkciją“, – teigia A. Bužinskas.

Jis abejoja, ar pavyktų iš konkursų pašalinti tiekėjus, siūlančius kiniškas kameras, pakeitus sąlygas ir neperkant sistemų pagal mažiausios kainos kriterijų.

Įrangos lupti lauk neplanuoja

Ypač daug ginčų sukėlė Kauno gatvėse sumontuotos kiniškos kameros, kurios ne tik filmuoja, bet ir fiksuoja mašinų numerius, gali atpažinti veidus. Lietuvos saugumas dar vasarį pasisakė, kad už biudžeto pinigus perkant kinišką įrangą reikėtų labiau pasverti rizikas.

Informacinių ir ryšių technologijų asociacijos „Infobalt“ direktorius Mindaugas Ubartas sako, kad, lyginant Kauno ir Vilniaus kiniškas sistemas, sostinė tiesiog įsigijo vaizdo stebėjimo sprendimą, o Kaunas dar gali apdoroti matomą vaizdą.

Anot jo, pasirodžius NKSC tyrimo išvadoms, institucijos turės nuspręsti, kaip pašalinti grėsmes iš savo vaizdo stebėjimo sistemų.

„Jeigu nustatyta, kad yra galimybė perduoti duomenis, tai klausimas kaip tą galimybę panaikinti. Jeigu yra nustatoma, kad tuo naudojamasi arba specialiai paliktos galinės durys, tada, mano akimis, kameras reikia lupti lauk ir viskas“, – sako M. Ubartas.

Pasak „Telia“ eksperto S. Kalašnikovo, jeigu NKSC tyrimas kiniškų kamerų atžvilgiu – neigiamas, tuomet esą akivaizdu, kad valstybės institucijos nesaugios įrangos neturėtų pirkti.

Tačiau, pasak NKSC vadovo R. Rainio, išimti kinų gamybos kameras iš vaizdo stebėjimo sistemų – rekomendacijose nėra. Centras pirmiausia siūlo jau turimas „Hikvision“ ir „Dahua“ kameras atskirti vidiniame tinkle, o programinius atnaujinimus siųsti tik iš serverių, esančių Lietuvoje.

„Parengėme rekomendacijas taip, kad jos būtų įgyvendinamos ir pasiekiamos. Visos rekomendacijos nesunkiai įgyvendinamos, ir mes tikimės, kad institucijos jas jau įgyvendino“, – teigia R. Rainys.

Paklaustas, kodėl, pavyzdžiui, JAV kiniškas kameras išėmė iš viešojo sektoriaus, o Lietuvoje tokios rekomendacijos nėra, NKSC vadovas nesiryžo vertinti JAV sprendimo.

„Mes atlikome tyrimą, jis baigtas, ir dabar reikia išdiskutuoti. Yra faktai, išvados, skaičiai ir juos reikia pasverti“, – LRT komentuoja R. Rainys.

Išvadose taip pat įvardyti pasiūlymai viešiesiems pirkimams. Pavyzdžiui, rekomenduojama į konkurso sąlygas įtraukti reikalavimą, kad kamerose būtų užlopytos visos saugumo spragos, o tiekėjas užtikrintų, jog programinės įrangos atnaujinimai būtų atsiunčiami tik iš Europos Sąjungoje esančių serverių.

LRT primena, kad pernai įsigaliojo Viešųjų pirkimų įstatymo pataisa, kurioje numatyta, kad valstybinės įstaigos turi teisę reikalauti, jog tiekėjo siūlomos prekės nekeltų grėsmės nacionaliniam saugumui.

Nors įstatymas leidžia nesaugią įrangą ar paslaugas siūlančias bendroves šalinti iš konkurso, naujai suteiktas įrankis, ekspertų nuomone, kol kas neveikia. Esą problema ta, kad nėra numatyta, kas turi nuspręsti, jog produktas yra nesaugus.

NKSC tyrimas dėl kiniškų kamerų galėtų tapti pagrindu pasinaudoti galimybėmis eliminuoti Kinijos gamintojus iš viešųjų konkursų. LRT Tyrimų skyriaus duomenimis, šiuo metu „Hikvision“ ir „Dahua“ užima iki 50 proc. vaizdo stebėjimo sistemų rinkos.

„Hikvision“: nesiekiam įrodyti, kad esame švelnūs ir pūkuoti

Kiniškų kamerų „Hikvision“ atstovas Lietuvoje Andrius Dapkevičius teigia neabejojantis NKSC išvadomis, tačiau jam klausimų kelia sąsajos su Rusija faktas. Esą pati „BK grupė“, atstovaujanti minėtoms kameroms, buvo užsakiusi privatų įrangos tyrimą ir nuorodų į serverius Maskvoje nerado.

„Ta kompanija, kuri mums darė produktų testą, sako, kad tai Amerikoje patalpintas serveris. Norime išsiaiškinti iki galo“, – LRT komentuoja A. Dapkevičius.

Anot jo, privačiai bendrovės atliktas kiniškų kamerų tyrimas didelių nukrypimų nuo NKSC analizės neparodė. Teigiama, kad testas kameroms davė 55 saugumo balus iš 125, tačiau verslininkas negalėjo pasakyti, kad reiškia pusėtini balai.

„Mes neturime kitų gamintojų, dalyvaujančių rinkoje, įvertinimų“, – sako „Hikvision“ atstovas Lietuvoje.

LRT jis teigia, kad institucijų ataskaitą vertina pozityviai, nes rekomendacijos suteiks galimybę tobulinti stebėjimo sistemas.

„Nesiekiam įrodyti, kad esame švelnūs ir pūkuoti. Mes norime, kad būtų reglamentuoti saugumo standartai, kuriuos turėtume atitikti, ir ateidami į konkursus norime žinoti, pagal kokius standartus dalyvaujam ir kodėl pralaimim ar laimim“, – LRT sakė verslininkas.

Pasak A. Dapkevičiaus, NKSC išvados verslą Lietuvoje gali paveikti neigiamai, tačiau jis siekia konstruktyvaus dialogo su šalies institucijomis, o dėl saugumo spragų jau kreipėsi į Kiniją.

„Raportavau į centrinę būstinę, į Kiniją, kad yra tokios spragos ir reikia tvarkyti. Centrinė būstinė, kaip visas aparatas, į mūsų rinką nereaguoja. Mes dirbam su mūsų regiono departamentu. Ar bus raportuojama į centrą, negaliu atsakyti“, – sako jis.