Един следобед в началото на януари Константин Делчев се вози в трамвай в София, когато забелязва нещо, което не му е правило впечатление преди. В превозното средство има камера за видеонаблюдение. Той успява да види марката на производителя на камерата и веднага я разпознава.
“Първият въпрос, който човек си задава, е има ли нужда от това. Аз като данъкоплатец в София плащам за тези неща”, каза Константин Делчев пред Свободна Европа.
“И второто нещо - точно тази компания ли избрахте?”
Делчев е математик и доктор по информатика и следи новините в своята професионална област. Той веднага свързва името на компанията - Hikvision - с нещо, което е чел. Става дума за открита от експерти уязвимост, която позволява нерегламентиран достъп до няколко десетки хиляди устройства на точно този производител. Това е червена лампа за Делчев.
Как така се появяват камери за наблюдение, без да е ясно какъв е анализът на риска?Константин Делчев
“Компанията е имала сериозна издънка и идва от държава, на която други страни не вярват достатъчно, за да я допуснат до критичната си инфраструктура”, казва той. Държавата е Китай.
“Как така се появяват камери за наблюдение, без да е ясно какъв е анализът на риска, какви мерки за гарантиране на сигурността са предприети, а и от компания, която преди е показвала, че не полага максимални грижи за сигурността на своите клиенти?”
Делчев публикува във Фейсбук снимка на камерата в трамвая. Постът му става повод депутатът от “Демократична България” Божидар Божанов да зададе въпрос на Държавната агенция “Национална сигурност” (ДАНС) дали са взети мерки, за да се избегнат пробиви във видеонаблюдението в градския транспорт.
Оказва се обаче, че не само някои експерти са изразили опасения за сигурността на продуктите на Hikvision. Това са направили и цели държави - САЩ и Великобритания. Самата фирма категорично отрича продуктите ѝ да представляват риск.
В България институциите, платили за камерите, и компаниите, които са ги доставили, отричат да знаят за уязвимости в продуктите на китайската компания. Те казват, че са взели мерки, за да гарантират сигурността. Въпросът е достатъчни ли са те.
4300 камери за близо 6 млн. лева
Системата за видеонаблюдение в градския транспорт в София работи от края на 2020 г. Центърът за градска мобилност (ЦГМ) мотивира въвеждането ѝ с желанието си да осигури “по-добра сигурност на водачите и пътниците”. Системата се използва и за отчитане на това колко хора пътуват, посочва ЦГМ.
Оборудването за системата за видеонаблюдение е осигурено с обществената поръчка за въвеждане на система за електронно таксуване и видеонаблюдение в градския транспорт. Тя е обявена през 2017 г., а в края на 2018 г. ЦГМ сключва договор с изпълнителя - консорциум “Си Ен Ес - София Тикетинг Систем”. Стойността на цялата поръчка е над 83 млн. лева без ДДС.
Консорциум “Си Ен Ес - София Тикетинг Систем” се състои от три фирми - “Компютърнет Сървисиз”, “Тикси” и турската “Асис Електроник”.
Водеща роля в консорциума има “Компютърнет Сървисиз”. Неин мажоритарен собственик е гръцкият гражданин Орфанидис Димитриос. Според двама общински съветници от “Демократична България” - Симеон Ставрев и Иво Божков, той е “непозната фигура за бизнес средите” и има “всички характеристики на подставено лице”. Компанията и ЦГМ отричат подозренията за нередности.
Обществената поръчка предвижда освен всички компоненти на системата за електронно таксуване, и доставката на общо 4300 камери, които да бъдат монтирани в автобусите, трамваите и тролейбусите в София. Стойността конкретно на тази част от поръчката е 7% от общата сума или малко над 5,8 млн. лева без ДДС.
Доставката и монтажа на оборудването за видеонаблюдение е поверено на подизпълнител - фирмата “Макстел” ООД. Тя е посочена като подизпълнител още в офертата на консорциума “Си Ен Ес - София Тикетинг Систем”. Всичко това е описано в договора за възлагане на поръчката, подписан между ЦГМ и изпълнителя на 11 декември 2018 г.
Самите камери са произведени от китайската компания Hikvision. Именно тук се появяват въпросите.
"Неприемлив риск за националната сигурност"
Hikvision е китайска компания, като един от акционерите в нея е китайското правителство чрез държавна фирма. Според информацията на собствения ѝ сайт, тя е “водещ доставчик на продукти за видеонаблюдение”. Основана е през 2001 г., има 66 дъщерни компании и клонове по света, а продуктите ѝ се предлагат в 150 държави, се посочва още на сайта ѝ.
През последните години обаче някои страни налагат ограничения на Hikvision.
Федералната комисия по комуникациите на САЩ въвежда забрана за внос на продукти на няколко китайски технологични компании на 25 ноември 2022 г. Сред тях е Hikvision. Като мотив Комисията посочва, че вносът и продажбата на такива продукти представлява “неприемлив риск за националната сигурност” на САЩ. Американските служби смятат, че тези фирми може да бъдат принудени от китайските власти да им предават информация.
Още през 2019 г. Вашингтон забрани на правителствени агенции да сключват договори с Hikvision.
През май Файненшъл таймс съобщи, че САЩ обмислят да наложат санкции по закона “Магнитски” срещу Hikvision. Изданието се позова на четирима свои източници, според които американската администрация обмисля да направи това заради ролята на компанията в нарушения на човешките права.
Вашингтон обвинява компанията, че доставя на китайското правителство камери, използвани при репресиите срещу уйгурското малцинство. Според САЩ Китай държи около милион уйгури в лагери против волята им.
До момента обаче САЩ не са наложили санкции по този закон срещу Hikvision.
През ноември 2022 г. Великобритания въведе забрана за използване на оборудване от Hikvision в правителствени сгради.
Hikvision отхвърля твърденията, че технологиите ѝ могат да представляват риск за националната сигурност на тези държави и твърди, че няма основания за ограниченията, които те ѝ налагат.
В Европейския съюз няма ограничения срещу Hikvision. Европейският парламент обаче премахна от своите сгради оборудването, произведено от компанията. Като мотив институцията посочи това, че тя предоставя на Пекин камери, използвани при репресиите срещу уйгурите и други мюсюлмански малцинства в Китай.
Първите ограничения в другите държави срещу Hikvision са въведени след сключването на договора за доставка на камери за градския транспорт в София, но преди тяхното монтиране.
В писмен отговор на въпроси на Свободна Европа Центърът за градска мобилност (ЦГМ) посочи, че “не е имал право да поставя ограничителни изисквания за държава производител на оборудването или конкретни марки”. Консорциумът изпълнител на обществената поръчка посочва, че при избора си на оборудване се е ръководил от “нуждите, надеждността и сигурността”, а не от държавата производител или търговската марка.
Фирмата подизпълнител “Макстел” казва, че “множество продукти на други производители” също са отговаряли на техническите изисквания, заложени в обществената поръчка. Тя добавя, че е избрана конкретно Hikvision, защото тя предлага голямо разнообразие, има голям опит, била е готова да поеме ангажимент за гаранционна поддръжка и доставка на резервни части и е предоставила софтуер с възможност за добавяне на функционалности по задание на възложителя.
"Вектор за атака от хакери"
Покрай компанията има и други съмнения. През 2021 г. специализирани издания публикуваха информация за уязвимост в няколко десетки хиляди камери на Hikvision, която оставя възможност за хакерски атаки срещу устройствата. Компанията разработи софтуерна надстройка (т.нар. пач - от англ. patch), която да отстрани проблема в софтуера. През август 2022 г. обаче доклад на компания за киберсигурност откри, че хиляди камери все още са заплашени.
Свободна Европа попита ЦГМ, “Си Ен Ес” и подизпълнителя “Макстел” дали имат данни за подобна уязвимост. ЦГМ не отговори на въпроса, “Макстел” посочи, че няма такава информация. Консорциумът “Си Ен Ес - София Тикетинг Систем” каза, че е отправил този въпрос към Hikvision, а китайската компания не е потвърдила информацията за уязвимости в собствените ѝ продукти.
Информацията за уязвимости в продуктите за видонаблюдение на Hikvision обаче предизвика граждани, експерти и политици да повдигнат въпроси.
Депутатът от “Демократична България” Божидар Божанов, който е софтуерен инженер по професия, зададе въпрос на Държавната агенция “Национална сигурност” (ДАНС) дали са взети нужните мерки, за да се избегнат пробиви във видеонаблюдението в градския транспорт.
Столичният градски транспорт е обект от сферата на националната сигурност и затова за контрола върху спазването на стандартите за мрежова и информационна сигурност отговаря ДАНС.
В отговор на въпроси на Свободна Европа ДАНС посочи, че тя отговаря за контрола върху информационната защита на стратегическите обекти и добави, че информацията относно осъществявания контрол е класифицирана.
Китайските (и не само) камери с известни уязвимости се използват по много начини от всякакви хакерски групи.Божидар Божанов
“Китайските (и не само) камери с известни уязвимости се използват по много начини от всякакви хакерски групи – и “частни“ и такива, които са свързани с чужди служби”, написа Божанов в публикация в блога си.
“Не казвам, че “руснаци и китайци ще ни следят”, добави той. “Казвам, че чрез китайски и руски технологии, които са потенциално компрометирани, може да се въздейства негативно на стратегическата дейност – обществен транспорт в столицата.”
В публикацията си той посочи, че евентуално “хакване” на камерите би позволило отдалечен контрол върху тях. В зависимост от това как е сегментирана и защитена мрежата, пробив в една част може да доведе до достъп до камерите и извеждане на излъчване към трета страна, добави той.
Според Ясен Танев, експерт по киберсигурност и председател на Българската асоциация за развитие на бизнес софтуер, всяко устройство, което оперира в зона, в която има информация, която не би трябвало да изтича, трябва да отговаря на определени стандарти.
По думите на Танев най-големият риск, който може да произтече от неспазване на тези стандарти, е възможност за неоторизиран достъп до устройствата и изтичане на информация.
Освен това обаче “камерите, разглеждани като съвременни устройства с цифров елемент и свързаност, могат да са вектор за атака от хакери”, добави той. Това значи, че евентуален достъп до едно устройство може да доведе до компрометиране на цялата мрежа.
“Едно оборудване, което не е поддържано и обновено, което е със стандартни настройки, което е видимо през интернет, което е хакнато и използвано извън целите си, би могло да бъде голям риск”, каза Танев пред Свободна Европа.
“И тук отново стигаме до въпроса - наясно ли са ползвателите с рисковете, управляват ли ги и как гарантират, че слабостите няма да могат да бъдат използвани от някого, за да може да се получи достъп до тези устройства или до цялата среда.”
Какви мерки са взети
В отговори на въпроси на Свободна Европа Центърът за градска мобилност (ЦГМ), консорциумът “Си Ен Ес - София Тикетинг Систем” и фирмата “Макстел” посочват конкретни мерки, които са въвели с цел гарантиране на сигурността на видеонаблюдението. Сред тях са:
- Компонентите на системата са свързани в отделена компютърна мрежа, която няма достъп до публичния интернет;
- Следят се и се прилагат всички софтуерни ъпдейти;
- Устройствата не са с паролите си по подразбиране.
ЦГМ е собственик на цялото оборудване, а системата за видеонаблюдение е сертифицирана съгласно действащото законодателство, посочват от институцията. Водещата компания в консорциума е регистрирана в ДАНС.
“Взети са всички мерки Системата да бъде защитена и да бъде невъзможно информацията от нея да бъде използвана не по предназначение”, посочват от ЦГМ. “Тя се проверява постоянно, особено по отношение на киберсигурността.”
Според Ясен Танев тези мерки са добри. Той посочи, че е ключово държавните институции, които следят за прилагането на стандартите за мрежова сигурност - в случая ДАНС - да проверяват редовно какви мерки се взимат.
Остава въпросът за доверието в самата компания производител, срещу която няколко държави са наложили ограничения с мотива, че тя поставя риск за националната сигурност. Hikvision е заплашена и от санкции.
Ясен Танев посочва, че евентуално санкциониране на компанията “би трябвало да вдигне червен флаг в ДАНС”.
