Една на пръв поглед обикновена покупка на оборудване за наблюдение за румънската армия може да има дългосрочни последици за националната сигурност.
За по-малко от 1000 долара служител на румънското министерство на отбраната поръчва осемпортов комутатор и две камери за наблюдение на военната база в Девеселу - малко населено място село в южната част на страната. Taм се намира наземната система за противоракетна отбрана на НАТО Aegis Ashore.
Камерите са произведени от Hikvision - китайска компания, която е частично държавна собственост и има данни, че е свързана с китайските разузнавателни служби. Оборудването на компанията беше включено в черния списък на САЩ, Великобритания, Австралия и други държави от НАТО заради уязвимост на данните и сигурността. Освен това компанията разработва технологии за разпознаване на лица и други инструменти за изкуствен интелект, които според САЩ се използват за репресии срещу малцинствени групи в Китай.
Продължило няколко месеца разследване на румънската служба на Свободна Европа (RFE/RL) показа, че оборудването за наблюдение, произведено от Hikvision и Dahua - друга компания, която е частично собственост на китайското правителство - се използва в поне 28 военни обекта в страната. Техниката се използва и от стотици институции, ангажирани с националната сигурност - като се започне от бреговата охрана и се стигне до обекти на разузнавателната служба и румънският парламент.
Разследването идва на фона на разкритие на украинската служба на Свободна Европа, че камери от същия вид може да са помогнали на руската армия да нанесе удари по цивилни обекти в Киев през януари. Според Държавната служба за сигурност на Украйна (СБУ) две устройства, до които може да са били достъпени отвън, са насочили руските ракети за удара.
За разлика от САЩ, Великобритания и някои други партньори от НАТО, в Румъния няма забрана за използване на оборудване на Hikvision или Dahua.
Министерството на отбраната на страната и други институции за национална сигурност, които използват тези марки, казват, че работят в затворени системи, които нямат облачни или интернет връзки и се спазват строги протоколи за сигурност.
Експерти обаче твърдят, че използването на китайските камери в Румъния повдига въпроси за националната сигурност и е възможно компрометиране на чувствителна информация. Уязвимостите в оборудването биха могли да позволят отдалечен достъп, контрол на камерите, прихващане на данни и мрежови атаки както от държавни, така и от недържавни групи.
Въпреки че тези опасения не са характерни само за Hikvision и Dahua, въпросите за начина, по който съхраняват данните си, връзките им с китайското правителство и нарастващият каталог от уязвимости в сигурността правят и двете компании по-рискови.
Риск има и без връзка с интернет
"Все още има риск, дори ако нещо не е свързано с интернет", казва пред Свободна Европа Конор Хийли, директор на правителствените изследвания в IPVM, фирма за проучвания в областта на наблюдението. "Има примери за системи със затворени камери, които са били хакнати чрез други системи, свързани с интернет."
Hikvision и Dahua са сред водещите световни доставчици на системи за наблюдение. Срещу тях не съществуват ограничения в ЕС, но Европейският парламент премахна от помещенията си оборудване, произведено от Hikvision. И двете компании отхвърлиха обвиненията, че връзките им с китайската държава ги правят рискови за сигурността, и заявиха, че редовно коригират всички грешки, които могат да доведат до уязвимости.
Dahua не отговори на искането на Свободна Европа за коментар, но Hikvision заяви, че по-голямата част от устройствата ѝ се продават от дистрибутори от трети страни и че няма достъп до камерите си, след като те са продадени на клиенти.
"Камерите Hikvision отговарят на законите и разпоредбите, приложими в Румъния и ЕС, и са обект на строги изисквания за сигурност", каза говорител на Hikvision.
Съществува правно основание за забрана, но не е приложено изцяло.
Каталин Тенита, член на румънския парламент и критик на използването на китайското оборудване от румънските служби за сигурност, смята, че вече съществува правно основание за забрана, но не е приложено изцяло.
Тенита смята, че съществуващото законодателство би могло "да отвори възможност за елиминиране на оферти, които не отговарят на установените стандарти за сигурност", но че правителството е решило да не я прилага за Hikvision и Dahua, въпреки прецедентите, създадени от партньори като САЩ.
Предупреждението от НАТО
НАТО няма официална забрана за използването на оборудване от трети страни, но през ноември 2023 г. генералният секретар на Алианса Йенс Столтенберг предупреди за опасността от използване на китайски технологии в критичната инфраструктура.
Видяхме резултатите от това, че разчитаме на Русия за енергийните си доставки. Не бива да повтаряме тази грешка
"Видяхме резултатите от това, че разчитаме на Русия за енергийните си доставки. Не бива да повтаряме тази грешка, като разчитаме на Китай за осигуряване на технологии за нашите критични мрежи", каза той.
Въпреки че румънското министерство на отбраната настоява, че изключването на оборудването от интернет ще предотврати всякакви рискове за сигурността, подобна ситуация беше достатъчна, за да помогне за въвеждането на забрана срещу Hikvision в САЩ.
Мишена за хакерски групи
През 2021 г. литовското министерство на отбраната извърши щателна проверка на Hikvision и Dahua и съобщи за близо 100 уязвимости във фърмуера на Hikvision. Докладът заключи, че оборудването създава "вероятност [за] извършване на кибератаки... или вмъкване на зловреден код".
В доклада пише, че при Dahua не са открити конкретни "преки уязвимости в киберсигурността", но тестовете показват, че камерите на компанията периодично изпращат пакети данни към сървъри в пет различни държави, включително Китай.
Хийли, експертът от IPVM, заяви, че въпреки че поддържането на камери в затворена мрежа може да осигури допълнителна сигурност, "обширният списък с уязвимости", документиран в Hikvision и Dahua, ги прави по-податливи на хакерски атаки от страна на организирани престъпни групи, недържавни субекти и групи, свързани със съперничещи си правителства.
Камерите, които са изключени от интернет, все още могат да бъдат достъпни
Той отбелязва, че камерите, които са изключени от интернет, все още могат да бъдат достъпни, както се вижда от доклада на ФБР, публикуван през януари, в който се казва, че е ударило подкрепяна от Китай хакерска група, наречена Volt Typhoon.
Групата се е насочила към критичната инфраструктура и според доклад, публикуван от Агенцията за киберсигурност и инфраструктурна сигурност на САЩ, е успяла да получи достъп до затворени системи от камери, като е хакнала операционната система на компютъра онлайн и след това е успяла да проникне в офлайн мрежи.
Румъния е най-големият пазар на оборудване на Hikvision в ЕС, но нито Hikvision, нито Dahua участват пряко в обществени поръчки.
Разследването на Свободна Европа показва, че оборудването на компаниите се използва широко както на национално, така и на местно ниво от румънската полиция, Генералния инспекторат за извънредни ситуации, граничната полиция и жандармерията на страната. Оборудването от Hikvision и Dahua е широко разпространено в съдилища, кметства и университети в цяла Румъния, както и в националния парламент в Букурещ.
Форум