БУХАРЕСТ – Здавалося б, звичайна покупка румунськими військовими в січні 2024 року обладнання для спостереження китайського виробництва не могла мати далекосяжні наслідки для національної безпеки Румунії.
Менш ніж за 1000 доларів США співробітник Міноборони Румунії замовив восьмипортовий комутатор і дві камери спостереження для мережі безпеки на військовій базі в тихому південному селі Девеселу, де розташована наземна система протиракетної оборони НАТО Aegis Ashore.
Ми бачили результати ставки на Росію в енергопостачаннях. Ми не повинні повторювати цю помилку з Китаєм у отриманні технологійЄнс Столтенберг
Камери були виготовлені фірмою Hikvision, частково державною китайською компанією, яка, ймовірно, пов’язана з армією країни, чиє обладнання було внесене в чорний список США і Британії через вразливість даних і безпеки.
Хоча немає жодних доказів того, що камери в Девеселу призвели до будь-яких порушень, розслідування Румунської служби Радіо Свобода показує, що обладнання для спостереження, виготовлене Hikvision і Dahua – ще однією компанією, яка частково належить китайському уряду, – використовується на не менш як 28 військових об'єктах у Румунії.
Обладнання також використовується сотнями інших державних установ, які займаються національною безпекою, починаючи від берегової охорони і закінчуючи сайтами, якими керує розвідувальна служба Румунії.
На відміну від США, Британії чи деяких інших партнерів НАТО, у Румунії немає заборони на використання обладнання Hikvision або Dahua, а Міноборони країни та інші установи національної безпеки, які використовують бренди, повідомили Радіо Свобода, що вони є закритими ланцюговими системами, які не мають підключення до хмари чи інтернету та дотримуються суворих протоколів безпеки.
Але експерти кажуть, що їх використання в Румунії викликає критичні питання щодо національної безпеки та потенційного компрометування конфіденційної інформації.
Хоча ці занепокоєння стосуються не лише Hikvision і Dahua, існує питання про те, як обидві компанії зберігають свої дані, якими є їхні зв’язки з урядом Китаю тощо.
«Ризик все одно є, навіть якщо щось не підключено до інтернету, – сказав Радіо Свобода Конор Гілі, директор урядових досліджень у IPVM, дослідницькій фірмі, що вивчає сферу відеоспостереження. – Є приклади зламу закритих камер через інші системи, підключені до інтернету».
Hikvision і Dahua є одними з провідних світових постачальників систем замкнутого телебачення та відеоспостереження, і їхні продукти залишаються популярними в Європі.
Обмежень ЄС щодо них немає, але Європарламент вивіз обладнання, вироблене компанією, зі своїх приміщень. Обидві компанії заперечують звинувачення в тому, що їхні зв’язки з китайською державою створюють для них загрозу безпеці, і кажуть, що вони регулярно виправляють будь-які збої, які можуть призвести до вразливостей.
Камери Hikvision відповідають законам і нормам, що застосовуються в Румунії та ЄСРечник компанії
Dahua не відповіла на запит Радіо Свобода про коментарі, але Hikvision повідомила, що більша частина її пристроїв продається сторонніми дистриб’юторами і що вона не може отримати доступ до жодної зі своїх камер після того, як вони продані клієнтам, додавши, що компанія має «надійний процес для швидкого усунення підозрілих вразливостей».
«Камери Hikvision відповідають законам і нормам, що застосовуються в Румунії та ЄС, і підпадають під суворі вимоги безпеки», – сказав Радіо Свобода представник Hikvision.
У Румунії немає спеціальної заборони на придбання обладнання Hikvision або Dahua, хоча такі політики, як Каталін Теніта, член румунського парламенту, який критикує використання компаній румунськими службами безпеки, стверджують, що правова основа для заборони вже існує, але не була повністю виконана.
Теніта сказав Радіо Свобода, що існуюче законодавство може «відкрити можливість скасування пропозицій, які не відповідають встановленим стандартам безпеки», але що уряд вирішив не застосовувати це до Hikvision і Dahua, незважаючи на прецеденти, створені такими партнерами, як США.
Погляд на Девеселу
Міноборони Румунії заявило, що через те, що обладнання розташоване в закритих системах, які не підключені до інтернету, вони не можуть проникнути ззовні та працюють лише у захищених внутрішніх мережах.
«Усі системи відеоспостереження, встановлені у військових частинах, включно з апаратною частиною, враховуючи відеокамери й мережеве та накопичувальне обладнання, а також програмне забезпечення, за допомогою якого вони працюють, проходять суворі процедури тестування, оцінки та затвердження», – сказав Радіо Свобода речник міністерства.
Треба відкрити можливість скасування пропозицій, які не відповідають встановленим стандартам безпекиКаталін Теніта
Речник військово-морського об’єкта Девеселу, яким керують сили США, відповідальні за систему протиракетної оборони, сказав Радіо Свобода, що було б «недоречно» коментувати румунські військові закупівлі, але вони «віддані сильному партнерству» зі своїми румунськими колегами і «продовжуватимуть співпрацювати для підтримки та сприяння безпеці в усьому регіоні та колективній обороні НАТО».
У відповідь на запитання про занепокоєння щодо використання обладнання Hikvision і Dahua на румунській базі офіційний представник НАТО сказав Радіо Свобода, що військовий альянс дотримується «жорстких заходів для забезпечення безпеки нашого персоналу та об’єктів у всьому євроатлантичному регіоні».
«Ми не надаємо конкретних деталей щодо інфраструктури безпеки, але НАТО продовжує розраховувати на союзників, щоб гарантувати, що продукти, які використовуються на військових об’єктах, не становлять потенційного ризику для безпеки», – сказав чиновник.
Альянс не видав офіційної заборони на використання обладнання третіх країн, але генсекретар НАТО Єнс Столтенберг у вересні 2023 року застеріг від використання китайських технологій у критичній інфраструктурі.
«Ми бачили результати покладання на Росію в наших енергопостачаннях. Ми не повинні повторювати цю помилку, покладаючись на Китай у отриманні технологій для наших критично важливих мереж», – сказав він.
У той час, як Міноборони Румунії наполягає на тому, що відключення обладнання від інтернету запобігатиме будь-яким ризикам для безпеки, подібної ситуації було достатньо, щоб запровадити заборону на Hikvision у США.
Оскільки на початку 2018 року Hikvision вперше потрапила під пильну увагу громадськості в США, військова база в Міссурі видалила камери закритої мережі, створеної компанією, як профілактичний захід.
Через рік американські законодавці включили Hikvision до санкційного списку, фактично заблокувавши американським компаніям продаж їй через проблеми з безпекою та правами людини через її роль у розробці спеціальної технології для стеження за уйгурами та іншими меншинами в китайській провінції Сіньцзян.
Міноборони Литви ретельно перевірило Hikvision і Dahua у 2021 році та повідомило про майже 100 уразливостей у мікропрограмі Hikvsion і дійшло висновку, що це обладнання створює «ймовірність [кібератак]... або введення [зловмисного коду]».
Жодних конкретних «прямих вразливостей кібербезпеки» в Dahua не виявлено, підсумовує звіт, але тестування показало, що камери компанії періодично надсилають пакети на сервери в п’яти різних країнах, враховуючи Китай.
Конор Гілі, експерт із IPVM, каже, що, хоча розміщення камер у закритій мережі може забезпечити додатковий захист, «широкий список уразливостей», задокументований у Hikvision і Dahua, робить їх більш сприйнятливими до злому з боку організованих злочинних угруповань, недержавних акторів і груп, пов’язаних з конкуруючими урядами.
Він зазначає, що камери, відключені від інтернету, все ще можуть бути доступні, як показано в звіті ФБР, опублікованому в січні, в якому говориться, що воно закрило підтримувану Китаєм хакерську групу Volt Typhoon. Група була націлена на критично важливу інфраструктуру і, згідно зі звітом, опублікованим Агентством кібербезпеки та безпеки інфраструктури США, вона змогла отримати доступ до систем закритої камери, зламавши операційну систему комп’ютера в інтернеті, а потім змогла проникнути в офлайн-мережі.
Dahua, Hikvision поширені в Румунії
Румунія є найбільшим ринком для обладнання Hikvision в ЄС, але ні Hikvision, ні Dahua безпосередньо не беруть участі в державних закупівлях. Натомість місцеві охоронні фірми діють як посередники, купуючи та перепродаючи ці технології державним установам країни.
Розслідування Радіо Свобода показує, що обладнання цих компаній переважно використовується як на національному, так і на місцевому рівнях румунською поліцією, генеральною інспекцією з надзвичайних ситуацій, прикордонною поліцією та жандармерією країни.
Записи про закупівлі, з якими ознайомилося Радіо Свобода, також показують, що обладнання Hikvision і Dahua всюдисуще в судах, меріях та університетах по всій Румунії, а також у національному парламенті країни в Бухаресті.
Румунська поліція, генеральна інспекція з надзвичайних ситуацій, прикордонна поліція та жандармерія повідомили Радіо Свобода, що їхнє обладнання Hikvision і Dahua було придбане законно на основі національного законодавства про державні закупівлі та що воно «повністю відповідає необхідним технічним характеристикам».
Інституції додали, що обладнання двох китайських фірм не підключене до інтернету або комп’ютерних програм і хмарних мереж, наданих Hikvision або Dahua.
Радіо Свобода також виявило, що штаб-квартира Служби розвідки Румунії в північно-східному місті Ясси, поблизу кордону з Молдовою, також використовує обладнання Hikvision і Dahua.
Це серйозна ситуація. Як це могло пройти інституції, відповідальні за безпеку?Адріан Тріфан
«Системи відеоспостереження на рівні нашої установи є частиною більшої системи, яка захищена, захищена в замкнутій мережі та постійно підлягає технічному аналізу ризиків, що забезпечує оптимальний рівень операційної безпеки та запобігає ризикам для будь-яких збережених даних», – сказав Радіо Свобода речник Румунської розвідувальної служби.
Маріан Генеску, фахівець із відеосистем та інженер із систем безпеки в Softrust Vision Analytics, румунській компанії, що спеціалізується на безпеці систем відеоспостереження, сказав Радіо Свобода, що підтримка мереж в автономному режимі та регулярне обслуговування кібербезпеки можуть обмежити будь-які можливі вразливості.
Він каже, що в Румунії часто вибирають Hikvison і Dahua, тому що вони є найдоступнішим варіантом, доступним для бюджетних установ, і не завжди можуть бути встановлені з максимальними налаштуваннями безпеки.
Александру Ангелус, експерт з кібербезпеки та засновник консалтингової компанії Pro Defence, сказав Радіо Свобода, що все обладнання для спостереження піддається ризикам безпеки, а не лише китайські бренди. Він додає, що історія вразливостей Hikvision і Dahua може вимагати додаткового вивчення, вказуючи на збій безпеки Hikvision у 2021 році, який, як вважають, вплинув на понад 100 мільйонів камер у всьому світі.
Тим часом деякі румунські законодавці вимагають подальшого розслідування.
Адріан Тріфан, сенатор румунського парламенту, який є заступником голови комітету з комунікацій, інформаційних технологій і штучного інтелекту, каже, що він хоче видалити камери з парламенту та хоче знати, чому обладнання Hikvision і Dahua так широко використовується в національній безпеці.
«Це серйозна ситуація, яку мають негайно з’ясувати відповідні інституції, – сказав він Радіо Свобода. – І все ще потрібно з’ясувати, як ці закупівлі пройшли перевірку [Вищої ради національної оборони Румунії]».
Форум