Pišu: Reid Standish i Elitsa Simeonova
Tokom njegovog redovnog poslijepodnevnog odlaska na posao početkom januara, nešto novo privuklo je pažnju Konstantina Delčeva dok je sjedio u tramvaju u glavnom gradu Bugarske, piše redakcija Radija Slobodna Evropa (RSE) na engleskom jeziku.
Na plafonu je bio montiran sferni objektiv CCTV kamere, a na osnovi platforme bio je naziv robne marke kineskog proizvođača za kojeg je Delčev sve češće slušao na vijestima, nerijetko uz kontroverze: Hikvision.
"Prva pitanja koja su mi pala na pamet su trebaju li nam ovakve stvari i je li to vrijedno troška za porezne obveznike poput mene", rekao je Delčev za RSE. "Sljedeće pitanje je bilo ko je odlučio koristiti ovu kompaniju a zašto ne i druge?"
Matematičar po obrazovanju s doktoratom iz informatike, Hikvision i svijet cyber sigurnosti za Delčeva nisu nepoznanica. Svjestan sve veće liste slabih tačaka koje su stručnjaci i neke zapadne vlade istaknuli u vezi s Hikvision opremom, kao i često neregulisane prirode nadzora širom svijeta, iznio je svoju zabrinutost na Facebooku zajedno s fotografijom Hikvision kamere. To je pokrenulo širu raspravu u bugarskom parlamentu o korištenju kamera i pitanja zašto su postavljene.
"(Kamere) dolaze iz zemlje u koju drugi nemaju dovoljno povjerenja da bi pustili u svoju ključnu infrastrukturu", rekao je Delčev. "Pa kako to da su se kamere pojavile bez jasnog razumijevanja rizika ili bez transparentnosti oko toga koje su sigurnosne mjere poduzete s obzirom na to da je riječ o kompaniji koja ima reputaciju da ne cijeni sigurnost svojih klijenata?"
Hikvision je najveći svjetski proizvođač opreme za videonadzor i bio je na vrhu grupe kineskih tehnoloških kompanija koje su dominirale globalnim tržištem posljednjih decenija.
Međutim, kompanija je, također postala meta američkih sankcija zbog povezanosti s kineskom vojskom i uloge u razvoju posebne tehnologije za nadzor i praćenje Ujgura i drugih manjina u Sinđijangu.
Hikvision kamere su bile pod lupom zbog slabe zaštite podataka i grešaka koje su pronašli istraživači koji su pokazali kako hakeri mogu na daljinu da pristupe sistemu i kontroli nad kamerama.
Američki regulatori zabranili su korištenje Hikvision kamera, zajedno s nekolicinom druge kineske opreme i kompanija, zbog zabrinutosti za nacionalnu sigurnost, dok su Ujedinjeno Kraljevstvo i Australija nedavno zabranile sigurnosne kamere kineske proizvodnje u vladinim zgradama.
U Evropskoj uniji (EU) nema ograničenja protiv Hikvisiona, ali je Evropski parlament uklonio opremu koju je kompanija proizvela sa svojih lokacija.
Upravo iz tih razloga Božidar Bojanov, zastupnik iz opozicionog parlamentarnog bloka Demokratske Bugarske, kaže da je nakon što je vidio Delčevljev post odlučio da podstakne Državnu agenciju za nacionalnu sigurnost da preispita koje su mjere poduzete kako bi se izbjegla kršenja novih nadzornih kamera u mreži javnog prevoza u Sofiji.
"Ne kažem da će nas Rusi ili Kinezi pratiti", napisao je u januarskoj objavi na blogu o tom pitanju. "Kažem da putem kineske i ruske tehnologije, koje su potencijalno kompromitovane, na stratešku aktivnost - javni prevoz u glavnom gradu – mogu negativno da utiču (i izlože je opasnosti)."
Predstavljanje u Sofiji
Korištenje CCTV kamera na mrežama javnog prevoza uobičajena je pojava u većem dijelu svijeta, no polemika u Bugarskoj fokusirana je na dokumentovane slabosti oko upotrebe Hikvision kamera i zabrinutost zbog nedostatka nadzora u njihovim nabavkama.
Sistem videonadzora instaliran na mreži javnog prevoza u Sofiji datira iz 2017., kada je izdan projekat modernizacije gradskog prevoza u gradu. Krajem 2018. sklopljen je ugovor s konzorcijem kompanija za kupovinu opreme i povezane tehnologije za 45 miliona dolara s ciljem postavljanja ukupno 4.300 kamera u autobuse, tramvaje i trolejbuse u glavnom gradu.
Sistem videonadzora u sistemu u javnog prevoza u Sofiji počeo je s radom krajem 2020. i od tada je nastavljeno postavljanje kamera. Na web-stranici sofijskog Centra za urbanu mobilnost, gradskog odjela za saobraćaj, stoji da je postavljanje kamera učinjeno kako bi se osigurala "bolja sigurnost" za vozače i putnike i kako bi se gradu olakšalo prebrojavanje ljudi koji se voze javnim prijevozom.
Međutim, ostaju pitanja o manama Hikvision kamera, kao i široj zabrinutosti nekih zapadnih vlada oko kineskih dobavljača.
Centar za urbanu mobilnost saopštio je u odgovoru na pitanja RSE da nema "pravo postavljati ograničenja ili zahtjeve oko zemlje porijekla ili određenih brendova za proizvođače opreme" za ugovor.
Slično tome, konzorcij formiran za izvršenje javne narudžbe za kupovinu kamera saopštio je da je njihov izbor opreme bio vođen "potrebama, pouzdanošću i sigurnošću", a ne zemljom porijekla ili robnom markom.
- Borba u Srbiji oko nadzora u kineskom stilu (Prvi deo)
- Pravno natezanje u Srbiji oko kineske tehnologije nadzora (Drugi deo)
Dio privlačnosti kineskih kompanija u industriji nadzora kao što je Hikvision kupcima širom svijeta je to što nude konkurentnu cijenu uparenu s kvalitetom koja im je često omogućavala da potkopaju konkurente i dobiju javne ugovore gdje je trošak za porezne obveznike gotovo uvijek presudan faktor u procesu selekcije.
Velika zabrinutost oko mana Hikvisiona pojavila se 2021. kada je anonimni sigurnosni istraživač pronašao grešku u proizvodima kineske kompanije koja "dopušta napadaču da preuzme potpunu kontrolu nad uređajem".
U objavi koja se masovno proširila među liderima u industriji, istraživač je rekao da kamere imaju "najviši nivo kritične slabosti".
Hikvision je brzo priznao mane i uputio korisnike da instaliraju novi softver na svoje uređaje za koji je naveo da će premostiti grešku.
Prema tvrdnjama IPVM-a, industrijske istraživačke publikacije fokusirane na proizvode za videonadzor, ranjivost je uticala na više od 100 miliona kamera širom svijeta.
U avgustu 2022. Kompanija za cyber sigurnost CYFIRMA objavila je studiju u kojoj je procijenila da je više od 80.000 Hikvision kamera bilo izloženo nakon što operateri nisu uspjeli instalirati ažuriranje firmvera objavljeno 2021. ili su ostavili zadane lozinke na mjestu prilikom prvog postavljanja uređaja.
Centar za urbanu mobilnost, konzorcij koji stoji iza ugovora iz Sofije, i Maxtel – firma koja je instalirala kamere - nisu priznali nikakve mane i jesu li bile popravljene.
Iz Centra za urbanu mobilnost nisu odgovorili na upit RSE o kvaru, a Maxtel je saopštio da nema informacija o tome. Centar je rekao da je uputio pitanje Hikvisionu, ali da kompanija još uvijek nije potvrdila nikakve detalje.
Međutim, svi subjekti su za RSE rekli da su takve brige za njih najvažnije i da je sistem videonadzora siguran jer ostaje u zatvorenoj kompjuterskoj mreži te da se sva ažuriranja softvera redovno prate i primjenjuju.
Poduzete su sve mjere kako bi se zaštitio sistem i onemogućilo da se informacije iz njega koriste za bilo šta drugo osim za one za koje su namijenjene, saopšteno je iz Centra urbane mobilnosti. "Stalno se preispituje, posebno u smislu cyber sigurnosti."
Preostala pitanja
Bojanov, opozicioni zastupnik, kaže da će nastaviti da vrši pritisak tražeći odgovore o preostalim slabostima u Sofiji i dodatnim informacijama za sigurnosne standarde.
Prije nego što je ušao u politiku, Bojanov je radio u IT sektoru i kaže da ima veliko praktično iskustvo da razumije rizike koji su uključeni, posebno od, kako je opisao, privatnih i državnih hakera.
Samo jedna slabost, dodao je, mogla bi da otvori put koji dovodi do pristupa cijeloj mreži kamera.
Praćenje usklađenosti na mreži spada u domenu Državne agencije za nacionalnu sigurnost. RSE je pitao šta se poduzima na praćenju i popravljanju slabosti, ali agencija je rekla da su informacije o tome kako izvršavaju svoje dužnosti povjerljive.
Prema riječima Jasena Taneva, stručnjaka za cyber sigurnost i predsjednika bugarske Asocijacije za razvoj poslovnog softvera, najveći rizik za mreže proizlazi iz nepoštivanja industrijskih standarda i dodao da su moderne kamere, koje su povezane putem velike digitalne mreže, glavna meta "za napade hakera."
Tanev je za RSE rekao da su pitanja oko povjerenja u kompaniju proizvođača ključna za takve mreže kamera i da bi ograničenja nametnuta Hikvisionu u inostranstvu zbog zabrinutosti za nacionalnu sigurnost trebala biti "alarm" za državnu Agenciju za nacionalnu sigurnost.
"Da li su korisnici svjesni rizika, upravljaju li njima i kako osiguravaju da neko ne može iskoristiti slabost za pristup tim uređajima ili cijeloj mreži?", zapitao je.
Facebook Forum