Asi všetci máme radi výhodné nákupy. No žiaľ, nie vždy sa finančná úspora oplatí. Exemplárnym príkladom sú lacné kamerové systémy z Ázie, ktoré ovládli mnohé európske mestá, úrady aj domácnosti. Experti na bezpečnosť však upozorňujú na jeden dôležitý detail, a to ten, že čínske firmy musia zo zákona hlásiť zraniteľnosti vo svojom softvéri vládnym úradom v Pekingu.
Situácia okolo digitálneho sledovania a ochrany osobných údajov v Európe narazila na vážny problém. Lacné bezpečnostné systémy čínskeho či všeobecne ázijského pôvodu v uplynulom období doslova zaplavili mestá, štátne úrady a milióny súkromných domácností po celej Európe. Poprední experti s týmto trendom nie sú dvakrát spokojní. Téme sa venujú Správy STVR.
Podľa ich zistení tieto zariadenia okrem samotného vizuálneho obrazu tajne prenášajú aj veľmi citlivé informácie. Odborníci navyše vôbec nevylučujú scenár, podľa ktorého sa tieto rozšírené technológie môžu v budúcnosti stať priamym nástrojom koordinovaného kybernetického útoku. Bežní občania tak každým dňom prichádzajú o svoje základné súkromie, pričom často vôbec nevedia, že de facto dobrovoľne podstupujú takéto veľké riziko.
Na globálnom trhu dnes pôsobia stovky rôznych výrobcov kamerových systémov. Ázijskí producenti však dokážu svoje produkty ponúkať za výrazne nižšie finančné sumy, než za aké ich predávajú ich náprotivky z USA či Európy. Úroveň ich reálneho zabezpečenia je však prinajmenšom sporná. Bezpečnostný expert Dalibor Smažinka v tejto súvislosti poukazuje na legislatívu Čínskej ľudovej republiky. Konkrétne spomína tamojší zákon o spravodajských službách. Tento v zjednodušenej forme hovorí o tom, že všetky čínske komerčné firmy sú povinné v prípade zistenia akejkoľvek zraniteľnosti vo svojom firmvéri okamžite nahlásiť tento nedostatok čínskym úradom.
Čínske štátne orgány sa následne sami rozhodnú, či materská firma môže túto softvérovú dieru opraviť, alebo musí čakať na ich ďalší presný pokyn. Podľa Smažinku existuje tento mechanizmus práve pre prípad, že by Peking chcel takúto zraniteľnosť cielene zneužiť na tajné získanie strategických údajov od konkrétneho prevádzkovateľa, napríklad zo vzdialenej bezpečnostnej kamery.
Európske pravidlá pre nich neplatia
Hlavným kameňom úrazu, pokiaľ ide o čínskych dodávateľov, je podľa odborníka na kybernetickú bezpečnosť Ľubomíra Kopáček to, že v reálnom svete neexistuje žiadna legálna páka, ktorá by tieto subjekty prinútila rešpektovať a dodržiavať európske pravidlá. Čínsky výrobca si v podstate môže robiť s hardvérom a softvérom čo sa mu zachce, a v praxi to aj mnoho z nich robí. V zariadeniach môže nekontrolovane zbierať akékoľvek dáta, sťahovať živé videostreamy alebo na diaľku zasahovať do samotného fungovania jednotlivých prístrojov.
Z týchto zistení vyplýva silné podozrenie (ktoré viac-menej hraničí s absolútnou istotou), že hlavným cieľom je systematické čerpanie strategických údajov z iných štátov či od cudzích vládnych aktérov. Kopáčeka tvrdí, že z čisto technického hľadiska je možné overiť, s akými externými servermi tieto kamery v sieti komunikujú. Tento proces sa odborne nazýva sniffing, čo predstavuje odposluch a analýzu sieťovej prevádzky. Veľkým problémom však je, že touto metódou dokážu analytici zistiť iba smer a cieľ komunikácie, no nie jej presný obsah. Celé spojenie medzi koncovým zariadením a materským serverom v zahraničí je totiž šifrované.
Na riziká späté so zraniteľnými miestami v dodávateľských reťazcoch informačných a komunikačných technológií upozorňuje aj hovorkyňa Zastúpenia Európskej komisie na Slovensku Katarína Touquet Jaremová. Tieto technológie sú pritom dnes absolútne nevyhnutné pre správne fungovanie kritických služieb a strategickej infraštruktúry štátu.
EÚ chystá tvrdé reštrikcie aj čiernu listinu
Európsky parlament plánuje v najbližších mesiacoch prijať nový akt o kybernetickej bezpečnosti. Hovorca Európskej komisie pre technologickú suverenitu, obranu, vesmír a výskum Thomas Regnier potvrdil, že v rámci aktu sa vytvorila legislatívna možnosť zaradiť potenciálne rizikové tretie krajiny a vybrané spoločnosti, ktoré pôsobia v strategických sektoroch EÚ, na oficiálny zoznam rizikových subjektov.
V minulosti už európske orgány na tento zoznam zaradili známe čínske firmy Huawei a ZTE. Komisia vtedy vydala oficiálne odporúčanie pre členské štáty, aby tieto firmy kompletne vylúčili zo svojich telekomunikačných sietí a infraštruktúry konektivity.
Na príchod novej legislatívy už reagujú aj slovenské bezpečnostné zložky. Hovorkyňa Národného bezpečnostného úradu Kristína Petro Garaiová potvrdila, že v rámci pripravovanej novelizácie európskeho Nariadenia o kybernetickej bezpečnosti sa očakáva vydanie zoznamu zakázaných produktov. Používanie týchto zariadení nebude povolené z dôvodu vysokého politického alebo bezpečnostného rizika. Slovensko vraj bude celoeurópske opatrenia plne rešpektovať a implementovať do vlastnej praxe.
Zákon o verejnom obstarávaní núti nakupovať z Číny
Kamerové systémy od čínskych dodávateľov dnes vo veľkom využívajú mnohé slovenské inštitúcie a mestské samosprávy. Prečo? Starosta mestskej časti Bratislava – Petržalka Ján Hrčka vysvetlil, že súčasný zákon o verejnom obstarávaní prikazuje, aby inštitúcie primárne obstarávali tovar s najnižšou cenou.
Samospráva si síce môže v podmienkach určiť špecifické parametre, no ak si vymyslia objektív, ktorý v skutočnosti “až tak nepotrebujú”, celý projekt sa predraží. Hrčka dodáva, že na rozdiel od bohatších miest, napríklad v Nemecku či Amerike, majú slovenské samosprávy veľmi obmedzené rozpočty. Pokiaľ sa zadefinujú len základné parametre, ktoré káže legislatíva, čínska produkcia vždy vyjde ako jediná možnosť.
V podstate rovnako to vidí aj primátor mesta Holíč Zdenko Čambal, podľa ktorého by slovenské mestá jednoducho nedokážu zo svojich rozpočtov pokryť nákup kamerových systémov vyrobených priamo v EÚ.
Hovorkyňa Úradu pre verejné obstarávanie Simona Brejová však nesúhlasí a pripomína, že už od roku 1993 mali verejní obstarávatelia zo zákona možnosť využívať aj iné, než čisto cenové kritériá na vyhodnotenie ponúk. Sústredenie sa na kvalitu namiesto najnižšej sumy je navyše hlavným cieľom súčasných európskych smerníc.
Avšak čínski výrobcovia sú s týmito podmienkami veľmi dobre oboznámení. Smažinka vysvetľuje, že ázijské firmy presne vedia, ako fungujú tendre v Európe, a preto zámerne ponúkajú extrémne lacné kamery. V prvej fáze im vôbec nejde o finančný zisk z predaja hardvéru. Tie prístroje doslova dotujú, aby vyhrali súťaže a prenikli hlboko do citlivých štruktúr. Snažia sa infiltrovať aj do štátnej správy, pričom najväčší z týchto výrobcov sa pred našimi úradmi snaží štylizovať do pozície prémiovej a bezpečnej značky.
Rizikám oponujú aj ďalší. Že sú čínske kamery hrozbou odmieta napríklad aj Národná diaľničná spoločnosť. Jej hovorca Tomáš Ferenčák potvrdil, že kamery sa inštalovali pri výstavbe novších úsekov a na starších sa dopĺňali priebežne v rámci ich životného cyklu. Vždy sa pritom vraj dbalo aj na bezpečnostné nároky. Podľa neho riziko úniku nehrozí, keďže tieto prístroje fungujú ako uzatvorená sieť bez akéhokoľvek napojenia na internet.
Smažinka však upozorňuje, že ani takéto riešenie nie je stopercentné. V praxi totiž bežne dochádza k situáciám, kedy sa celá oddelená sieť musí jednorazovo pripojiť na internet kvôli aktualizácii softvéru. A práve v týchto, hoci krátkych okamihoch, hrozí kompromitácia a únik dát.
Pozor aj na domáce Wi-Fi kamery
Kamerové systémy sú však populárne nielen v rámci kľúčovej infraštruktúry, ale aj v domácnostiach. A žiaľ, aj v tomto smere prevládajú hlavne lacné Wi-Fi kamery, ktoré sa dajú jednoducho ovládať cez mobilnú aplikáciu. Háčik je v tom, že tieto zariadenia nekomunikujú len priamo s vaším smartfónom. V momente, keď sa na kameru pripojíte, celý obraz a zvuk najskôr smerujú na cloudový server v Číne. Až odtiaľ putujú naspäť do vášho mobilu.
Netreba zabúdať ani na takzvané backdoors, čiže akési zadné vrátka. Celá komunikácia s domácou kamerou síce navonok vyzerá bezpečne, no práve tieto zadné vrátka ponúkajú tajný prístup priamo vo firmvéri, ktorý dokáže obísť štandardné zabezpečenie. Výrobca alebo nedajbože hacker tak môže získať plný prístup k tomu, čo deje vo vašom dome, a to bez toho, aby ste o tom vedeli.
Aby toho nebolo málo, ľudia sú pri inštalácii často laxní a po zapojení do siete nezmenia predvolené nastavenia. Mnohé domáce kamery tak fungujú s ľahko prelomiteľnými prihlasovacími údajmi (admin ako meno aj heslo), čo znamená de facto nulovú ochranu.
