LRT tyrimai

2021.11.15 05:30

LRT tyrimas. Lietuvos danguje – šimtai kiniškų dronų, galinčių nutekinti duomenis

Mindaugas Aušra, LRT Tyrimų skyrius, LRT.lt2021.11.15 05:30

Įvykių žvalgybai, eismo ir šalies sienos kontrolei, gaisrų, gamtos priežiūrai ir karinėms pratyboms Lietuvoje naudojami bepiločiai orlaiviai, dažniausiai pažymėti „DJI“ logotipu. Kinijos gamintojo „Da-Jiang Innovations“ dronų – šimtai valstybinėse įstaigose. LRT Tyrimų skyriaus duomenimis, šią įrangą naudoja šalies žvalgyba, kariuomenė, policija bei Sienos apsaugos tarnyba. Tuo metu Vakaruose daugėja įrodymų, kad „DJI“ renka duomenis apie kritinę infrastruktūrą ir siunčia juos trečiosioms šalims. 

„Kinijos valdžios akys danguje“ arba „Huawei“ ant sparnų“ – taip kiniškus DJI dronus vadina tiek čia, Lietuvoje, tiek už Atlanto. Sugretinimas su „Huawei“ mobiliaisiais telefonais nėra atsitiktinis. Net Lietuvoje šios įrangos atlikti valstybiniai tyrimai rodo, kad kiniški telefonai kelia saugumo rizikų, nutekina duomenis.

Tokia pati situacija gali pasikartoti ir su bepilotėmis skraidyklėmis. Kinijos gamintojo „Da-Jiang Innovations“ (DJI) dronai – sudaro apie 70 proc. pasaulinės rinkos, o pastaraisiais metais daugėja įrodymų, kad šie gali vykdyti žvalgybą trečiosioms šalims. Vakarų valstybėse jau imamasi dėl to veiksmų, pastebėjus, kad DJI bepiločių orlaivių prisipirko kritinę infrastruktūrą prižiūrinčios įstaigos, kariuomenė ir policija. Ne išimtis ir Lietuva.

LRT Tyrimų skyrius, išanalizavęs viešųjų pirkimų sutartis, sudarytas nuo 2018 m. pradžios, nustatė, kad pasirašyta bent 50 sutarčių dėl 150 kiniškų dronų įsigijimo. Vieni naujausių pirkimų – pavasarį Kriminalinės policijos biuro ir vasarą kritinę energetikos infrastruktūrą valdančios „Litgrid“ įsigyti bepiločiai orlaiviai.

Tačiau aiškėja, kad iš tiesų institucijose kiniškų dronų gali būti gerokai daugiau. Tiekėjai kalba, kad kasmet įstaigoms parduodama šimtai DJI bepiločių orlaivių. Institucijos, pateikdamos atsakymus LRT, taip pat nurodė didesnius skaičius, nei rodo viešai prieinami duomenys.

Tuo metu JAV vidaus reikalų sistema ir kariuomenė jau nebenaudoja kiniškų dronų DJI, įtraukė juos į juoduosius sąrašus ir planuoja bepiločių orlaivių gamintoją skelbti grėsme nacionaliniam saugumui. Panašių veiksmų imamasi ir Europoje.

Kiniškų dronų klientai – Lietuvos kariuomenė

LRT Tyrimų skyriaus surinkta medžiaga rodo, kad DJI bepiločių skraidyklių dar pernai už beveik 3 tūkst. eurų įsigijo Didžiojo kunigaikščio Gedimino štabo batalionas. Viešųjų sutarčių duomenimis, tokius dronus nuo 2018 m. pirko bent 6 krašto apsaugos sistemos įstaigos. Tarp jų ir Vytauto Didžiojo kunigaikščio jėgerių batalionas, vykdantis specialiąją žvalgybą, reidus ir pasalas. Taip pat kariuomenės kovinių narų tarnyba.

Specialiąsias užduotis vykdančios pajėgos kiniškų dronų įsigijo 2018 m. pabaigoje ir jiems išleido apie 70 tūkst. eurų. Dabartinė Krašto apsaugos ministerijos (KAM) vadovybė tvirtina žinanti šią problemą ir skaičiuoja, kad iš viso kariuomenė turi apie 100 saugumo riziką keliančių bepiločių orlaivių.

„Mes tikrai kalbamės su sąjungininkais dėl Kinijos technologijų keliamų grėsmių ir informaciją turim dėl šitų dronų. Taip, Lietuvos kariuomenė turi įsigijusi tokių dronų, didžioji dalis jų įsigyta 2017–2019 m.“, – LRT teigė KAM viceministras Margiris Abukevičius.

Tai, kad Vakarų kariuomenei Kinijos gamybos dronai, galintys rinkti medžiagą ore ir fiksuoti svarbius objektus, tapo didele problema, paaiškėjo bent prieš kelerius metus.

2017 m. JAV Valstybės saugumo departamentas paskelbė, kad DJI dronai siunčia jautrius infrastruktūros ir teisėsaugos duomenis į Kiniją, taip palengvinant šnipinėjimą. Po metų Pentagonas dėl kibernetinio saugumo problemų uždraudė naudoti visus DJI komercinius bepiločius orlaivius, o 2019 m. Kongresas priėmė įstatymą, draudžiantį gynybos įstaigoms naudoti Kinijoje gaminamus dronus.

Kinijos gamintojui neigiant kaltinimus, kad bepiločiai orlaiviai renka duomenis ir siunčia juos trečiosioms šalims, šiemet Pentagonas pakartojo, kad DJI dronai kelia grėsmę nacionaliniam saugumui. Nors siūlymas uždrausti JAV naudoti šias skraidykles turėtų įsigalioti nuo 2023 m., dauguma federalinių agentūrų jau įvedė įrangos blokadą. Pernai Komercijos departamentas DJI, kaip ir mobiliųjų telefonų gamintoją „Huawei“ bei vaizdo stebėjimo kamerų tiekėjus „Hikvision“ ir „Dahua“, įtraukė į juodąjį sąrašą.

Dėl nustatytų ir patvirtintų šių DJI dronų trūkumų jais naudotis uždraudė Nyderlandų krašto apsaugos ministerija. Panašiai pasielgė ir Japonijos vyriausybė, raginanti įstaigas pakeisti tokius dronus, o kai kurios šios šalies institucijos, renkančios jautrią informacija, kinų įranga nebesinaudoja.

Pasak KAM viceministro M. Abukevičiaus, Lietuvoje neplanuojama atlikti atskiro DJI dronų saugumo rizikų tyrimo, kaip buvo daroma su kiniškais telefonais ir kameromis, nes pasitikima sąjungininkų informacija.

„Svarbu akcentuoti, kam kiniški dronai naudojami. Tai pirmiausia viešiesiems ryšiams, renginių filmavimui ir taip pat baziniams karių mokymams, kaip užsimaskuoti, kaip pastebėti droną, bet tikrosioms operacijoms naudojami kitokie dronai“, – LRT sakė viceministras.

Ministerija, paprašyta patikslinti, kokiems tikslams kinų gamybos bepiločius orlaivius naudoja kariuomenės specialiųjų operacijų pajėgos, atsakė, kad šie skraidinami kariams treniruoti, įrangos galimybėms testuoti, jų pritaikymui paieškai ir komunikacijos poreikiams, o su jų naudojimu susijusios kibernetinės rizikos yra žinomos ir valdomos.

Kartu pabrėžiama, kad jau nuo kitų metų krašto apsaugos sistemoje bus taikoma pirkimų patikra, kuri nebeleis įsigyti įrangos iš Kinijos gamintojų.

Kasmet įsigyjama šimtai dronų

Tačiau Lietuvos kariuomenės naudojami dronai – tik ledkalnio viršūnė. Šiemet už beveik 30 tūkst. eurų kiniškos įrangos įsigijo elektros perdavimo tinklus valdanti „Litgrid“, po kelis tūkstančius išleido ir Klaipėdos vyriausiasis policijos komisariatas bei Kriminalinės policijos biuras. Kriminalistinių tyrimų centras balandį nusipirko 20 dronų už daugiau kaip 50 tūkst. eurų.

Centras skaičiuoja, kad iš viso naudoja 29 DJI dronus, o juos skraidina eismo ir kitiems įvykiams fiksuoti, dingusių asmenų paieškai bei pareigūnų mokymams.

„Oficialaus kompetentingų institucijų įspėjimo dėl orlaivių saugumo grėsmių Lietuvos policija nėra gavusi“, – rašoma atsakyme.

Klaipėdos policija teigia iš viso turinti 3 minėtus dronus, o informacija dėl galimų grėsmių duomenų saugumui įsigyjant šią įrangą buvo žinoma, tačiau „kol kas rinkoje šis gamintojas siūlo geriausią kainos ir kokybės santykį.“

„Klaipėdos policijos Kriminalistinių tyrimų tarnyba droną su termovizoriumi daugiausia naudoja dingusių žmonių paieškai. Taip pat dronas buvo naudotas po sprogimo ir gaisro vienoje uostamiesčio įmonėje, kai reikėjo nustatyti, ar pastato konstrukcijos pakankamai stabilios, ar saugu ten eiti tyrėjams“, – rašoma atsakyme.

Kriminalinės policijos biuras pateiktuose atsakymuose teigia, kad bepilotes skraidykles naudoja nusikalstamų veikų prevencijai ir tyrimams, tačiau dėl konfidencialaus įstaigos veiklos pobūdžio plačiau komentuoti negalėjo.

Panašioje situacijoje – ir Specialiųjų tyrimų tarnyba (STT), kinišką droną pirkusi 2018 m. Dėl neviešos veiklos STT negalėjo atsakyti, kiek iš viso yra įdarbinusi DJI bepiločių orlaivių ir ar buvo įspėta apie galimą tokios įrangos grėsmę.

Valstybės sienos apsaugos tarnyba (VSAT) taip pat nurodė negalinti išsamiai atsakyti į kylančius klausimus, nes informacija, kuria LRT prašė pasidalyti, tarnybinio pobūdžio. VSAT kinų gamybos bepilotes skraidykles pirko tiek 2019, tiek 2020 m., sudarydama sutarčių už daugiau kaip 70 tūkst. eurų.

„Šiuo metu eksploatuojamų bepiločių orlaivių skaičius nėra didelis. Informacija apie DJI gamintojo dronų galimas rizikas žinoma“, – LRT teigė VSAT Kriminalinių tyrimų valdybos viršininko pavaduotojas Albertas Karkauskas.

Kariuomenei, VSAT ir kai kurioms policijos struktūroms apie galimą duomenų nutekėjimą naudojant DJI bepiločius orlaivius žinoma, tačiau kitos institucijos sako jokių įspėjimų nėra gavusios. Tarp jų – 18 tokių dronų valdantis Priešgaisrinės apsaugos ir gelbėjimo departamentas (PAGD), skraidykles naudojantis, pavyzdžiui, didelio masto įvykiuose nustatant gaisro gesinimo kryptis.

Jokių rekomendacijų nėra gavusi „Litgrid“, Nacionalinė mokėjimų agentūra, Aplinkos apsaugos departamentas, Teritorijų planavimo ir statybų inspekcija. Šios įstaigos iš viso turi 14 kinų gamybos bepiločių orlaivių. Valstybinių miškų urėdija (VMU), įdarbinusi 18 DJI dronų, sako neribojanti Kinijoje pagamintų produktų viešuosiuose konkursuose, nes tiesiog negali to daryti.

Vienas iš didžiausių DJI dronų tiekėjų Lietuvoje – įmonė „Promaksa“. Jos vadovas Antanas Petrauskas teigia, kad šiuo metu bepiločių orlaivių rinka Lietuvoje intensyvėja. Paklaustas, kiek konkrečiai viešajam sektoriui per metus parduoda tokių skraidyklių, patikino negalintis atskleisti duomenų, tačiau esą tai nėra dešimtys, bet šimtai dronų per metus. Jo įmonė tik viena iš bent 4, kurios šalies įstaigoms parduoda kinišką įrangą.

Tarptautiniai tyrimai patvirtina duomenų nutekėjimą

A. Petrauskas teigia, kad su Kinijos gamybos dronais dirba nuo 2014 m. ir esą kol kas realių įrodymų apie galimas spragas niekas nėra pateikęs, nors teiginių apie tai pasirodo gana dažnai.

„Kiek teko domėtis, Pentagonas yra daręs tyrimus, bet jokių nei mikroschemų integruotų, kažkokių duomenų nutekinimo priemonių ar programinio kodo nėra radęs“, – LRT sakė A. Petrauskas.

Kinų gamybos bepiločių orlaivių šalinimas iš saugumo sistemos – nėra tik JAV kova su Kinijos technologine grėsme. Be už Atlanto atliktų tyrimų, savo atradimus pateikė ir prancūzų bei Izraelio įmonės. Pavyzdžiui, IT saugos įmonės „Check Point“ 2018 m. atrado, kad įsilaužėliai gali tiesiogiai stebėti kiniškų dronų kamerų filmuojamą medžiagą ir pasiekti anksčiau darytus įrašus.

2020 m. Prancūzijos bendrovė „Synacktiv“ pastebėjo, kad bepiločius orlaivius valdanti programa renka didelius duomenų kiekius ir gali siųsti juos trečiosioms šalims, o programėlė gali įdiegti įvairią programinę įrangą, nepranešusi to vartotojui. Tuo metu DJI teigė, kad tokie tyrimai – hipotetiniai.

Kai kurios Lietuvos institucijos ginasi, kad, naudodamos kiniškus bepiločius orlaivius, nesusieja jų su informacinėmis sistemomis arba kad dronus valdo ne per mobiliąją programėlę, kaip įprasta, o per specialų pultą. Kad tai kelia menkas rizikas, kalba ir „Promaksos“ vadovas.

„Jeigu specialios tarnybos naudoja dronus kokioms nors ypatingoms misijoms, tai vieną kartą prijungę droną prie interneto jį aktyvuoja, jį atnaujina ir tol, kol naudoja, neprijungia prie interneto. Tokiu būdu neįmanoma nutekinti duomenų“, – teigė A. Petrauskas.

Vis dėlto aeronautikos inžinerijos mokslininkas ir bepiločių orlaivių gamintojas dr. Domantas Bručas įsitikinęs, kad nei VSAT, nei kariuomenė neturėtų naudotis DJI dronais, nes tai, kad jų renkami duomenys gali iškeliauti trečiosioms šalims, – žinoma seniai.

„Be jokios abejonės, ta įranga kelia susirūpinimą saugumui, nes tie duomenys gali iškeliauti. Pagrindinė problema ta, kad dronas renka orlaivio skrydžio padėtį, maršrutus, tai, ką filmuoja kamera. Kariuomenėje ir pasienyje – tai pakankamai pavojinga“, – teigė dr. D. Bručas.

Anot jo, jeigu bepilotis orlaivis valdomas per mobiliąją programėlę, o telefonas prijungtas prie interneto – didelė tikimybė, kad duomenys išsiunčiami į serverius Kinijoje. Net jeigu įranga valdoma per specialų pultą, jį galiausiai vis tiek tenka prijungti prie interneto, siekiant įkelti žemėlapius arba parsisiųsti įrangos atnaujinimus, per kuriuos duomenys taip pat gali nutekėti.

„Kažkiek galima sumažinti duomenų nutekėjimo tikimybę neprijungiant tos įrangos prie interneto, tačiau tai yra pusėtinas sprendimas. Jūs nežinot, kada įranga prisijungia prie interneto, todėl yra didelis šansas, kad tie duomenys kažkuriuo momentu anksčiau ar vėliau bus išsiųsti“, – LRT komentavo mokslininkas.

Atskleidė, kaip išravės kinišką įrangą

Atsakymas, kaip kiniški dronai patenka į šalies įstaigas, – paprastas. Taip pat kaip ir visa kita Kinijos gamybos įranga – per viešuosius konkursus, perkant žemiausios kainos principu. LRT jau ne kartą rašė, kad tiek kinų vaizdo stebėjimo kameros, tiek telefonai atitinka visus kokybinius reikalavimus ir yra patys pigiausi, nors jau dabar gausu įrodymų, kad tokios technologijos nėra saugios.

Tą patį kartoja ir tokią įrangą perkančios institucijos, kad net ir žinodamos rizikas negali nieko padaryti, nes įstatymai nenumato apribojimų. Tai nuo pat kadencijos pradžios žada išspręsti naujoji valdžia, kuri jau uždraudė kritinę infrastruktūrą valdančioms įstaigoms pasirašyti tam tikras sutartis su kinų tiekėjais, nors leido muitinei pirkti anksčiau grėsme vadintą „Nuctech“ rentgeną.

Pavyzdžiui, „Huawei“ technologijos panaudojimą diegiant 5G ryšį Lietuvoje pavyko apriboti įstatymais, tačiau aiški nauja tvarka dėl kitos įsigyjamos įrangos dar nėra pateikta Seimui svarstyti. Naujausias Viešųjų pirkimų įstatymų pataisas, kurios įtrauks nacionalinio saugumo aspektą, rengia KAM.

Viceministras M. Abukevičius LRT sakė, kad pakeitimai Seime bus pristatyti, kai sulauks oficialios Europos Komisijos (EK) pozicijos.

„Mums reikia pozityvaus vertinimo, ar tai neprieštarauja Europos Sąjungos teisei. Pirmosios žinios, kurias gauname žodžiu, sako, kad taip, tai yra Lietuvos diskrecija, kaip taikyti nacionaliniam saugumui galiojančias išimtis“, – tvirtino KAM viceministras.

Anot jo, Viešųjų pirkimų įstatymo pokyčiai turėtų paliesti organizacijas, kurios dirba gynybos srityje, valdo ypatingos svarbos informacinę infrastruktūrą, objektus ar atlieka mobilizacines užduotis. Skaičiuojama, kad pirkimų ribojimus turėtų taikyti apie keli šimtai įstaigų, įskaitant ministerijas ir savivaldybes.

„Savivaldybės patektų, nes manome, kad jos daro nemažai jautrių pirkimų. Vadinamieji išmanieji miestai yra ateitis, savivaldybės perka kameras ir kitas technologijas, kurios tikrai turėtų būti vertinamos nacionalinio saugumo požiūriu“, – sakė M. Abukevičius.

Jei bus patvirtinta, naujoji tvarka veiktų perkant konkrečius objektus. Į naująjį reguliavimą patektų, pavyzdžiui, įsigyjamos radijo stotys, videokameros, kompiuteriai, navigacija, telefonai, palydovai ir t. t. Esant vadinamiems jautriems pirkimams, įrangos gamintojus tektų rinktis iš NATO, ES arba EBPO šalių, iš viso maždaug iš 45 valstybių. O kai kurioms šalims, kaip Indija, būtų taikoma išimtis. Esą bus sudaryta galimybė į „tinkamų“ valstybių sąrašą įtraukti teisės viršenybę gerbiančias valstybes.

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt