Echipamente de supraveghere chinezești suspectate de spionaj în SUA și Marea Britanie sunt folosite de Armata Română în puncte strategice. Europa Liberă le-a identificat în zeci de unități militare, însă Ministerul Apărării dă asigurări că sistemele de supraveghere sunt securizate. Aceleași tehnologii sunt folosite de sute de instituții din România, inclusiv SRI, poliție, jandarmerie, vămi, prefecturi sau în Palatul Parlamentului, la Senat.
Pe 16 ianuarie 2024, puțin după ora prânzului, un angajat al Unității Militare 01871 de la Deveselu a accesat platforma de achiziții publice din România.
În câteva minute, militarul a cumpărat pentru instituția la care lucrează componente pentru sistemul de supraveghere video a unității – switch cu opt porturi și două camere video capabile să filmeze cu infraroșu până la 150 de metri.
Switch-ul a costat 213 lei, în timp ce camerele 3.792 de lei – aproape 1.900 de lei bucata.
Dispozitivele au fost livrate de o firmă din București și sunt folosite pentru supravegherea video a uneia dintre cele mai importante unități militare din țară, unde se află scutul antirachetă NATO de la Deveselu, în județul Olt din sudul României.
Cele două echipamente de supraveghere cumpărate pe 16 ianuarie din birourile Armatei Române de la Deveselu sunt produse de Hikvision, o companie chineză controlată în mod direct de regimul comunist de la Beijing.
Hikvision și Dahua - alt mare producător chinez de echipamente de supraveghere - vând de mai mulți ani în România echipamente de supraveghere video. În 2021, erau instalate aproape 200.000 de dispozitive Hikvision și Dahua conectate la internet – camere de supraveghere IP (internet protocol), DVR-uri (dispozitive care stochează imaginile), videointerfoane etc.
România era a opta piață de desfacere din lume a producătorilor chinezi. În Uniunea Europeană, era pe primul loc.
Ambele companii chineze sunt interzise în Statele Unite din motive de securitate, iar în țări precum Marea Britanie sau Australia, instituțiile guvernamentale au cerut înlăturarea camerelor de supraveghere ale Hikvision și Dahua – chiar și cele folosite offline – din motive de securitate națională.
Printre suspiciunile oficialilor americani sau britanici s-a numărat și aceea că persoane din exterior – chiar din afara țării – ar putea accesa imaginile surprinse și stocate de tehnologiile celor două companii. Atât Hikvision, cât și Dahua au negat acuzațiile.
Recent, SBU – serviciul ucrainean de securitate – a dezvăluit că Rusia s-a folosit de camerele montate în Ucraina ale celor doi producători pentru a avea imagini live din țara vecină, în timpul războiului.
Într-un răspuns pentru Europa Liberă, Hikvision susține că „analiza tehnică a produselor Hikvision nu a indicat niciodată că acestea reprezintă o amenințare de securitate pentru nicio țară sau regiune.”
„Camerele Hikvision sunt conforme cu legile și reglementările aplicabile din România și UE și sunt supuse unor cerințe stricte de securitate”, ne-a transmis un purtător de cuvânt al producătorului chinez.
Dahua nu a răspuns solicitării noastre.
De ce cumpără, totuși, Armata Română echipamente de supraveghere produse de companii controlate de statul chinez?
În primul rând – răspunde Ministerul Apărării Naționale (MApN) pentru Europa Liberă – pentru că este legal.
Spre deosebire de partenerii strategici americani sau britanici, în România nu există, într-adevăr, nicio interdicție, nici măcar pentru instituții, de a folosi acest tip de camere.
Sute de instituții supravegheate cu camere Hikvision și Dahua
Europa Liberă a identificat zeci de unități ale Armatei, dar și alte sedii militarizate – inclusiv ale Serviciului Român de Informații – care folosesc echipamente Hikvision și Dahua.
În instituțiile civile, aceste dispozitive sunt omniprezente în ministere, tribunale, vămi, poliție, poliția de frontieră, prefecturi, primării, consilii județene, poliții locale, universități, școli etc.
Chiar și în Palatul Parlamentului, la Senat, unde jurnaliștii Europa Liberă au fotografiat camere Hikvision. Acestora li se adaugă un număr necunoscut de camere montate și folosite de cetățeni sau companii private.
Ministerul Apărării, instituție-cheie în contextul regional generat de invazia neprovocată a Rusiei în Ucraina, spune că echipamentele chinezești montate în unitățile militare nu sunt conectate la internet, ci la rețele proprii, securizate.
Armata garantează astfel că datele nu pot fi accesate din exterior și, din acest motiv, nu consideră că e o problemă să folosească tehnologia chinezească pentru a-și supraveghea unitățile.
De ce e important că nu sunt conectate la internet? Pentru că serverele Hikvision și Dahua se află în China, Rusia sau India. În plus, orice transmisiune de date prin intermediul internetului poate fi – în anumite condiții – interceptată de actori rău-intenționați.
Cât de sigure sunt sistemele?
Sunt dispozitivele de supraveghere offline 100% sigure? În niciun caz, răspunde Alexandru Angheluș, specialist în domeniul securității cibernetice, pentru Europa Liberă. Printre problemele de securitate enumerate de el se numără vulnerabilități ale firmware – adică programele preinstalate care permit funcționarea unui dispozitiv.
„Camerele de supraveghere pot avea vulnerabilități în firmware-ul lor care permit executarea de cod la distanță, injecții de software rău intenționat sau alte forme de exploatare, chiar și fără o conexiune la internet”, spune expertul.
Trebuie să ne imaginăm aceste camere ca fiind mini-calculatoare și ele trebuie tratate în acest fel. Aceasta înseamnă că au vulnerabilități.
Marian Ghenescu, specialist în sisteme video, detaliază: „Trebuie să ne imaginăm aceste camere ca fiind mini-calculatoare și ele trebuie tratate în acest fel. Aceasta înseamnă că au vulnerabilități date de anumite dezvoltări involuntare, pe care le găsim la orice echipament. Însă, pe lângă acestea, se adaugă unele voluntare. Susceptibilitățile sunt mari întrucât, în cazul acestor producători chinezi, guvernul are participațiune în acționariat.”
Atât Hikvision, cât și Dahua au fost acuzate în trecut că ar avea astfel de vulnerabilități în firmware-urile lor. Ambele companii au recunoscut puncte slabe pre-programate, pe care au declarat că le-au remediat prin diferite actualizări, însă au negat că erorile ar fi fost intenționate.
„Vulnerabilitățile sunt o apariție obișnuită și acceptată în codificare și în tehnologie, în sens mai larg. Hikvision are un proces robust pentru a aborda rapid vulnerabilitățile suspectate, pentru a informa clienții despre vulnerabilități și pentru a-i direcționa către patch-uri (reparații - n.red.)”, susține un purtător de cuvânt al Hikvision, pentru Europa Liberă.
Ce unități militare folosesc camerele chinezești?
Europa Liberă a identificat cel puțin 28 de unități militare din România care, în ultimii doi ani, au cumpărat camere sau alte dispozitive de supraveghere de la Hikvision sau Dahua.
Am făcut lista unităților pe baza achizițiilor directe făcute prin platforma de licitații publice din România (SICAP) și a documentării la fața locului. E vorba în general de achiziții cu valori mici, de câteva sute de lei, prin care reprezentanții Armatei au cumpărat în mod direct – fără o procedură de licitație, așadar – astfel de dispozitive.
Nu am reușit să aflăm dacă alte unități militare sunt supravegheate cu Hikvision sau Dahua în urma unor licitații publice atribuite unor companii românești, ale căror oferte comerciale nu sunt publice.
Printre unitățile militare despre care știm sigur că sunt supravegheate cu tehnologia hardware a celor doi producători chinezi se numără și unele cu rol important în securitatea națională, inclusiv în domeniul securității cibernetice.
Comandamentul Apărării Cibernetice, de pildă, instituție înființată prin decizia Consiliului Suprem de Apărare a Țării în 2018, are rolul „de a planifica, organiza, conduce și desfășura acțiuni în spațiul cibernetic”, dar și de a „dezvolta infrastructuri cibernetice militare și servicii de tehnologia informației furnizate utilizatorilor.”
Civilii sau militarii care merg la sediul Comandamentului Apărării Cibernetice din București se prezintă ofițerului de serviciu înainte de a intra în clădire prin intermediul unui videointerfon chinezesc, model Hikvision, descris de producător ca fiind pentru „o familie, cu două posturi de interior”.
Dispozitivul a fost cumpărat pe 13 iulie 2023, cu 1.679 de lei, potrivit SICAP.
Videointerfoane de la Hikvision, ale căror prețuri le fac foarte competitive pe piață, au fost achiziționate în ultimii doi ani de mai multe unități militare din România. Dăm doar câteva exemple, lista e mult mai lungă: Buzău, Sibiu sau Sebeș.
Un astfel de dispozitiv folosește inclusiv Serviciul Român de Informații, la sediul din Iași. Achiziționat în vara anului trecut, cu 1.363 de lei.
Interfon de la Hikvision au cumpărat, în mai anul trecut, Coasta de Gardă și mai multe sedii de Poliție.
Ce spune MApN
Într-un răspuns pentru Europa Liberă, Ministerul Apărării Naționale (MApN) spune că echipamentele Hikvision și Dahua folosite în unitățile militare au fost achiziționate legal, „prin aplicarea criteriilor privind raportul calitate/preț, în condiţiile în care nu există nicio restricție impusă achiziției produselor respective pe piața din România.”
Toate sistemele de supraveghere video instalate în obiectivele militare ale MApN sunt sisteme cu circuit închis și nu au conexiuni în cloud sau la internet, asigură reprezentanții instituției.
„Toate sistemele video de supraveghere instalate în unitățile militare, incluzând partea hardware – camere video și echipamente de rețelistică și stocare, precum și aplicațiile software prin care sunt operate parcurg proceduri stricte de testare, evaluare de acceptanță și omologare, în urma cărora sunt acreditate, din punct de vedere al securității cibernetice și al protecției și securității informațiilor, de structurile abilitate ale MApN”, mai transmite instituția.
„Ca măsură suplimentară de siguranță”, precizează comunicatul, MApN „desfășoară verificări suplimentare, pe linia protecției și securității informațiilor colectate și stocate, la toate sistemele de supraveghere video instalate în obiectivele militare.”
Un purtător de cuvânt al Facilității Navale Deveselu – parte a Armatei SUA, responsabilă de sistemul american de apărare antirachetă de la Deveselu – a precizat pentru Europa Liberă că „ar fi nepotrivit să comentăm cumpărăturile militare românești”.
„Cu toate acestea, suntem angajați într-un parteneriat puternic cu omologii noștri militari români și vom continua să lucrăm împreună pentru a sprijini și promova securitatea în întreaga regiune și în apărarea colectivă a NATO. Suntem recunoscători pentru protecția și securitatea forțelor oferite de omologii noștri români de la Deveselu.”
Sediu SRI păzit cu tehnologie chinezească
Unităților militare supravegheate cu dispozitive ale celor doi producători chinezi li se adaugă sute de alte instituții publice din toată țara.
Pe listă se află, de pildă, sediul Serviciului Român de Informații de la Iași, unde activează unitatea regională pe Moldova a serviciului secret.
Clădirea, situată în centrul orașului, este supravegheată din toate colțurile de camere video achiziționate atât de la Hikvision, cât și de la Dahua.
Serviciul Român de Informații este instituția desemnată de Consiliul Suprem de Apărare a Țării (CSAT) ca „autoritate națională în domeniul cyber intelligence”. Adică acele informații care ar trebui să ajute la prevenirea unor atacuri cibernetice.
Europa Liberă a întrebat SRI de ce își supraveghează clădirile cu tehnologii ale unor producători chinezi interziși în unele state NATO, însă nu am primit un răspuns până la publicarea acestui articol.
Contactat telefonic, generalul SRI Anton Rog, șeful Centrului Național Cyberint din Serviciul Român de Informații, a refuzat să ofere un comentariu pe acest subiect.
Și Poliția Română își supraveghează clădirile cu camere Hikvision și Dahua.
Europa Liberă a identificat 10 inspectorate județene – Olt, Hunedoara, Argeș, Giurgiu, Suceava, Vâlcea, Harghita, Bihor, Cluj, Sibiu – care au achiziționat astfel de tehnologii.
Am solicitat cu câteva zile înainte de publicarea acestui articol un punct de vedere de la Inspectoratul General al Poliției Române, însă nu am primit un răspuns.
Poliția de Frontieră, instituția care verifică cine intră și cine iese din țară, folosește, de asemenea, camere de la Hikvision și Dahua, dar și de la alți producători – Axis, Samsung, Vivotek.
Într-un răspuns pentru Europa Liberă, Inspectoratul General al Poliției de Frontieră spune că sistemele au fost cumpărate prin achiziții publice în care s-a ținut cont de prețul cel mai mic și că acestea „respectă în totalitate cerințele tehnice și operaționale solicitate”.
„Camerele video aferente sistemelor de supraveghere video instalate au măsuri de securitate ce implică inclusiv dezactivarea serviciilor de Cloud, acestea nefiind conectate la aplicații informatice/cloud ale Hikvision sau Dahua”, ne-a transmis Poliția de Frontieră.
Poliția de Frontieră mai dă asigurări că are propria infrastructură de comunicații – o rețea de date securizată, neconectată la internet.
Lista instituțiilor care se păzesc cu Hikvision și Dahua mai cuprinde: Apele Române, zeci de spitale, servicii de ambulanță, CFR – în gări, penitenciare – precum cele de la Slobozia, Severin, Iași, Codlea, Ploiești sau Rahova, inspectorate pentru situații de urgență – Botoșani, Satu Mare, Brașov, poliții locale – Sector 2 București, Satu Mare, Craiova, poliții de frontieră – Iași, Sighetu Marmației, prefecturi – Bacău, jandarmerii – Brașov, Bacău, Cluj, Tulcea sau aeroporturi – „Traian Vuia” din Timișoara.
Jandarmeria Română susține într-un răspuns trimis Europei Libere că a achiziționat echipamentele chinezești „în baza legislației naționale privind achizițiile publice”.
„Camere de supraveghere video utilizate de unitățile Jandarmeriei Române nu sunt conectate la aplicații informatice/clouduri oferite de Hikvision sau Dahua, stocarea imaginilor făcându-se într-o rețea de date internă securizată, cu drepturi de acces strict definite, fără acces la Internet”.
Printre instituțiile care folosesc Hikvision sau Dahua se numără și unele judiciare, precum Direcţia de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism (DIICOT), Tribunalul Ilfov sau Parchetul Militar Iași.
Ce probleme de securitate ar putea apărea?
Europa Liberă a consultat doi experți în securitate cibernetică despre acest subiect.
Marian Ghenescu este specialist sisteme video și inginer sisteme de securitate la Softrust Vision Analytics SA, o companie specializată în securitatea sistemelor video de supraveghere.
El spune că, în trecut, au fost depistate vulnerabilități la camerele Hikvision și Dahua inclusiv de către mari furnizori de tehnologie antivirus, cum ar fi BitDefender.
„Au fost raportate cazuri reale, în care aceste camere și dispozitive au fost accesate ilegal și, în plus, au fost folosite chiar pentru acces în alte sisteme decât cel de securitate.
De exemplu, prin intermediul sistemului de securitate și accesând camere video, au fost accesate chiar sistemele interne de IT. Practic, au fost depășite barierele de securitate pentru aceste camere, ele au devenit o poartă de intrare în rețeaua IT”, spune Marian Ghenescu.
El adaugă că, de regulă, aceste camere sunt folosite în proiectele cu bugete scăzute, atât pentru echipamente, cât și pentru montaj.
„Prin urmare, și serviciile pe care diferiți integratori sau instalatori le oferă folosind aceste echipamente nu sunt de cea mai bună calitate. Astfel, sistemul devine vulnerabil și datorită setărilor rapide, rudimentare și necorespunzătoare”, completează Ghenescu.
Alexandru Angheluș este expert în securitate cibernetică și fondator al firmei Pro Defence.
El spune că „vulnerabilitățile de securitate asociate de-a lungul timpului cu aceste dispozitive pot permite atacatorilor să acceseze fluxuri video neautorizate, să controleze camerele de la distanță, să intercepteze date sau să lanseze atacuri asupra rețelei la care sunt conectate camerele.”
„Dar totul se poate schimba în funcție de configurările de securitate cibernetică aplicate sistemului din care fac parte”, spune el.
Cele mai expuse sunt camerele conectate la Internet – acestea pot fi controlate de utilizatori prin aplicații puse la dispoziție de producători și permit vizualizarea imaginilor captate direct pe telefon sau computer.
Alexandru Angheluș oferă câteva exemple de incidente cibernetice care pot apărea atunci când dispozitivele sunt conectate la Internet: acces neutorizat la date, interceptarea datelor din cloud, introducerea de malware sau ransomware (virusarea sistemelor informatice), atacurile de tip Denial of Service (DoS) sau blocarea semnalului transmis (Wi-Fi jamming).
Expertul în securitate cibernetică mai notează că astfel de incidente pot apărea la orice producători, nu doar Hikvision sau Dahua, în funcție de securitatea fiecăruia.
Ar putea instituțiile publice să nu cumpere de la Hikvision și Dahua?
O interdicție specifică în acest sens nu există. Cu atât mai mult cu cât cei doi producători nu participă în mod direct la achizițiile publice din România – chiar dacă au reprezentanțe locale.
Cele mai multe produse Hikvision și Dahua ajung pe clădirile sau gardurile unor instituții publice după ce acestea încheie contracte cu firme locale de securitate, care, la rândul lor, cumpără și vând mai departe produse Hikvision și Dahua.
Acum câteva luni, deputatul REPER Cătălin Teniță a atras atenția public că o unitate a Armatei tocmai cumpărase DVR-uri (dispozitive de stocare) de la Hikvision, ceea ce, în opinia sa, era „o vulnerabilitate majoră în structura de securitate”.
Teniță spune că a vrut să propună un amendament legislativ care să restricționeze achizițiile din sistemul de apărare de la cei doi producători, dar a constatat că baza legală pentru o astfel de interdicție există deja, în Legea 5G/2021.
Aceasta prevede că „autoritățile implicate în apărare, ordine publică și securitate națională pot impune, pentru contractele ce cuprind furnizarea de tehnologii și echipamente software esențiale pentru infrastructurile critice, ca producătorii să fie autorizați conform criteriilor specificate în articolul 3.”
„Această prevedere legală deschide posibilitatea eliminării ofertelor neconforme cu standardele de securitate stabilite. Cu toate acestea, este regretabil că, la aproape trei ani de la promulgarea legii, autoritățile executive nu au reușit să implementeze această măsură vitală atât pentru securitatea națională, cât și pentru eficiența serviciilor publice, vulnerabilitate evidențiată prin incidentele repetate de hacking, inclusiv în sistemul de sănătate”, spune deputatul.
Din Senat, acolo unde supravegherea se face cu camere Hikvision, vicepreședintele Comisiei pentru comunicații, tehnologia informației și inteligență artificială, Adrian Trifan (USR), se teme că înregistrările făcute de aceste camere ar putea ajunge în mâinile guvernului comunist din China.
„E o situație gravă care ar trebui clarificată de îndată de instituțiile care folosesc astfel de camere. Și mai trebuie clarificat cum de aceste achiziții au trecut de filtrul CSAT (Consiliul Suprem de Apărare a Țării). Posibilitatea ca înregistrările făcute de aceste camere să ajungă în mâinile guvernului comunist din China este reală”, spune senatorul Adrian Trifan.
SUA, UK și Australia consideră că Hikvision și Dahua prezintă riscuri de securitate națională
În vara anului trecut, IPVM, un grup global de cercetare în industria de securitate și supraveghere, a făcut un test, alături de o echipă de investigații a BBC, pentru a verifica dacă un hacker poate accesa de la distanță imaginile și sunetul captate de două camere Hikvision și Dahua.
A reușit, speculând unele vulnerabilități de sofware despre care cei doi producători au precizat că ar fi fost remediate între timp.
Experimentul, care arăta cum o persoană din New York preluase controlul asupra unor camere de la Londra, a fost publicat de BBC într-o perioadă în care în Marea Britanie avea loc o dezbatere cu privire la posibila folosire a camerelor celor doi producători chinezi în scop de spionaj.
În iunie 2023, Financial Times dezvăluia că Executivul Regatului Unit va cere tuturor departamentelor guvernamentale centrale să dezafecteze echipamentele de supraveghere fabricate de Hikvision și Dahua.
„Aceste noi măsuri vor proteja sectoarele noastre sensibile de companiile care ar putea amenința securitatea națională și sunt o descurajare fermă pentru actorii ostili care doresc să facă rău Marii Britanii”, declara atunci politicianul britanic Jeremy Quin.
Decizia din vara trecută venea după ce, în noiembrie 2022, Biroul Cabinetului britanic transmisese departamentelor guvernamentale să nu mai instaleze echipamente de supraveghere vizuală fabricate de cele două companii chineze.
Hikvision și Dahua au primit o lovitură și mai puternică în SUA, care au interzis în totalitate importul sau vânzarea produselor de telecomunicații și supraveghere video chinezești ale celor doi producători, precum și ale Huawei, ZTE, Hytera Communications - de asemenea, companii din Republica Populară Chineză.
În 2022, Comisia Federală de Comunicații (FCC) din SUA a transmis că echipamente precum cele vândute de Hikvision și Dahua prezintă un risc pentru securitatea națională.
Într-un document clasificat al guvernului american, dezvăluit în aprilie 2023 de BBC, Hikvision era descris ca „partener cu entități de informații chineze” și „folosind relațiile cu revânzătorii pentru a-și deghiza produsele pentru vânzarea furnizorilor guvernamentali”.
Documentul mai menționa că acest lucru a „creat vectori pentru ca Beijingul să compromită rețelele DoD [Departamentul Apărării]”.
Hikvision a negat, la acea vreme, acuzațiile de spionaj.
Cele două companii au probleme și în Australia. În februarie anul trecut, guvernul australian anunța că va elimina toate camerele de supraveghere din instituțiile guvernamentale din cauza temerilor de securitate națională.
Camere folosite de Rusia în Ucraina
De asemenea, Serviciul ucrainean al Europei Libere a dezvăluit la începutul acestei luni că Rusia s-ar fi folosit de două camere din Kiev pentru a avea imagini în timp real în timpul unui atac de pe 2 ianuarie.
Trei persoane au murit în atacul de la începutul anului.
Colegii noștri de la Kiev au dezvăluit că Serviciul de Securitatea de Stat al Ucrainei (SBU) a aflat că serviciile de informații ruse au folosit în timpul războiul camere Hikvision și Dahua „pentru a spiona Forțele de Apărare din capitală” și pentru a înregistra imagini ale „facilităților de infrastructură critică”, potrivit SBU.
Ca și în România, nici în Ucraina nu există o interdicție guvernamentală împotriva Hikvision și Dahua, deși, în 2023, Kievul a numit cei doi producători ca fiind „sponsori internaționali ai războiului” pentru plățile către Moscova și vânzările de echipamente care au aplicații militare.
Un purtător de cuvânt al Ministerului chinez de Externe a declarat pentru Reuters pe 1 februarie anul acesta că Beijingul „se opune ferm” includerii a 14 companii chineze pe această listă și „cere ca Ucraina să-și corecteze imediat greșelile și să elimine impactul negativ”.
Punctul integral de vedere al Hikvision
„Analiza tehnică a produselor Hikvision nu a indicat niciodată că acestea reprezintă o amenințare de securitate pentru nicio țară sau regiune. În calitate de producător care nu supraveghează funcționarea produselor noastre, Hikvision nu are vizibilitate asupra datelor video ale utilizatorilor finali și nu poate accesa datele video ale utilizatorilor finali. Camerele Hikvision sunt conforme cu legile și reglementările românești și UE aplicabile și sunt supuse unor cerințe stricte de securitate.
Hikvision ia foarte în serios securitatea cibernetică și confidențialitatea. Toate produsele sunt dezvoltate și produse având în vedere Secure-by-Design și Privacy-by-Default.
În ultimii câțiva ani, Hikvision a prioritizat și a investit resurse semnificative în extinderea eforturilor sale de securitate cibernetică. Hikvision și produsele sale îndeplinesc standardele industriale recunoscute la nivel internațional pentru siguranță și securitate, iar compania actualizează în mod regulat software-ul și firmware-ul ca parte a angajamentului său de a furniza cele mai sigure și mai fiabile produse posibile. Vulnerabilitățile sunt o apariție obișnuită și acceptată în codificare și în tehnologie, în sens mai larg. Hikvision are un proces robust pentru a aborda rapid vulnerabilitățile suspectate, pentru a informa clienții despre vulnerabilități și pentru a-i direcționa către patch-uri.”
Acest articol a fost actualizat cu punctul de vedere al Jandarmeriei Române.