Înainte de publicarea investigației „Ochi chinezești la Deveselu. Sistemele de supraveghere din China, interzise în SUA și UK, veghează unitățile Armatei Române”, Europa Liberă a solicitat puncte de vedere tuturor instituțiilor publice despre care am descoperit că folosesc sisteme video de supraveghere produse în China.
Articolul dezvăluia cum instituții precum Ministerul Apărării, Serviciul Român de Informații, Poliția, Poliția de Frontieră, Inspectoratele pentru Situații de Urgență, Jandarmeria etc. folosesc camere de supraveghere și dispozitive de înregistrare și stocare produse de companiile Hikvision și Dahua.
Cele două sunt controlate de regimul comunist de la Beijing și sunt interzise total sau parțial în SUA, Marea Britanie și Australia, acolo unde guvernele se tem că echipamentele lor ar putea fi folosite în scop de spionaj de către China.
În Ucraina, cei doi producători sunt incluși pe o listă „sponsorilor internaționali ai războiului” pentru plățile către Moscova și vânzările de echipamente care au aplicații militare.
În România, Europa Liberă a descoperit camere Hikvision și Dahua în cel puțin 28 de unități militare din țară – inclusiv cea de la Deveselu, care găzduiește scutul NATO anti-rachetă.
Sediul de la Iași al SRI este supravegheat, de asemenea, cu Hikvision și Dahua, la fel ca inspectorate de Poliție precum cele din Olt, Hunedoara, Argeș, Giurgiu, Suceava, Vâlcea, Harghita, Bihor, Cluj, Sibiu, poliții de frontieră precum Iași, Sighetu Marmației, prefecturi – Bacău sau jandarmerii, precum cele din Brașov, Bacău, Cluj, Tulcea.
De ce?, am întrebat aceste instituții.
- Un element comun ale răspunsurilor lor este că achizițiile au fost legale – nimeni nu interzice instituțiilor să cumpere astfel de echipamente, care sunt mai ieftine decât altele de pe piață.
- De asemenea, au mai transmis toate instituțiile în răspunsurile furnizate Europei Libere după publicarea investigației, camerele video și celelalte dispozitive chinezești folosite nu sunt conectate la internet.
Punctele de vedere ale insituțiilor:
Serviciul Român de Informații
Echipamentele tehnice folosite de către Serviciul Român de Informaţii sunt achiziționate cu respectarea principiilor ce guvernează derularea de achiziții publice şi a procedurilor specifice, statuate de Legea nr.98/2016 privind achizițiile publice, cu modificările şi completările ulterioare şi HG nr.395/2016 pentru aprobarea Normelor metodologice de aplicare a prevederilor referitoare la atribuirea contractului de achiziție publică/ acordului-cadru din Legea nr.98/2016 privind achizițiile publice, cu modificările şi completările ulterioare.
Sistemele de supraveghere video de la nivelul instituției noastre sunt încadrate într-un sistem mai amplu de protecție fizică, securizat (cu circuit închis), supus permanent unor analize tehnice de risc, din perspectiva asigurării unui grad optim de securitate în exploatare și, implicit, prevenirii unor riscuri la adresa protecției datelor stocate.
Elemente concrete privind organizarea sistemelor de protecție și apărare, mecanismele de securitate a acestora, precum și producătorul echipamentelor de supraveghere sunt incluse în categoria informațiilor secrete de stat, potrivit art.17 lit.d) din Legea nr.182/2002 privind protecția informațiilor clasificate (cu modificările și completările ulterioare), fiind exceptate de la accesul liber al cetățenilor, potrivit art.12 alin.(1) lit.a) din Legea nr.544/2001 privind liberul acces la informațiile de interes public (cu modificările și completările ulterioare).
Poliția Română
Sistemele de supraveghere video folosite în sediile Inspectoratului General al Poliției Române contribuie la securitatea spațiilor perimetrale, protecția angajaților, transparența și responsabilitatea instituției, având un temei legal și asigurând măsuri de protecție adecvate.
La nivelul unității noastre sunt utilizate sistemele la care faceți referire, iar la momentul achiziției, în cadrul procedurilor de achiziție, au respectat cerințele tehnice cât și standardele internaționale de siguranță si calitate, nefiind interzise în România.
Menționăm că acestea funcționează exclusiv prin rețea internă securizată, neavând acces la internet și posibilitatea conectării la cloud-urile oferite de acești producători.
De asemenea, aceste sisteme de supraveghere video sunt configurate pe rețeaua internă securizată, neconectată la internet, cu gestionare centralizată prin intermediul unor echipamente active de rețea și protejate de un firewall avansat.
Totodată, această structură asigură securitatea datelor prin imposibilitatea accesului extern și aplică măsuri de securitate precum criptarea datelor și autentificarea multi-factor pentru a asigura integritatea și confidențialitatea informațiilor.
Poliția de Frontieră
La nivelul IGPF (Inspectoratul General al Poliției de Frontieră) și implicit la nivelul structurilor PTF (Punct de Trecere a Frontierei) Aeroportuare direct subordonate, sunt instalate sisteme de supraveghere video a căror componență hardware de echipamente de tip camere de supraveghere este diversificată la nivelul mai multor producători (Axis, Samsung, Vivotek, Hikvision și Dahua).
Sistemele de supraveghere video instalate la nivelul IGPF și, implicit, la nivelul structujrilor PTF Aeroportuare direct subordonate au fost achiziționate având drept scop asigurarea unei supravegheri operative atât în zona care va fi destinată spațiului Schengen, cât și în zona non-Schengen, în vederea derulării activităților specifice de supraveghere conform cerințelor din Catalogul Schengen, fiind proiectate și implementate ca și soluții integrate, nefiind posibilă o detaliere a prețurilor pe tip de echipament.
De exemplu, în cadrul proiectului „Complet de supraveghere video în punctele de trecere a frontierei aeroportuare”, finanțate din fondurile UE nerambursabile (Fondul pentru Securitate Internă), valoare totală proiect – 2.298.377,01 lei fără TVA, au fost achiziționate pentru Aeroport Sibiu, Aeroport Cluj, Aeroport Timișoara, Aeroport Târgu Mureș, Aeroport Iași, Aeroport Constanța, Aeroport Bacău, Aeroport Suceava, Aeroport Tulcea, Aeroport Arad, Aeroport Craiova, Aeroport Baia Mare, Aeroport Orarea, Aeroport Satu Mare, Aeroport Băneasa, Aeroport Otopeni, ce au în componență camere video de tip Samsung și Axis.
La nivelul IGPF și implicit la nivelul structurilor PTF Aeroportuare direct subordonate sunt instalate sisteme de supraveghere video a căror stocare a imaginilor se face doar pe NVR-uri aparținând P.F.R. (Poliția de Frontieră Română), în rețeaua de date securizată a P.F.R, și sisteme de supraveghere video care nu fac stocarea efectivă a imaginilor video, permițând doar vizualizarea și monitorizarea on-line, acestea având dezactivate serviciile de Cloud.
Sistemele de supraveghere video instalate la nivelul IGPF și implicit la nivelul structurilor PTF Aeroportuare direct subordonate au fost achiziționate în urma derulării mai multor proceduri de achiziție, tipurile de camere de supraveghere video ofertate respectând în totalitate cerințele tehnice și operaționale solicitate, atribuirea fiind efectuată pe ofertele cu prețul cel mai scăzut.
Camerele video aferente sistemelor de supraveghere video instalate au implementate măsuri de securitate ce implică inclusiv dezactivarea serviciilor de Cloud, acestea nefiind conectate la aplicații informatice/clouduri ale Hikvision sau Dahua.
Ținând cont de cele precizate, subliniem faptul că sistemele de supraveghere video care stochează imagini video funcționează pe o structură de comunicații proprii P.F.R, fiind o rețea de date securizată, neavând acces la Internet.
Totodată, precizăm că sistemele de supraveghere video care nu fac stocarea efectivă a imaginilor video au dezactivate serviciile de salvare în Cloud, accesul pentru vizualizare și monitorizate on-line fiind restricționat doar în anumite locații P.F.R.
Jandarmeria Română
- Echipamentele la care faceți referire au fost achiziționate în baza legislației naționale privind achizițiile publice, acestea îndeplinind în totalitate specificațiile tehnice solicitate.
- În prezent, legislația națională nu impune restricții referitoare la achiziționarea de echipamente produse de anumite companii.
- Camerele de supraveghere video utilizate de unitățile Jandarmeriei Române nu sunt conectate la aplicații informatice/cloud-uri oferite de Hikvision sau Dahua, stocarea imaginilor făcându-se într-o rețea de date internă securizată, cu drepturi de acces strict definite, fără acces la Internet.
La nivelul unităților au fost adoptate măsuri care să prevină accesul neautorizat din afara rețelei, precum și reguli pentru restricționarea accesului pentru prevenirea accesării echipamentelor de către personal neautorizat.
Inspectoratul General pentru Situații de Urgență
La nivelul Inspectoratului General pentru Situații de Urgență și al unităților subordonate se folosesc camere/ dispozitive de supraveghere marca Hikvision/Dahua pentru monitorizarea accesului și pentru supravegherea perimetrală, fără a fi conectate la internet (la aplicații informatice sau clouduri oferite de Hikvision/Dahua).
Dispozitivele de supraveghere video au fost achiziționate în urma derulării procedurilor de achiziție publică, cu respectatea cadrului legislative privind achizițiile publice, și implicit, a specificațiilor tehnice solicitate. Totodată, facem precizarea că, în ceea ce privește imaginile stocate de camerele de supraveghere folosite, măsurile de securitate sunt în concordanță cu prevederile legale referitoare la protecția datelor, fiind implementate reguli pentru restricționarea accesului în afara rețelei și restricționarea accesului la echipamente de către personal neautorizat.
Dispozitivele utilizate sunt conectate între ele la o rețea internă, securizată, cu circuit închis (fără access la internet), iar imaginile furnizate sunt stocate pe hard disk-uri DVR-uri (Înregistrator Video Digital) independente, ce sunt protejate cu credențiale de access. DVR-urile sunt amplasate în zone protejate (camera tehnice, dispecerate etc.), unde are acces un număr limitate de persoane, cu atribuții specific pe această linie de muncă.
De asemenea, facem precizarea că în eventualitatea primirii unor notificări/reglementări din partea autorităților desemnate de securitate privind achiziționarea sau utilizarea camerelor/dispozitivelor de supraveghere video mărcile Hikvision sau Dahua, vor fi luate măsuri care se impun pentru implementarea respectivelor dispoziții.
Ministerul Apărării Naționale
Achiziția, de către structurile MApN, a echipamentelor în discuție s-a făcut cu respectarea legislației în vigoare, prin intermediul Sistemului Electronic de Achiziții Publice, prin aplicarea criteriilor privind raportul calitate/preț, în condiţiile în care nu există nicio restricție impusă achiziției produselor respective pe piața din România.
Toate sistemele de supraveghere video instalate în obiectivele militare ale MApN sunt sisteme cu circuit închis, care nu au conexiuni în cloud sau la internet.
Conform reglementărilor în vigoare, toate sistemele video de supraveghere instalate în unitățile militare, incluzând partea hardware – camere video și echipamente de rețelistică și stocare, precum și aplicațiile software prin care sunt operate parcurg proceduri stricte de testare, evaluare de acceptanță și omologare, în urma cărora sunt acreditate, din punct de vedere al securității cibernetice și al protecției și securității informațiilor, de structurile abilitate ale MApN.
În plus, ca măsură suplimentară de siguranță, vă informăm că structurile de specialitate ale MApN desfășoară verificări suplimentare, pe linia protecției și securității informațiilor colectate și stocate, la toate sistemele de supraveghere video instalate în obiectivele militare.
Ce probleme de securitate ar putea apărea?
Europa Liberă a consultat doi experți în securitate cibernetică în legătură cu acest subiect.
Marian Ghenescu, specialist în sisteme video și inginer sisteme de securitate la o companie specializată în securitatea sistemelor video de supraveghere, spune că, în trecut, au fost depistate vulnerabilități la camerele Hikvision și Dahua. Inclusiv mari furnizori de tehnologie antivirus, cum ar fi BitDefender, au observat puncte slabe.
„Au fost raportate cazuri reale, în care aceste camere și dispozitive au fost accesate ilegal și, în plus, au fost folosite chiar pentru acces în alte sisteme decât cel de securitate.
El adaugă că, de regulă, aceste camere sunt folosite în proiectele cu bugete mici.
Expertul în securitate cibernetică și fondator al firmei Pro Defence, Alexandru Angheluș, afirmă că „vulnerabilitățile de securitate asociate de-a lungul timpului cu aceste dispozitive pot permite atacatorilor să acceseze fluxuri video neautorizate, să controleze camerele de la distanță, să intercepteze date sau să lanseze atacuri asupra rețelei la care sunt conectate camerele.”
„Dar totul se poate schimba în funcție de configurările de securitate cibernetică aplicate sistemului din care fac parte”, spune el.
Cele mai expuse sunt camerele conectate la Internet – acestea pot fi controlate de utilizatori prin aplicații puse la dispoziție de producători și permit vizualizarea imaginilor captate direct pe telefon sau computer.
Alexandru Angheluș oferă câteva exemple de incidente cibernetice care pot apărea atunci când dispozitivele sunt conectate la Internet: acces neutorizat la date, interceptarea datelor din cloud, introducerea de malware sau ransomware (virusarea sistemelor informatice), atacurile de tip Denial of Service (DoS) sau blocarea semnalului transmis (Wi-Fi jamming).
Expertul în securitate cibernetică mai notează că astfel de incidente pot apărea la orice producători, nu doar Hikvision sau Dahua, în funcție de securitatea fiecăruia.
Europa Liberă România e pe Google News. Abonați-vă AICI.