LRT tyrime rašoma, kad saugumo spragų turinčias „Hikvision“ ir „Dahua“ kameras naudoja bent šešios jautrią informaciją kaupiančios valstybės institucijos: Vadovybės apsaugos, Migracijos, Policijos departamentai, taip pat Valstybės sienos apsaugos ir Viešojo saugumo tarnybos bei valstybės įmonė „Oro navigacija“.
Australijoje kamera – ir žvalgybos bazėje
Australijoje kompanijų „Hikvision“ ir „Dahua“, užimančių 40 proc. pasaulinės vaizdo stebėjimo sistemų rinkos, kameros dėmesio centre atsidūrė dar 2018 metais.
Viena „Hikvision“ kamera aptikta itin slaptoje Karališkųjų Australijos oro pajėgų bazėje Adelaidėje. Ši bazė apibūdama kaip šalies karinės žvalgybos, stebėjimo ir elektroninės karybos pajėgumų centras.
Australijos Gynybos departamentas paskelbė iškart pašalinęs kamerą ir žadėjo pakeisti kitas šio gamintojo kameras, jei bus išsiaiškinta, kad tokių yra.
„ABC News Australia“ žurnalistai taip pat išsiaiškino, kad „Dahua“ kamera kabėjo prieš pagrindinį įėjimą į vieną Kanberos biurų kompleksų, kuriame dirba su saugumu susijusios agentūros
Šiame komplekse įsikūrę Vidaus reikalų departamento ir Generalinės prokuratūros biurai, taip pat Australijos kovos su pinigų plovimu centras, vienos iš šešių Australijos žvalgybų filialas – Nacionalinio vertinimo biuras. Kameros, kurios vėliau buvo pašalintos, taip pat aprėpė premjero ir ministrų kabineto būstinės teritoriją.
„Turėti tokias kameras su saugumu susijusiose institucijose yra visiškai nelogiška“, – tuomet „ABC News Australia“ sakė Fergusas Hansonas iš Australijos strateginės politikos instituto.
„Kinija stengiasi tapti kibernetinio šnipinėjimo šalimi numeris venas, o šios kameros yra pagrindinė šios platformos dalis“, – pridūrė jis.
Saugumo specialistai nerimauja, kad kamerose tyčia įdiegtos saugumo spragos, kuriomis šnipinėjimo tikslais galėtų pasinaudoti Kinijos vyriausybė. Esą šie trūkumai susiję su nesaugiais slaptažodžiais, tretieji asmenys gali prisijungti prie kamerų duomenų be savininko leidimo.
Kinijos vyriausybė atmeta kaltinimus, kad naudojasi kompanijomis šnipinėjimui. Tiek „Hikvision“, tiek „Dahua“ tikina, kad nesiskiria nuo kitų stebėjimo sistemas pardavinėjančių kompanijų pasaulyje.
„Hikvision“ niekada neatliko ir neatliks su šnipinėjimu susijusios veiklos jokiai pasaulio vyriausybei“, – įmonės atstovą spaudai cituoja Australijos žiniasklaida.
Australijoje apie „Hikvision“ kameras vėl imta kalbėti šių metų pradžioje. Paaiškėjo, kad, nepaisant įspėjimų dėl saugumo, kameros naudojamos Pietų Australijos valstybinėse ligoninėse ir slaugos namuose.
JAV institucijos nepaisė draudimų
„Hikvision“ ir „Dahua“, kaip ir dar kelias Kinijos kompanijas, JAV į „juodąjį sąrašą“ įtraukė 2019-aisiais dėl žmogaus teisių pažeidimų.
Vašingtonas tikina, kad „Hikvision“ yra susijusi su Pekino represijomis prieš musulmonų uigūrą mažumą Sindziango regione. Įtariama, kad „Hikvision“, kurios 42 proc. akcijų valdo Kinijos valstybė, kameros įrengtos uigūrų „perauklėjimo“ stovyklose.
TAIP PAT SKAITYKITE: 15min paaiškina: kodėl Kinija uždarė milijoną uigūrų į perauklėjimo stovyklas?
Nuo pernai JAV įmonėms draudžiami įsigyti „Hikvision“ ir „Dahua“ produktus, taip pat liepta pašalinti jau turimus įrenginius. Tačiau praeityje šių kompanijų stebėjimo kameros buvo naudojamos ir jautriose Jungtinių Valstijų institucijose.
Dar 2017 metais „The Wall Street Journal“ (WSJ) rašė, kad „Hikvision“ kameros buvo įdiegtos JAV ambasadoje Kabule. Tuomet valstybės departamento atstovas spaudai teigė, kad šios kameros buvo skirtos „stebėti nejautrioms patalpoms, kuriose laikoma elektrinė įranga siekiant užkirsti kelią vagystėms“. Galiausiai kameros iš ambasados buvo pašalintos.
Tuomet „Hikvision“ vadovas Hu Yangzhongas WSJ sakė, kad „Hikvision“ yra verslas“, o slaptos prieigos prie kamerų suteikimas tam verslui pakenktų.
WSJ rašo, kad „Hikvision“ nuo 2007-ųjų pardavinėjo kameras Memfio policijos departamentui. Stebėjimo sistemai vadovaujantis leitenantas Josephas Patty II tuomet sakė, kad per metus dėl šių kamerų atliekama apie šimtą areštų dėl įvairių nusikaltimų.
Gamintojo kameros taip pat buvo naudojamos Misūryje esančioje karinėje bazėje „Fort Leonard Wood“, kurioje vyksta karių apmokymai.
Pernai liepą „Financial Times“ skelbė, kad, nepaisant draudimo, „Hikvision“ stebėjimo kameros vis dar buvo naudojamos Petersono karinių oro pajėgų bazėje Kolorade, Karinio jūrų laivyno tyrimų bazėje Floridoje. Šio gamintojo kameras naudojo ir Masačusetso, Kolorado ir Tenesio policijos departamentai.
Pirmasis kamerų pažeidžiamumą atskleidęs tyrėjas Jacobas Bainesas pernai „Forbes“ sakė, kad „iš esmės jei šis dalykas prijungtas tiesiai prie interneto, tai yra kažkieno pasiklausymo prietaisas“.
NKSC rado pažeidimų
„Hikvision“ vardas Lietuvoje plačiai nuskambėjo dar šį sausį, kai kompanija tapo futbolo klubo „Sūduva“ generaline rėmėja.
Po šią savaitę pasirodžiusio LRT tyrimo Nacionalinio kibernetinio saugumo centras (NKSC) atliko Lietuvos institucijose naudojamų „Hikvision“ vaizdo kamerų kibernetinio saugumo vertinimą ir rado keturis esminius saugumo pažeidimus.
Pasak NKSC, pagal išankstinius nustatymus, kamerų nuotolinis valdymas yra įjungtas, tačiau didžiulės saugumo spragos leidžia prisijungti prie šių įrenginių pašaliniams asmenims.
„Kameros turi nuotolinį valdymą, slaptažodžiai perduodami nešifruotu kanalu, patys slaptažodžiai užšifruoti silpnais, labai senais algoritmais. Saugumas toks, kad tų kamerų slaptažodžius galima perimti iš ryšių srauto, nuskaityti, dekoduoti, prisijungti prie kamerų ir atlikti bet ką“, – BNS sakė NKSC direktorius Rytis Rainys.
Anot jo, perėmus slaptažodį, galima nuotoliniu būdu įjungti, išjungti kamerą, pakeisti nustatymus, taip pat stebėti vaizdą ar net transliuoti kamerų vartotojams visai kitą vaizdą.
Iš viso 2018 metais pradėtose naudoti kamerose nustatytas 61 pažeidžiamumas, iš jų, pasak R.Rainio, 23 yra „aukšto grėsmės lygio“, t.y. lengvai gali būti išnaudojamos DDoS atakoms, kenkėjiško kodo įterpimui ar kitiems kenkėjiškiems tikslams, rašo BNS.
„Hikvision“ atstovas Lietuvoje Andrius Dapkevičius BNS sakė NKSC ataskaitą vertinantis pozityviai, nes konkrečios rekomendacijos suteiks galimybę tobulinti stebėjimo sistemas. Pasak A.Dapkevičiaus, įgyvendinus visas rekomendacijas, kameros taptų nebe tokios funkcionalios ir gali prarasti patrauklumą rinkoje.
„Hikvision“ atstovas BNS pabrėžė, kad NKSC bei Krašto apsaugos ministerija viešai deklaravo, jog nėra nustatę nė vieno kibernetinio įsilaužimo atvejo per „Hikvision“ kameras, o įmonės samdyti ekspertai nepajėgė įsilaužti į sistemas.
Jis sako, kad bus atsižvelgta ir į NKSC siūlymą įkurti programinės įrangos atnaujinimo serverį Lietuvoje.