Nacionalinis kibernetinio saugumo centras (NKSC) nustatė, kad net 57 valstybės institucijos naudoja Kinijos gamintojų vaizdo stebėjimo kameras, turinčias žinomų kibernetinio saugumo spragų, pažymėtų viešai prieinamoje pažeidžiamumų duomenų bazėje CVE.
„Tiek Hikvision, tiek Dahua kameros labai populiarios Lietuvoje. Jas naudoja ne tik valstybinis sektorius, bet ir stambūs verslo subjektai. Esminis klausimas: ar valstybės institucijose paplitę vaizdo stebėjimo sistemos gali būti naudojamos kaip Rusijos ir Kinijos žvalgybų įrankis, nes Kinijos gamintojų sąmoningai ar ne palikti gamykliniai pažeidžiamumai įgalina vaizdo kamerų informacijos perėmimą nuotoliniu būdu“, sako valdomų Cloud ir IT paslaugų bendrovės BTT Group vadovas Donatas Zaveckas.
Kaip rašoma NKSC tyrimo ataskaitoje, Hikvision kameroje nėra automatinio atnaujinimų funkcionalumo, o visa naujinimų infrastruktūra išdėstyta Kinijos ir Rusijos serveriuose. Visoje Hikvision kamerų infrastruktūroje naudojami uždari, nestandartiniai protokolai. Nustatyta, kad savo gaminių aptikimui Hikvision naudoja uždarą SADP (Search Active Device Protocol), kuris nėra šifruojamas.
2017 metais kibernetinio saugumo tyrėjai aptiko „Dahua“ kamerų programinės įrangos pažeidžiamumą, kuris buvo suaktyvintas „Fortune 500” bendrovės tinklo kamerose, o incidento metu duomenys buvo perduoti Kinijai. Naudojantis interneto naršykle, pažeidžiamumas leido pašaliniams asmenims nuotoliniu būdų atsisiųsti įrenginio vartotojo vardų ir slaptažodžių duomenų bazę ir vėliau prieiti prie kamerų valdymo. Po šių incidentų Dahua išleido programinės įrangos naujinį, kuris pašalino 11 produkto saugumo pažeidžiamumų. Tačiau saugumo tyrėjai aptiko, kad ir atnaujintoje programinėje įrangoje visgi liko tas pats pažeidžiamumas, tačiau ši spraga buvo perkelta į kitą kodo dalį.
Pasak Donato Zavecko, BTT Cloud savo klientų tarpe turi įmonių ir organizacijų, naudojančių Hikvision ir Dahua kameras, tačiau NKSC tyrime įvardintos grėsmės suvaldytos.
„NKSC tyrime įvardintas saugumo spragas galima eliminuoti teisingai suprojektuojant ir įgyvendinant vaizdo stebėjimo infrastruktūros techninę ir programinę dalį, įskaitant saugumo programinę įrangą. Tą savo klientams esame padarę. Reikia pripažinti, kad suvaldyti programinės įrangos naujinimų, prieš tai juos patikrinant, praktiškai neįmanoma. Bet šifruotus duomenis apsaugoti galima“, sako D. Zaveckas.
Naudojant šių gamintojų kameras reikėtų atsižvelgti į NKSC rekomendacijas.
1. Kameras ir su jų funkcionalumu susijusią įrangą izoliuoti atskirame fiziniame arba specifiškai parametrizuotame loginiame tinkle, neturinčiame sąsajos su tarnybinėmis ir (ar) darbo stotimis, išeinančiomis į viešą internetą.
2. Su kameromis susijusios techninės ir programinės įrangos atnaujinimų parsisiuntimo vykdymą organizuoti iš NATO ar ES teritorijoje esančių tarnybinių stočių
3. Vykdyti realaus laiko kamerų prievadų aktyvumo ir formuojamų kreipinių auditą, blokuoti perteklines užklausas ar srautus, naudoti ugniasienes su konkrečiam kameros modeliui verifikuotomis prieigos instrukcijomis.
Skaylink – pirmaujanti ir nuolat auganti valdomų Cloud, DevOps ir IT paslaugų bendrovė. Valdome ir prižiūrime klientų technologijų infrastruktūrą: darbo vietas, periferinę įrangą, tinklus.
Esame įdiegę daugiau nei 2000 įvairaus sudėtingumo kompleksinių IT sprendimų, dalis jų apima ir vaizdo stebėjimo sistemų integracijas į verslo klientų technologijų infrastruktūrą.
