Дания стала второй европейской страной, не рекомендующей установку систем Hikvision и Dahua

 

Разведывательное управление Дании PET (Politiets Efterretningstjeneste) отправило официальные уведомления государственным органам Дании с рекомендациями отказаться от установки и использования систем видеонаблюдения КНР Hikvision и Dahua ссылаясь на их киберуязвимость и законы КНР, обязывающие китайские компании помогать разведке КНР.

 

Полный отчет датской разведки с подробным описанием их опасений, мы рассмотрим в данной статье.

 

Дания присоединяется к Великобритании и становится второй европейской страной, которая на официальном уровне, с подтверждающей документацией, вводит ограничения в отношение Hikvision и Dahua. Ранее Британские военные выпустили официальное руководство рекомендующее не устанавливать оборудование и программное обеспечение Hikvision.

 

Что такое PET и почему это важно.

 

Датская служба безопасности и разведки или PET (Politiets Efterretningstjeneste) является основным агентством, которое обеспечивает национальную безопасность Дании, и описывает себя как служба которая противодействует угрозам свободе, демократии и безопасности в датском обществе. В своей роли национального органа разведки и безопасности PET отвечает за выявление, предотвращение, расследование и противодействие угрозам свободе, демократии и безопасности в датском обществе. Это относится к угрозам в Дании, а также к угрозам, направленным против датских граждан и интересов Дании за рубежом.

 

        Отказ от  Hikvision и Dahua.

 

 

 

В декабре 2021 года PET направил письмо в национальную полицию Дании (Rigspolitiet), в котором изложил свои опасения по поводу оборудования Hikvision, Dahua и других производителей из КНР. 

Это произошло после того, как в августе 2021 года датские СМИ выразили обеспокоенность по поводу того, что власти Орхуса (второго по величине города Дании) используют около 300 камер Hikvision. В 2020 году датские СМИ также сообщили, что продукция Hikvision и Dahua числится в каталогах государственных закупок и что ВМС Дании также используют Hikvision.

 

В письме полиции рекомендовалось не использовать китайское оборудование и программное обеспечение, особенно в областях, которые представляют интерес для разведки КНР, таких как общественный транспорт и критически важная инфраструктура.

 

Что касается систем, подключенных к Интернету («открытых»), PET отмечает, что Закон о разведке Китая от 2017 года предусматривает, что китайские компании, организации и частные лица, независимо от того, в какой части мира они находятся, обязаны оказывать помощь и отчитываться перед китайскими спецслужбами, по запросу власти. На этом фоне PET рекомендует не использовать  китайские системы безопасности, подключенные к Интернету, особенно в областях, которые могут предположительно представлять интерес для китайских спецслужб. Такими областями могут быть направления, связанные с промышленным шпионажем в отношении частного бизнеса, безопасностью высших государственных органов, критической инфраструктуры, общественного транспорта, обороной, безопасностью и готовностью Дании к чрезвычайным ситуациям. 

 

Закон о котором говорится в докладе PET гласит что Китайские компании - "Должны поддерживать, помогать и сотрудничать с национальной разведкой" [Статья 7, Закон о разведке, 2017 КНР].

 

        Уязвимости Hikvision и Dahua

 

Также в своем письме одним из пунктов в поддержку своей рекомендации PET, ссылается на две конкретные уязвимости Hikvision и неуказанные уязвимости Dahua, которые могут быть использованы в злонамеренных целях.

 

В PET есть информация о двух конкретных уязвимостях в конкретных камерах от Hikvision. Две уязвимости зарегистрированы в Национальной базе данных уязвимостей США (NVD) под соответствующим номером. CVE-2017-7921 и CVE-2017-7923. Кроме того, PET известно о дополнительных уязвимостях в китайских IP-камерах, в том числе в камерах Hikvision и Dahua.

 

Эти уязвимости были подробно описаны в 2017 году в Hikvision Backdoor Exploit и Hikvision Backdoor Confirmed. В то же время у Dahua также были обнаружены серьезные уязвимости. Например регистраторы Dahua подвергались массовому взлому.

 

PET не упомянул более свежие, а также критические уязвимости обеих компаний от 2021 года: «критическую уязвимость самого высокого уровня» Hikvision и уязвимость Dahua, позволяющие использовать их оборудование в создании ботнет сетей.

 

Рекомендуемые ПЭТ оценки риска включают три фактора.

 

Факторы которые стоит учитывать при использовании систем Hikvision и Dahua:

  • Какие системы подключены к той же сети, что и системы Hikvision и Dahua. Их оборудование подключенное к сети, может быть использовано в качестве точки входа в другие системы в той же сети.
  • Насколько критична информация о людях, которые перемещаются в районе установки данных систем.
  • Насколько критична информация находящаяся в данных системах. Уязвимости в оборудовании могут использоваться для похищения, удаления или изменения данной информации.

Вероятны новые ограничения в Европе

 

В Европе усиливается контроль над внедрением решений от Hikvision, Dahua и компаний из КНР. Итальянские и бельгийские СМИ также расследуют использование их правительством решений от Hikvision. В долгосрочной перспективе это делает вероятным, что все больше европейских стран будут вводить ограничения или запреты на использования решений Hikvision, Dahua и компаний из КНР, исходя из соображений национальной и кибербезопасности.

Отказ от решений Hikvision и Dahua в США.

В США борьба с китайскими компаниями, работающими в сфере безопасности началась гораздо раньше.

  • Еще во времена администрации Трампа был разработан и принят закон NDAA 2019 года, запрещающий использование Dahua и Hikvision, Huawei, ZTE (и их OEM-производителей) для правительства США, для контрактов финансируемых правительством США, и использования в «критической инфраструктуре» и «национальной безопасности».
  • Уже в 2020 году ONVIF начал приостанавливать членство Dahua и Hikvision, Huawei в организации. В 2021 было официально объявлено о том, что продукты данных компаний лишаются доступа к инструментам ONVIF и больше не будут получать подтверждение соответствия ONVIF.
  • Администрация Байдена продолжила дело начатое Трампом и внесла изменения и расширение запретов в отношении компаний из КНР работающих в отрасли безопасности и телеком.
  • В ноябре 2021 Байден подписал «Закон о безопасном оборудовании», который обязывает FCC заблокировать выдачу новых разрешений на оборудование от Dahua, Hikvision, Huawei, ZTE и Hytera «не позднее, чем через 1 год», что фактически может означать запрет на импорт оборудования данных вендоров в США.