Mokslas ir IT

2021.09.21 21:25

Anušauskas apie pavojus dėl Kinijoje pagamintų telefonų: tūkstančiai nupirkta valstybės institucijoms dėl to, kad pigiau kainuoja

Nemira Pumprickaitė, LRT TELEVIZIJOS laida „Dienos tema“, LRT.lt2021.09.21 21:25

Nacionalinis kibernetinio saugumo centras prie Krašto apsaugos ministerijos atliko ir paskelbė Lietuvoje tiekiamų 5G ryšio technologiją palaikančių mobiliųjų įrenginių kibernetinio saugumo vertinimą. Pateikti trijų gamintojų – „Huawei“, „Xiaomi“ ir „OnePlus“ – Lietuvoje parduodamų išmaniųjų telefonų vertinimo rezultatai. Išvados toli gražu nėra guodžiančios, telefonuose įdiegtos programėlės gali rinkti informaciją apie juose atliekamus veiksmus, gali būti nutekinti asmens duomenys, galimi žodžio laisvės ribojimai, kai pasinaudojant gamintojo programėlėmis blokuojama tam tikra informacija. 

„Dienos temoje“ apie tai – krašto apsaugos ministras Arvydas Anušauskas.

– Pradėkime nuo to, kas kalbama ataskaitoje: buvo analizuojami tik vienos šalies mobilieji telefonai. Kodėl tik kinų? Ar kitų šalių gamintojai nekelia abejonių?

– Iš tikrųjų tam tikrame segmente pasirinkimo nėra tiek daug, pavyzdžiui, pigesni telefonai. Šiuo atveju buvo tiriami tie, tarp kurių per pastaruosius kelerius metus pastebėta daugiausia galimų kibernetinių pažeidimų: „Xiaomi“ – 9 pažeidimai, „Huawei“ – 144 pažeidimai ir „OnePlus“ – vienas. Dėl to pasirinkti būtent šie modeliai. Be to, 5G telefonų, išmaniųjų įrenginių pasirinkimo galimybės nėra labai plačios.

– Ar ketinate užsiimti kitais, kitų šalių gamintojais, ar kol kas to nėra numatyta?

– Ne, tikrai nėra numatyta, juo labiau lyginant, ką daro šiuo atveju tos kibernetinio saugumo spragos. Pavyzdžiui, lyginant duomenų rinkimą apie vartotojo elgseną. Įsivaizduokime, kad, pavyzdžiui, nuo „Iphone“ skiriasi 15 kartų.

Dienos tema. Anušauskas apie pavojus dėl Kinijoje pagamintų telefonų: tūkstančiai nupirkta valstybės institucijoms dėl to, kad pigesni

– „Iphone“ irgi renka, tai jūs pripažįstate?

– Taip, programėlėms, operacinėms sistemoms atnaujinti kai kurie duomenys yra renkami, bet skiriasi kartais. Antra vertus, įsivaizduokime gaminį, kuris būtų pagamintas Šiaurės Korėjoje. Argi mes jo neanalizuotume? Analizuotume, nes žinome, kad tose šalyse įmonės, kaip ir Kinijos įmonės, yra įsipareigojusios valstybės institucijoms, esant poreikiui, perduoti surinktus duomenis, kad šios juos naudotų savo tikslais.

– Bet asmens duomenų reglamentas irgi numato, kad esant reikalui gali būti panaudoti asmens duomenys?

– Gali būti, bet skirkime demokratines valstybes nuo valstybių, kurios, sakysime, nėra demokratinės, kaip mes tai suprantame.

– „Iphone“, pavyzdžiui, taip pat pagamintas Kinijoje. Tiesa, tie telefonai yra Vakarų telefonai. Ar tokiu atveju juose negali būti įdiegta kibernetinę grėsmę keliančių programėlių?

– Telefonus „Iphone“, jeigu ir gamina, tiksliau, surenka Kinijoje, yra patikra, atitinkami standartai, kurių laikomasi. Šiuo atveju mes tiriame tuos telefonus ir gamintojus, kurie galbūt turi savo požiūrį į standartus, juo labiau į kai kurias papildomas funkcijas, kurias atlieka šie įrenginiai. Pavyko nustatyti tikrai netikėtų dalykų.

– Mes kalbame apie 5G ryšio technologiją. Su 4G tai nesusiję?

– Tyrimas apėmė 5G išmaniuosius įrenginius, ne 4G.

– Minėti trys telefonai, bet, kaip suprantu, viename jų – „OnePlus“ – kibernetinės rizikos neaptikta. Galime apie tai ir nekalbėti?

– Šiuo atveju taip. Buvo tiriamas gaminys, bet rizikos neaptikta.

– Pakalbėkime apie du – „Huawei“ ir „Xiaomi“. Turbūt populiariausi Lietuvoje yra telefonai „Huawei“, jais lengva naudotis, puikios kokybės nuotraukos, kokybės ir kainos santykis taip pat daug ką tenkina. Iš tų keturių rizikų, kaip suprantu, „Huawei“ turi tik vieną ir tai yra programėlių parduotuvė „AppGallery“, per kurią galima užsikrėsti virusinėmis programomis?

– Iš esmės taip. Ji nukreipia į elektroninę parduotuvę, kur yra tikimybė kartu su parsisiunčiamų duomenų programėle gauti priedą viruso pavidalu. Virusas, vėlgi, nelygu koks. Gali siųsti vartotojo asmeninius duomenis, o ne tuos, kurie susiję su telefono funkcionalumu.

– Pavyzdžiui?

– Aš nežinau, priklausomai nuo to, kokiu virusu užsikrės ir į ką jis orientuotas. Pavyzdžiui, nuskaityti kokius nors kodus...

– Kas yra telefone?

– Kas yra telefone, ką vartotojas suveda, pavyzdžiui, savo elektroninės bankininkystės duomenis. Yra ir tokius duomenis renkančių virusų, nelygu, kur pateks ir kokią programėlę su tokiais papildomais priedais daus vartotojas. Aišku, gamintojai sako, kad vartotojas nėra verčiamas rinktis.

– Taip, jis įspėjamas, tarsi jam rodoma, kad bus nukreiptas kažkur į šalį.

– Be abejo, vartotojas gali rinktis, bet mes norime, kad vartotojas iš anksto žinotų apie tas grėsmes. Jeigu vartotojas pasirenka išmanųjį įrenginį, tegul prekiaujantis iš anksto įspėja apie riziką, kuri patiriama jį naudojant.

– Lygiai tokį patį pavojų kelia telefonai „Xiaomi“, tik čia programėlė „MiBrowser“?

– Čia šiek tiek kitokio pobūdžio, sakyčiau, savotiška cenzūros forma, kai yra suvesti raktažodžiai, o pagal tuos raktažodžius negali surinkti informacijos. Ištirta, kad tie raktažodžiai kinų kalba, bet nuotoliniu būdu negalima tos programėlės ištrinti ar kaip nors panaikinti, ją galima aktyvuoti ir niekas nėra garantuotas, kad raktažodžiai, pavyzdžiui, su žodžiais „Tibetas“, „Taivanis“ ar „demokratija“, nebus aktyvuoti ir kitomis kalbomis, kitais rašmenimis. Tokių garantijų niekas duoti negali.

– Jei ne taip supratau, pataisykite, bet Lietuvoje parduodamuose telefonuose neveikia šita programėlė?

– Ji yra. Iš tikrųjų ji deaktyvuota, bet nuotoliniu būdu gali būti aktyvuota bet kada, tokios galimybės išlaikytos gamintojo ir jis gali tai padaryti. Raktažodžiai nuolat atnaujinami, jeigu ji būtų neveikianti, nebūtų galima atnaujinti. Šiuo atveju tai yra funkcionuojantis dalykas.

– Bet Lietuvoje nebuvo aktyvuota?

– Nuotoliniu būdu gali aktyvuoti, bet mes tikrai to nestebėjome.

– „Xiaomi“ turi tą pačią bėdą – galima pasinaudoti tavo duomenimis?

– Kibernetinių pažeidimų visi išmanieji įrenginiai nustato, bet, pavyzdžiui, kiti gamintojai stengiasi su vadinamaisiais atnaujinimais likviduoti tuos trūkumus. Šiuo atveju su Kinijos gaminiais nėra taip greitai ir, ko gero, ne visi tie pažeidimai, galimi kibernetinio saugumo trūkumai yra panaikinami. Jeigu mes jų suradome, vadinasi, jie egzistuoja dabar.

Iki šiol vartojome, nes toks įstatymas. Tūkstančiai telefonų nupirkta valstybės institucijoms dėl to, kad pigiau kainuoja.

– Galbūt reikėjo į juos kreiptis – jie turi atstovybę – ir sakyti, kad informuotų?

– Na, jie dabar jau žino šią informaciją, ji yra vieša, niekas tikrai nemėgina jos nuslėpti. Tyrimas atliktas, informacija paskelbta. Gamintojai ir vartotojai, kurie domisi, žino. Tie, kurie prekiauja tokiais gaminiais, turi supažindinti žmones, kuriems parduoda tuos įrenginius, kad yra tokių grėsmių, nes kitas klausimas – valstybės institucijos, kurios įsigyja.

– 200 valstybės institucijų ir 4 500 telefonų – tiek, man regis, yra Krašto apsaugos ministerijai pavaldžiose institucijose. Ką daryti – nepirkti? Ką rekomenduojate?

– Manyčiau, kad nustačius tokį pažeidžiamumą [reikėtų] vis dėlto atsisakyti tokių gaminių. Viešųjų pirkimų įstatymo dabartinė redakcija numato, kad pigesnė prekė laimi. Bet jeigu prekė parduodama su jau žinomais kibernetinio saugumo pažeidimais, manau, tokiuose viešuosiuose pirkimuose neturėtų dalyvauti. Įstatymo pataisos yra ruošiamos, jos bus pateiktos. Vis dėlto aš įsivaizduoju situacijos dviprasmybę. Iki šiol vartojome, nes toks įstatymas. Tūkstančiai telefonų nupirkta valstybės institucijoms dėl to, kad pigiau kainuoja.

– Jūsų besiklausydama pagalvojau – „Google“ nerenka duomenų? Pasidomėkite, jie geresni?

– Kaip ir minėjau, [priklauso nuo to] kam kas renka ir kam panaudoja. Šiuo atveju vartotojų duomenų rinkimas, lyginant įrenginius, yra 15 kartų mažesnis negu mūsų tirtų.

– Radau tokį sakinį jūsų tyrime, kad „numatyta neaptartas kibernetinio saugumo rizikas detalizuoti kitose šito tyrimo dalyse ir vertinimą pateikti iki 2021 metų pabaigos“. Ar galite pasakyti, kas dar liko neaptarta?

– Dabar negalėčiau pasakyti. Manau, jei numatyta, kad iki metų pabaigos bus paskelbta, tai bus padaryta.

– Krašto apsaugos ministerija irgi turi tarnybinius telefonus – kokius? Tikiuosi, ne „Huawei“?

– Ne, bent jau aš nemačiau kiniškų, bet, kaip minėjote, pavaldžiose agentūrose, kurios, kaip sakoma, šiek tiek atitrauktos nuo ministerijos, visko gali būti.

– O ministerija kokius turi?

– Mes naudojamės saugesnėmis technologijomis.

– Nenorite išduoti. Gerai, ačiū, pone ministre.

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt