Разведывательное управление Дании PET (Politiets Efterretningstjeneste) отправило официальные уведомления государственным органам Дании с рекомендациями отказаться от установки и использования систем видеонаблюдения КНР Hikvision и Dahua ссылаясь на их киберуязвимость и законы КНР, обязывающие китайские компании помогать разведке КНР.
Полный отчет датской разведки с подробным описанием их опасений, мы рассмотрим в данной статье.
Дания присоединяется к Великобритании и становится второй европейской страной, которая на официальном уровне, с подтверждающей документацией, вводит ограничения в отношение Hikvision и Dahua. Ранее Британские военные выпустили официальное руководство рекомендующее не устанавливать оборудование и программное обеспечение Hikvision.
Что такое PET и почему это важно.
Датская служба безопасности и разведки или PET (Politiets Efterretningstjeneste) является основным агентством, которое обеспечивает национальную безопасность Дании, и описывает себя как служба которая противодействует угрозам свободе, демократии и безопасности в датском обществе. В своей роли национального органа разведки и безопасности PET отвечает за выявление, предотвращение, расследование и противодействие угрозам свободе, демократии и безопасности в датском обществе. Это относится к угрозам в Дании, а также к угрозам, направленным против датских граждан и интересов Дании за рубежом.
Отказ от Hikvision и Dahua.
В декабре 2021 года PET направил письмо в национальную полицию Дании (Rigspolitiet), в котором изложил свои опасения по поводу оборудования Hikvision, Dahua и других производителей из КНР.
Это произошло после того, как в августе 2021 года датские СМИ выразили обеспокоенность по поводу того, что власти Орхуса (второго по величине города Дании) используют около 300 камер Hikvision. В 2020 году датские СМИ также сообщили, что продукция Hikvision и Dahua числится в каталогах государственных закупок и что ВМС Дании также используют Hikvision.
В письме полиции рекомендовалось не использовать китайское оборудование и программное обеспечение, особенно в областях, которые представляют интерес для разведки КНР, таких как общественный транспорт и критически важная инфраструктура.
Что касается систем, подключенных к Интернету («открытых»), PET отмечает, что Закон о разведке Китая от 2017 года предусматривает, что китайские компании, организации и частные лица, независимо от того, в какой части мира они находятся, обязаны оказывать помощь и отчитываться перед китайскими спецслужбами, по запросу власти. На этом фоне PET рекомендует не использовать китайские системы безопасности, подключенные к Интернету, особенно в областях, которые могут предположительно представлять интерес для китайских спецслужб. Такими областями могут быть направления, связанные с промышленным шпионажем в отношении частного бизнеса, безопасностью высших государственных органов, критической инфраструктуры, общественного транспорта, обороной, безопасностью и готовностью Дании к чрезвычайным ситуациям.
Закон о котором говорится в докладе PET гласит что Китайские компании - "Должны поддерживать, помогать и сотрудничать с национальной разведкой" [Статья 7, Закон о разведке, 2017 КНР].
Уязвимости Hikvision и Dahua
Также в своем письме одним из пунктов в поддержку своей рекомендации PET, ссылается на две конкретные уязвимости Hikvision и неуказанные уязвимости Dahua, которые могут быть использованы в злонамеренных целях.
В PET есть информация о двух конкретных уязвимостях в конкретных камерах от Hikvision. Две уязвимости зарегистрированы в Национальной базе данных уязвимостей США (NVD) под соответствующим номером. CVE-2017-7921 и CVE-2017-7923. Кроме того, PET известно о дополнительных уязвимостях в китайских IP-камерах, в том числе в камерах Hikvision и Dahua.
Эти уязвимости были подробно описаны в 2017 году в Hikvision Backdoor Exploit и Hikvision Backdoor Confirmed. В то же время у Dahua также были обнаружены серьезные уязвимости. Например регистраторы Dahua подвергались массовому взлому.
PET не упомянул более свежие, а также критические уязвимости обеих компаний от 2021 года: «критическую уязвимость самого высокого уровня» Hikvision и уязвимость Dahua, позволяющие использовать их оборудование в создании ботнет сетей.
Рекомендуемые ПЭТ оценки риска включают три фактора.
Факторы которые стоит учитывать при использовании систем Hikvision и Dahua:
- Какие системы подключены к той же сети, что и системы Hikvision и Dahua. Их оборудование подключенное к сети, может быть использовано в качестве точки входа в другие системы в той же сети.
- Насколько критична информация о людях, которые перемещаются в районе установки данных систем.
- Насколько критична информация находящаяся в данных системах. Уязвимости в оборудовании могут использоваться для похищения, удаления или изменения данной информации.
Вероятны новые ограничения в Европе
В Европе усиливается контроль над внедрением решений от Hikvision, Dahua и компаний из КНР. Итальянские и бельгийские СМИ также расследуют использование их правительством решений от Hikvision. В долгосрочной перспективе это делает вероятным, что все больше европейских стран будут вводить ограничения или запреты на использования решений Hikvision, Dahua и компаний из КНР, исходя из соображений национальной и кибербезопасности.
- Ранее Hikvision столкнулся с проблемами в Италии, где они лишились государственного контракта на 65 миллионов €, из-за отсутствия камер с подтверждением соответствия ONVIF.
- И c проблемами во Франции, где в здании Европарламента демонтировали все оборудование Hikvision.
Отказ от решений Hikvision и Dahua в США.
В США борьба с китайскими компаниями, работающими в сфере безопасности началась гораздо раньше.
- Еще во времена администрации Трампа был разработан и принят закон NDAA 2019 года, запрещающий использование Dahua и Hikvision, Huawei, ZTE (и их OEM-производителей) для правительства США, для контрактов финансируемых правительством США, и использования в «критической инфраструктуре» и «национальной безопасности».
- Уже в 2020 году ONVIF начал приостанавливать членство Dahua и Hikvision, Huawei в организации. В 2021 было официально объявлено о том, что продукты данных компаний лишаются доступа к инструментам ONVIF и больше не будут получать подтверждение соответствия ONVIF.
- Администрация Байдена продолжила дело начатое Трампом и внесла изменения и расширение запретов в отношении компаний из КНР работающих в отрасли безопасности и телеком.
- В ноябре 2021 Байден подписал «Закон о безопасном оборудовании», который обязывает FCC заблокировать выдачу новых разрешений на оборудование от Dahua, Hikvision, Huawei, ZTE и Hytera «не позднее, чем через 1 год», что фактически может означать запрет на импорт оборудования данных вендоров в США.