NKSC, po LRT tyrimo atlikusi šių Lietuvos institucijose naudojamų, taip pat didelę rinkos dalį Europoje užimančių vaizdo kamerų kibernetinio saugumo vertinimą, rado keturis esminius saugumo pažeidimus.
Anot R.Rainio, pagal išankstinius nustatymus, kamerų nuotolinis valdymas yra įjungtas, tačiau didžiulės saugumo spragos leidžia prisijungti prie šių įrenginių pašaliniams asmenims.
„Kameros turi nuotolinį valdymą, slaptažodžiai perduodami nešifruotu kanalu, patys slaptažodžiai užšifruoti silpnais, labai senais algoritmais. Saugumas toks, kad tų kamerų slaptažodžius galima perimti iš ryšių srauto, nuskaityti, dekoduoti, prisijungti prie kamerų ir atlikti bet ką“, – BNS sakė R.Rainys.
Anot jo, perėmus slaptažodį, galima nuotoliniu būdu įjungti, išjungti kamerą, pakeisti nustatymus, taip pat stebėti vaizdą ar net transliuoti kamerų vartotojams visai kitą vaizdą.
Iš viso 2018 metais pradėtose naudoti kamerose nustatytas 61 pažeidžiamumas, iš jų, pasak R.Rainio, 23 yra „aukšto grėsmės lygio“, t.y. lengvai gali būti išnaudojamos DDoS atakoms, kenkėjiško kodo įterpimui ar kitiems kenkėjiškiems tikslams.
Galima net transliuoti kamerų vartotojams visai kitą vaizdą.
Programinė įranga atnaujinama Rusijoje
Nustatyta, kad „Hikvision“ gamintojas taip pat renka konkrečią informaciją apie įrenginių techninius parametrus. Taip pat specialistai nustatė, kad kamerų programinė įranga gali būti atnaujinta tik rankiniu būdu, iš tinklalapio Kinijoje.
„Tačiau tas IP adresas nukreipia į serverį, esantį Rusijos Federacijoje, iš kurio ir vyksta siuntimo procesas“, – vėliau pristatydamas tyrimą Krašto apsaugos ministerijoje tvirtino R.Rainys.
Pasak jo, siunčiant atnaujinimus, į serverius gaunamos užklausos iš esmės leidžia nustatyti, kiek tokių kamerų ir jų vartotojų yra Lietuvoje, kokie jų techniniai parametrai, programinės įrangos versijos, ir tai panaudoti kenkėjiškiems tikslams.
„Tada gali būti įvairūs scenarijai, apie kuriuos neturėčiau spekuliuoti – variantai įvairūs“, – komentavo jis.
Jis atkreipė dėmesį, kad ekspertai vertino tik pačią kamerą ir jos įrangą, o pačius atnaujinimus dar reikėtų tyrinėti atidžiau.
„Bet galima suponuoti, kad lieka tam tikra informacija, kurios institucijos tam tikros neturėtų to daryti (viešinti – BNS)“, – pridūrė R.Rainys.
NKSC teigimu, kameras naudoja 57 viešojo sektoriaus institucijos Lietuvoje, 24 jų turi tiesioginę sąsają su internetu. Įstaigos apie saugumo spragas informuotos ir, anot R.Rainio, kai kurios jau atliko namų darbus.
„Manau, kad ta rizika šiuo metu maksimaliai suvaldyta“, – tvirtino R.Rainys.
Ekspertai vertino tik pačią kamerą ir jos įrangą, o pačius atnaujinimus dar reikėtų tyrinėti atidžiau.
LRT tyrimas skelbė, kad šių kamerų dėl saugumo spragų jau anksčiau atsisakė Jungtinės Valstijos, o Lietuvoje jos naudojamos Lietuvos Vadovybės apsaugos, Migracijos, Policijos departamentuose, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybose bei valstybės įmonėje „Oro navigacija“.
Vilniaus savivaldybės administracijos direktoriaus pavaduotojas Adomas Bužinskas BNS patvirtino, kad šios kameros naudojamos ir sostinėje.
R.Rainys sako negalintis atmesti, kad, be minėtų įstaigų, kameras naudoja ir valdžios institucijos, įskaitant Seimą.
Rekomenduoja taisyti spragas, įkurti serverį Lietuvoje
Centras rekomenduoja įstaigoms izoliuoti jas atskirame tinkle, kuris neturėtų prieigos prie viešojo interneto, arba atlikti būtinus saugumo nustatymus. Taip pat nustatyti, kad programiniai atnaujinimai būtų siunčiami iš Europos Sąjungos valstybių.
„Manome, kad būtų geras sprendimas programinės įrangos atsisiuntimų serverį įrengti Lietuvoje“, – teigė jis.
R.Rainio nuomone, atsiunčiama programinė įranga turėtų būti papildomai tikrinama, nes ir atnaujinimai gali turėti spragų.
NKSC vadovas taip pat sakė, kad tyrimo metu kamerų gamintojai susisiekė su centru, jie yra supažindinami su tyrimo rezultatais.
„Mūsų tyrimo tikslas – adresuoti šiuos klausimus gamintojui: suabejoti situacija, kuri yra su šiomis kameromis, pateikti faktus, įrodymus, kad yra problemų, ir gamintoją spausti imtis veiksmų, taisyti situaciją (...). Laukiame jų komentarų, refleksijų ir veiksmų“, – tvirtino R.Rainys.
NKSC vadovas neatmetė, kad panašių spragų gali turėti ir kitų gamintojų vaizdo stebėjimo įranga.
Kibernetinio saugumo ekspertai taip pat rekomenduoja naudoti ugniasienes, blokuoti prievadus, kurių nenaudoja kamera, sumažinant galimybes išnaudoti kameras kibernetinei atakai.
Įsigyjant naujas kameras, įstaigoms rekomenduojama įtraukti reikalavimą, kad tiekėjas patiektų kameras su naujausiais programinės įrangos atnaujinimais, kuriais jau būtų ištaisytos saugumo spragos, taip pat minėtas reikalavimas turėti programinės įrangos atsisiuntimo serverius Lietuvoje ar bent jau ES ar NATO šalyse. Mažinant riziką rekomenduojama, jog gamintojai išjungtų ir nereikalingas kamerų funkcijas.
Šių reikalavimų dėl kamerų rekomenduojama laikytis ir privačiam sektoriui.
R.Rainys pabrėžė, kad įgyvendinus šias rekomendacijas saugumas būtų užtikrinamas, ir pačių kamerų keisti nereikėtų.
Panašių spragų gali turėti ir kitų gamintojų vaizdo stebėjimo įranga.
Jo nuomone, įsitraukti į tokius tyrimus galėtų ir mokslo institutai, taip būtų pasiekta efektyvesnių rezultatų.
„Bet jei mūsų pajėgumų neužtenka, galbūt valstybei reikia investuoti į skaitmeninius kompetencijų centrus plačiau, nei yra dabar“, – svarstė jis.
Visą NKSC tyrimo medžiagą skaitykite čia.
R.Karoblis: nėra duomenų, kad kiniškų kamerų spragomis būtų pasinaudota
Krašto apsaugos ministras Raimundas Karoblis pabrėžia, kad neturima duomenų, jog nustatytomis valdžios institucijų naudojamų stebėjimo kamerų spragomis galėjo būti pasinaudota.
„Nėra jokių duomenų, kad tais būdais yra pasinaudota. Informacija dabartiniais laikais, kai yra IT priemonės bendrinės, kartu su galimybėmis atsiranda ir rizikos, kurias reikia valdyti. Potencialiai nesitvarkant, ypač ten, kur kameros naudojamos valstybinių institucijų, susijusių su saugumu, grėsmės mastas, rizikos yra, jas reikia ir valdyti“, – žurnalistams Seime trečiadienį sakė ministras.
Jis taip pat pabrėžė, kad Nacionalinio kibernetinio saugumo centro (NKSC) rekomendacijose įstaigoms siūlomi konkretūs žingsniai užtikrinant saugumą, bet nėra rekomendacijos pakeisti pačias kameras.
„Tikrai išvadose nėra tokio pasiūlymo, nes esmė yra ne metalas ir ne stiklas, o tai, kas yra tenai: ir kokios programos įdėtos, ir kaip administruojama“, – sakė ministras.