EN
Rugpjūčio 3, 2020

Vaizdo stebėjimo sprendimai kaip Rusijos ir Kinijos žvalgybų įrankis

Hikvision ir Dahua kameros turi viešai pažymėtų kibernetinio saugumo spragų, tačiau jas galima eliminuoti.

Nacionalinis kibernetinio saugumo centras (NKSC) nustatė, kad net 57 valstybės institucijos naudoja Kinijos gamintojų vaizdo stebėjimo kameras, turinčias žinomų kibernetinio saugumo spragų, pažymėtų viešai prieinamoje pažeidžiamumų duomenų bazėje CVE.

„Tiek Hikvision, tiek Dahua kameros labai populiarios Lietuvoje. Jas naudoja ne tik valstybinis sektorius, bet ir stambūs verslo subjektai. Esminis klausimas: ar valstybės institucijose paplitę vaizdo stebėjimo sistemos gali būti naudojamos kaip Rusijos ir Kinijos žvalgybų įrankis, nes Kinijos gamintojų sąmoningai ar ne palikti gamykliniai pažeidžiamumai įgalina vaizdo kamerų informacijos perėmimą nuotoliniu būdu“, sako valdomų Cloud ir IT paslaugų bendrovės BTT Cloud vadovas Donatas Zaveckas.

Kaip rašoma NKSC tyrimo ataskaitoje, Hikvision kameroje nėra automatinio atnaujinimų funkcionalumo, o visa naujinimų infrastruktūra išdėstyta Kinijos ir Rusijos serveriuose. Visoje Hikvision kamerų infrastruktūroje naudojami uždari, nestandartiniai protokolai. Nustatyta, kad savo gaminių aptikimui Hikvision naudoja uždarą SADP (Search Active Device Protocol), kuris nėra šifruojamas.

2017 metais kibernetinio saugumo tyrėjai aptiko „Dahua“ kamerų programinės įrangos pažeidžiamumą, kuris buvo suaktyvintas „Fortune 500” bendrovės tinklo kamerose, o incidento metu duomenys buvo perduoti Kinijai. Naudojantis interneto naršykle, pažeidžiamumas leido pašaliniams asmenims nuotoliniu būdų atsisiųsti įrenginio vartotojo vardų ir slaptažodžių duomenų bazę ir vėliau prieiti prie kamerų valdymo. Po šių incidentų Dahua išleido programinės įrangos naujinį, kuris pašalino 11 produkto saugumo pažeidžiamumų. Tačiau saugumo tyrėjai aptiko, kad ir atnaujintoje programinėje įrangoje visgi liko tas pats pažeidžiamumas, tačiau ši spraga buvo perkelta į kitą kodo dalį.

Pasak Donato Zavecko, BTT Cloud savo klientų tarpe turi įmonių ir organizacijų, naudojančių Hikvision ir Dahua kameras, tačiau NKSC tyrime įvardintos grėsmės suvaldytos.

„NKSC tyrime įvardintas saugumo spragas galima eliminuoti teisingai suprojektuojant ir įgyvendinant vaizdo stebėjimo infrastruktūros techninę ir programinę dalį, įskaitant saugumo programinę įrangą. Tą savo klientams esame padarę. Reikia pripažinti, kad suvaldyti programinės įrangos naujinimų, prieš tai juos patikrinant, praktiškai neįmanoma. Bet šifruotus duomenis apsaugoti galima“, sako D. Zaveckas.

Naudojant šių gamintojų kameras reikėtų atsižvelgti į NKSC rekomendacijas.

1. Kameras ir su jų funkcionalumu susijusią įrangą izoliuoti atskirame fiziniame arba specifiškai parametrizuotame loginiame tinkle, neturinčiame sąsajos su tarnybinėmis ir (ar) darbo stotimis, išeinančiomis į viešą internetą.

2. Su kameromis susijusios techninės ir programinės įrangos atnaujinimų parsisiuntimo vykdymą organizuoti iš NATO ar ES teritorijoje esančių tarnybinių stočių

3. Vykdyti realaus laiko kamerų prievadų aktyvumo ir formuojamų kreipinių auditą, blokuoti perteklines užklausas ar srautus, naudoti ugniasienes su konkrečiam kameros modeliui verifikuotomis prieigos instrukcijomis.

BTT Cloud – lietuviško kapitalo nuolat auganti valdomų IT ir Cloud paslaugų bendrovė. Valdome ir prižiūrime klientų technologijų infrastruktūrą: darbo vietas, periferinę įrangą, tinklus.

Esame įdiegę daugiau nei 2000 įvairaus sudėtingumo kompleksinių IT sprendimų, dalis jų apima ir vaizdo stebėjimo sistemų integracijas į verslo klientų technologijų infrastruktūrą.

Susisiekite su mumis

Pasirinkite kaip norite su mumis susisiekti. Galite rezervuoti susitikimą arba galite gauti individualų pasiūlymą. Gavę užklausą susisieksime su jumis per 1 d.d.

Nereikia investuoti į kompetenciją ir motyvaciją
Mokate tik už atliktus darbus
Tiksliai planuojamos, fiksuotos išlaidos IT infrastruktūros išlaikymui
Absoliutus lankstumas valdant paslaugų apimtį pagal poreikį
Ačiū. Jūsų žinutę gavome, susisieksime kaip galima greičiau.
Kažkas ne taip. Bandykite dar kartą.
Ačiū. Jūsų žinutę gavome, susisieksime kaip galima greičiau.
Kažkas ne taip. Bandykite dar kartą.
Ačiū. Jūsų žinutę gavome, susisieksime kaip galima greičiau.
Kažkas ne taip. Bandykite dar kartą.
Ačiū. Jūsų žinutę gavome, susisieksime kaip galima greičiau.
Kažkas ne taip. Bandykite dar kartą.
„Patikimas partneris, kurį galiu rekomenduoti.“
„Džiaugiamės bendradarbiaudami su aukštos kompetencijos partneriu.“
„Turime IT partnerį, kuris žino, ką daro.“

Naujienlaiškis

Ačiū, kad užsiprenumeravote!
Klaida! Bandykite dar kartą.

Prenumeruokite BTT Cloud naujienlaiškį ir gaukite tikrai specialius pasiūlymus pirmieji!

Naujienlaiškis

Prenumeruokite BTT Cloud naujienlaiškį ir gaukite tikrai specialius pasiūlymus pirmieji!

Ačiū, kad užsiprenumeravote!
Klaida! Bandykite dar kartą.
EN