Lacné bezpečnostné systémy z Číny a ďalších ázijských krajín ovládli mestá, úrady aj domácnosti po celej Európe.
Odborníci varujú, že okrem obrazu môžu prenášať aj citlivé údaje a nevylučujú, že sa môžu stať nástrojom kybernetického útoku. Bežní ľudia zasa prichádzajú o svoje súkromie, o čom veľakrát vôbec netušia.
Výrobcov kamerových systémov sú stovky. Čínski ponúkajú produkty za výrazne nižšie ceny ako európski či americkí výrobcovia, no ich bezpečnosť je sporná.
„Existuje napríklad zákon o spravodajských službách Čínskej ľudovej republiky, ktorý v podstate zjednodušene hovorí, že všetky čínske firmy musia v prípade, že zistia zraniteľnosť vo svojom firmvéri, najprv túto zraniteľnosť oznámiť čínskym úradom,“ priblížil bezpečnostný expert Dalibor Smažinka.
Úrady sa podľa neho následne rozhodnú, či to firma môže opraviť alebo musí čakať na ich pokyn. „Je to práve pre prípad, že by Čína chcela túto zraniteľnosť zneužiť na získanie údajov od prevádzkovateľa digitálneho zariadenia, napríklad kamery,“ dodal Smažinka.
Nefungujú podľa európskych pravidiel
Problém pri čínskych výrobcoch je podľa odborníka na kybernetickú bezpečnosť Ľubomíra Kopáčeka v tom, že ich nikto neprinúti fungovať podľa európskych pravidiel.
„To znamená, že čínsky výrobca si môže robiť, čo chce a aj si robí, čo chce. Čiže môže zbierať dáta, môže zbierať videostreamy, môže aktívne zasahovať do zariadení, môže robiť čokoľvek,“ skonštatoval Kopáček.
„Z toho vyplýva podozrenie hraničiace s istotou, že im ide o získavanie údajov z iných štátov, respektíve od iných štátnych aktérov,“ doplnil bezpečnostný expert Smažinka. Podľa Kopáčeka sa technicky dá overiť, kam zariadenia komunikujú. „Ide o sniffing alebo odposluch sieťovej prevádzky,“ vysvetlil.
Problém je v tom, že sa takto dá zistiť iba kam komunikujú, nie čo komunikujú. „Spojenie medzi zariadením a serverom sa šifruje,“ uviedol.
„Nedávne kybernetické incidenty poukázali na hlavné riziká, ktoré sa spájajú so zraniteľnými miestami v dodávateľských reťazcoch informačných a komunikačných technológií, ktoré sú nevyhnutnosťou pre fungovanie kritických služieb a infraštruktúry,“ priblížila hovorkyňa Zastúpenia Európskej komisie na Slovensku Katarína Touquet Jaremová.
Akt o kybernetickej bezpečnosti
Európsky parlament bude v najbližších mesiacoch prijímať nový akt o kybernetickej bezpečnosti.
„V rámci aktu, ktorý je momentálne predmetom rokovania spoluzákonodarcov, sme vytvorili možnosť zaradiť potenciálne vysokorizikové tretie krajiny a následne aj niektoré spoločnosti pôsobiace v strategických sektoroch Európskej únie (EÚ) na zoznam rizikových subjektov,“ povedal hovorca Európskej komisie pre technologickú suverenitu, obranu, vesmír a výskum Thomas Regnier.
Doplnil, že v minulosti už spoločnosti Huawei a ZTE zaradili na tento zoznam. „Vydali sme odporúčanie, ktoré povzbudzuje členské štáty, aby ich vylúčili zo svojich telekomunikačných operátorov a infraštruktúry konektivity,“ dodal Regnier.
„V rámci pripravovanej novelizácie európskeho Nariadenia o kybernetickej bezpečnosti sa predpokladá, že Európska komisia vydá zoznam produktov, ktorých používanie nebude povolené z dôvodu politického alebo bezpečnostného rizika. SR bude rešpektovať a implementovať opatrenia, ktoré sa prijmú na úrovni EÚ,“ uviedla hovorkyňa NBÚ Kristína Petro Garaiová.
Využitie vo verejných inštitúciách
Kamerové systémy čínskych výrobcov využívajú mnohé verejné inštitúcie a samosprávy. Oslovili sme viaceré z nich. Pred kamerou sa chceli vyjadriť len niektoré.
„Zákon o verejnom obstarávaní hovorí, že musíte obstarať najnižšiu cenu. Samozrejme, môžete si nadefinovať parametre, ktoré by mali mať zmysel. My si môžeme povedať, že tá kamera má mať objektív, ktorý nepotrebujeme, ale tým pádom sa to celé predražuje,“ vysvetlil starosta mestskej časti Bratislava – Petržalka Ján Hrčka.
Povedal, že na rozdiel od napríklad Nemecka či Ameriky majú samosprávy iné rozpočtové možnosti. „Pokiaľ definujete parametre, ktoré vám zákon káže definovať, tak čínska výroba vždy vyhrá,“ dodal.
„Pokiaľ by sme mali používať to, čo sa vyrobí u nás v EÚ, tak to asi nezaplatíme,“ povedal primátor mesta Holíč Zdenko Čambal.
„Už od čias prijatia prvého zákona o verejnom obstarávaní po vzniku SR v roku 1993, mali vždy verejní obstarávatelia možnosť využívať aj iné než cenové kritériá na vyhodnotenie ponúk a platí to dodnes,“ povedala hovorkyňa Úradu pre verejné obstarávanie Simona Brejová.
Sústredenie sa na kvalitu obstarávaných komodít namiesto najnižšej ceny je podľa Brejovej tiež jedným z hlavných deklarovaných cieľov aj súčasných európskych smerníc o verejnom obstarávaní.
Výrobcovia z Číny vedia, že u nás vyhrajú
„Kamery sa inštalovali pri výstavbe novších úsekov. Pri starších úsekoch sa dobudovali dodatočne. Tieto kamery sú od rôznych výrobcov, rôznych značiek, postupne v rámci životného cyklu sa obmieňajú a vtedy sa obmieňajú v súlade so súčasnými nárokmi, aj tými bezpečnostnými,“ priblížil hovorca Národnej diaľničnej spoločnosti (NDS) Tomáš Ferenčák.
Podľa neho nehrozí zneužitie týchto kamier. „Sú ako uzatvorená sieť bez napojenia na internet. Nikto z tretej strany sa na ne nevie napojiť,“ povedal Ferenčák.
„Aj tam musím povedať, že to nie je na sto percent, pretože existujú situácie, keď sa celá oddelená sieť pripojí na internet kvôli nejakej aktualizácii a podobne. Práve v takých okamihoch môže po kompromitácii dôjsť k úniku dát smerom von z danej siete,“ priblížil expert Smažinka.
„Výrobcovia sa snažia preniknúť aj do štátnej správy. Obzvlášť jeden z týchto výrobcov sa snaží profilovať tak, že oni sú tou prémiovou čínskou značkou,“ povedal Kopáček.
Podľa Dalibora Smažinku čínski výrobcovia vedia, že verejné obstarávanie v Európe je prísne. Preto nám na trhu ponúkajú lacné kamery. „Vedia, že zvíťazia. Im nejde až tak o peniaze, oni to dotujú,“ vysvetlil.
Obľúbené wifi kamery
Kamerové systémy sa stali bežnou súčasťou aj našich domácností. Slúžia na ochranu majetku alebo ako detská pestúnka. Obľubu si získali najmä wifi kamery, a to pre jednoduchosť ovládania cez mobilnú aplikáciu. Tento typ kamier však nekomunikuje len s aplikáciou v mobile.
Keď sa na kameru pripojíme mobilom, dáta, teda obraz a zvuk, smerujú na čínsky cloud a až tak do nášho mobilu. Tým sa vytvára akýsi komunikačný trojuholník.
Čínske kamery môžu obsahovať aj takzvané backdoors, teda zadné vrátka. Komunikácia kamery a aplikácie môže navonok pôsobiť, že ju chráni domáci firewall a ďalšie bezpečnostné prvky.
Tieto zadné vrátka sú však skrytý prístup v softvéri alebo firmvéri, ktorý umožňuje obísť štandardné zabezpečenie.
Takýto prístup môže výrobcovi, alebo v prípade zneužitia aj útočníkom, umožniť vzdialený prístup k zariadeniu bez toho, aby o tom majiteľ kamery vedel. A v prípade, že sa pri inštalácii novej domácej kamery a jej pripojení napríklad na wifi sieť nezmení výrobcom nastavené heslo a názov, jej ochrana je takmer nulová.
„A to je škandál, pretože tie mená a heslá sú že admin a heslo admin, až takto stupídne to je,“ povedal odborník Kopáček.
„Určite je to narúšanie súkromia, ktoré môže mať charakter od administratívneho porušenia až po trestný čin. Často si za to môžeme sami, pretože to umožníme vďaka tomu, že sme laxní a možno ani nepoznáme všetky riziká, ktoré hrozia,“ povedala predsedníčka Spolku pre ochranu osobných údajov Lucia Semančínová.
O bezpečnosti sme sa dozvedeli málo
Ako bežní užívatelia sme sa boli poradiť ohľadom kúpy kamier v elektropredajniach aj v špecializovanom obchode. Chceli sme vedieť, či nás na možné kybernetické hrozby predajcovia upozornia.
Aj napriek viacerým otázkam sme sa o možných bezpečnostných rizikách čínskych kamier dozvedeli málo. Výrečnejší bol predajca bežnej elektropredajne.
„Nemalo by sa to odosielať, ale zaručiť sa to nedá. Vždy sú tam isté služby, ktoré všetko monitorujú, či už telefóny, domácnosti alebo iné zariadenia. Je to čínsky výrobok, takže tam je asi jedno, čo si z toho vyberiete,“ povedal nám predavač.
„IoT zariadenia, to sú všetky ‚inteligentné‘ zariadenia, od kamier, cez chladničky po vysávače. Celý problém týchto zariadení je v tom, že sa nikdy nenavrhovali na to, aby boli bezpečné. Navrhovali sa na to, aby fungovali. Chladnička má chladiť, kamera má snímať obraz, vysávač má vysávať,“ vysvetlil Ľubomír Kopáček.
„Myslíme si, že keď ten kybernetický priestor nevidíme, tak je asi bezpečný. Ale nie je to tak. Je veľmi podobný fyzickej bezpečnosti, len nerozumieme všetkým zatvoreným dverám, oknám, ostnatým drôtom, plotom či zámkom,“ priblížil Dalibor Smažinka.
Podľa Lucie Semančínovej sú práve bežní užívatelia a domácnosti najzraniteľnejší. „Ak si nenastavíme zariadenia správne, nevieme, kam sa prenášajú iné údaje. Dá sa osoby vyprofilovať, zistiť, ako sa správa domácnosť, kedy sa nám zapína alarm, kedy odchádzame z domu a kedy sme doma. Ide o veľmi citlivé dáta, ktoré sa môžu zneužiť,“ uzavrela.
