Kamery čínské státní firmy dohlíží i na Úřad vlády. Zákon chystaný kyberúřadem to může změnit
Česko nově bude moci prověřovat, jaké firmy si pustí do kritické infrastruktury. V současnosti totiž chybí způsob, jak z dodavatelského řetězce vyloučit společnost, která například pochází ze státu, jenž provádí proti Česku kybernetické útoky. Chystaná legislativa by se mohla kromě čínských technologických firem Huawei a ZTE dotknout také čínských výrobců kamer, které střeží česká ministerstva i Úřad vlády.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravuje nový zákon, který zvýší bezpečnost dodavatelského řetězce pro českou strategickou infrastrukturu, tedy pro vybrané elektrárny, nemocnice nebo úřady.
V současnosti totiž chybí mechanismus, který by umožnil vyhodnotit tzv. bezpečnostní spolehlivost dodavatele a případně nedůvěryhodné dodavatele technologických prvků z kritické infrastruktury vyloučit úplně. To se má změnit.
Počet DDoS útoků na Česko roste. Za říjen jich bylo stejně jako za posledních devět měsíců
Číst článek
„Zákon by měl státu umožnit odhalit nedůvěryhodné dodavatele technologických prvků nejvýznamnější, tzv. strategické infrastruktury České republiky, vyhodnotit míru rizika spojenou s těmito dodavateli a v případě vysokého rizika omezit využití takových dodavatelů v dané infrastruktuře,“ vysvětlil pro iROZHLAS.cz mluvčí úřadu Marek Vala.
Pokud by zákon, jehož přípravou kyberúřad pověřila Bezpečnostní rada státu letos v červnu, vešel v platnost, v české strategické infrastruktuře by se nově nesměly používat technologické prvky dodavatelů, na které byly uvaleny mezinárodní sankce, a také těch, kteří někdy prováděli špionáž ve prospěch cizího státu.
Důvodem k vyloučení by byl také fakt, že je dodavatel vlastněn státem provádějícím kybernetické útoky na Česko či jeho spojence.
Nejen Huawei
Nový zákon by se tak mohl dotknout společností Huawei a ZTE, jak upozornil server Aktuálně.cz, i dalších státních či polostátních firem, jako jsou například firmy Hikvision a Dahua, které jsou předními hráči na poli sledovacích technologií, především bezpečnostních kamer.
O čínských technologických firmách a jejich účasti či neúčasti na budování kritické infrastruktury se v Česku v minulých letech mluvilo v souvislosti s dostavbou jaderného bloku v Dukovanech nebo 5G sítěmi a varováním, které vydal v roce 2018 Národní úřad pro kybernetickou a informační bezpečnost.
Americké ambasády nesmí komunikovat přes čínské Huawei a ZTE. Výzvu obdrželo i Česko
Číst článek
To se týkalo pouze dvou konkrétních čínských firem, již zmíněných Huawei a ZTE, které kyberúřad označil za „bezpečnostní hrozbu“. Což ale neznamenalo zákaz jejich používání v Česku.
Problémem u čínských firem může být tamní právní prostředí, především platný zákon o špionáži a kontrašpionáži, jak argumentoval také NÚKIB ve svém varování z roku 2018.
„Zkrátka každý občan Čínské lidové republiky, jakákoliv právnická nebo fyzická osoba, je povinován spolupracovat s rozvědnými službami nebo obecně se státem, pokud je o to požádán,“ potvrzuje sinolog Filip Jirouš a dodává, že Číňané nemusí být nutně ke spolupráci vyzváni, protože v Číně, obzvláště v oblasti industriální špionáže, funguje systém vnitřních motivací, kdy lidem za předávání informací státu plynou různé finanční či kariérní výhody.
Prokázal to třeba medializovaný případ, kdy ze sídla Africké unie v Addis Abebě, kterou technologicky vybavily Huawei a LTE, odcházela data do Číny.
Na čínské zpravodajské operace na českém území dlouhodobě upozorňuje také Bezpečnostní informační služba. „Čínská zpravodajská činnost je i v České republice nadále na vysoké úrovni a BIS v roce 2021 zaznamenala vlivové operace pohybující se na celém spektru aktivit a platforem ve prospěch čínských zahraničněpolitických zájmů na úkor zájmů ČR,“ píše česká civilní kontrarozvědka ve své poslední výroční zprávě.
Lákavé cíle
Kamery firmy Hikvision se od roku 2018 z důvodu „bezpečnostního rizika“ nesmí používat ve federálních úřadech v USA a ze stejného důvodu jsou od konce letošního září zakázány v dánské Kodani a přilehlém regionu.
Česko se připravuje na přijetí evropské směrnice o kybernetické bezpečnosti, dotkne se asi 6000 subjektů
Číst článek
Odborník na kybernetickou bezpečnost Tomáš Flídr vidí problém především v nedostatečném zabezpečení, které může vést ke zneužití kamer k hackerským útokům.
„Obecně jsou kamery a routery velmi lákavým cílem, protože obsahují řadu zranitelného softwaru, jsou většinou připojené k internetu, takže jsou s oblibou používány právě k DDoS útokům,“ vysvětluje Flídr situaci, kdy útočník „přinutí“ kameru odesílat požadavky na vybranou webovou stránku, čímž ji zahltí a uživatelům se jeví jako nedostupná.
Na problémy spojené s bezpečností kamer upozornila také analýza litevského centra kybernetické bezpečnosti při tamním ministerstvu obrany z května 2020.
Litevští kyberodborníci zjistili, že kamery Hikvision a Dahua obsahují zastaralý software včetně známých bezpečnostních mezer. Ty se daly využít právě ke kyberútokům, jak se v roce 2016 i stalo v případě Dahua. Tehdy byl škodlivým virem infikován téměř milion kamer.
Využitím jiné zranitelnosti zase došlo k odeslání dat z kamer Dahua do Číny a další bezpečnostní díra umožnila stáhnout databázi přihlašovacích jmen a hesel a získat tak neoprávněný přístup ke kameře.
Kyberbezpečnost není věc ajťáků, ale nás všech, říká expertka, která vymýšlí cvičení pro vlády i armády
Číst článek
Po tomto incidentu Dahua vydala aktualizaci softwaru, který zranitelnosti nespravil, jen je posunul do jiné části kódu. Taková praxe se označuje jako „zadní vrátka“ do systému.
Kromě toho Litevci v kamerách obou čínských výrobců zjistili přítomnost protokolu, který společnostem Hikvision a Dahua umožňoval vzdálenou kontrolu zařízení pomocí textových příkazů.
Jen běžné chyby
Litevské kybercentrum test zopakovalo v srpnu 2020 a tentokrát se zaměřilo na kamery s novější verzí systému, u kterých se předpokládá, že známé zranitelnosti již neobsahuje.
Nedostatky v bezpečnostním designu kamer ale komparativní analýza potvrdila, a například bezpečnostních problémů v softwaru kamer Hikvision dokonce přibylo o 35 procent.
Vzhledem k tomu, jaké množství kamer Hikvision a Dahua střeží objekty české veřejné správy, kontaktoval iROZHLAS.cz obě firmy s žádostí o komentář.
Putin a Si Ťin-pching chtějí podkopat mezinárodní systém, říká bývalý poradce Bílého domu
Číst článek
Hikvision skrze komunikační agenturu BCW uvedla, že v roce 2021 bylo firmou FTI Consulting provedeno hodnocení kyberbezpečnosti vybraných zařízení Hikvision a byla také provedena kontrola zdrojového kódu Hikvision, přičemž prý byla zohledněna zjištění litevského kyberbezpečnostního centra z května 2020.
Firma přiznává, že některé potíže, na které Litevci upozornili, skutečně našli, nicméně „celkové hodnocení prokazuje nízká rizika pro důvěrnost, integritu a dostupnost hardwaru a softwaru Hikvision“.
„Jako u jiných zařízení, bezpečnostní zranitelnosti se (i u nás) čas od času objeví. Tyto zranitelnosti se ničím neliší od těch, kterým čelí podobné typy společností, a máme jasný záznam o rychlém opravování takových zranitelností, jakmile jsou identifikovány,“ odpověděla Dahua.
Zase ta lidská práva
K bezpečnostním rizikům se v posledních letech přidaly zprávy o podílu technologických firem Hikvision a Dahua na potlačování lidských práv Ujgurů, etnické menšiny žijící v čínské provincii Sin-ťiang, většinově vyznávající islám.
Firmy Hikvision a Dahua získaly jen v letech 2016 a 2017 zakázky na výstavbu sledovacích systémů napříč Sin-ťiangem v přepočtu za stovky milionů dolarů. Pro čínské zákazníky nabízí firma Hikvision také speciální vybavení, jako je například „výslechový set“.
Obě společnosti podíl na porušování lidských práv v provincii Sin-ťang odmítají: „Dahua nikdy nevyvíjela a nikdy ani nebude vyvíjet řešení zacílená na konkrétní etnickou, rasovou nebo národnostní skupinu. Kategoricky odmítáme jakákoliv obvinění o zapojení naší společnosti do porušování lidských práv.“
Podle zjištění novináře Charlese Roletta, který se zaměřuje na sledovací kamery, právě přesně tohle Dahua dělá: Rollet v polovině října přišel se zjištěním, že Dahua přímo na webových stránkách inzeruje kamery, které dokážou rozpoznávat rasu, barvu kůže nebo označit osobu, která pochází z provincie Sin-ťinag či z Tibetu.
Také Hikvision prostřednictvím PR firmy BCW serveru iROZHLAS.cz vzkázala, že „bere všechny zprávy ohledně lidských práv velmi vážně a uznává svou zodpovědnost za ochranu lidí a majetku“ a dodala, že „se komunikuje s vládami po celém světě, aby vyjasnila nedorozumění ohledně Hikvision a adresovala jejich obavy“.
Porušování lidských práv ujgurské menšiny ze strany čínského státu potvrdila nedávná zpráva vysoké komisařky OSN pro lidská práva, na kterou se čekalo několik let a Čína se snažila její publikaci zabránit.
V dokumentu se mimo jiné píše o tom, že pod záminkou boje proti terorismu je Ujgurům upíráno právo na soukromí neustálým monitoringem pomocí checkpointů a všudypřítomných kamerových systémů.