Данія стала другою європейською країною, що не рекомендує встановлення систем Hikvision та Dahua

 

Розвідувальне управління Данії PET (Politiets Efterretningstjeneste) надіслало офіційні повідомлення державним органам Данії з рекомендаціями відмовитися від встановлення та використання систем відеоспостереження КНР Hikvision і Dahua посилаючись на їхню кіберуразливість та закони КНР, що зобов'язують китайські компанії.

 

Повний звіт датської розвідки з докладним описом їх побоювань, ми розглянемо у цій статті.

 

Данія приєднується до Великобританії і стає другою європейською країною, яка на офіційному рівні, з підтверджуючою документацією, вводить обмеження щодо Hikvision і Dahua. Раніше Британські військові випустили офіційну інструкцію, що рекомендує не встановлювати обладнання та програмне забезпечення Hikvision.

 

Що таке PET і чому це важливо

 

Данська служба безпеки та розвідки - PET (Politiets Efterretningstjeneste) є основним агентством, яке забезпечує національну безпеку Данії, та визначає себе як служба, яка протидіє загрозам свободі, демократії та безпеці в данському суспільстві. У своїй ролі національного органу розвідки та безпеки PET відповідає за виявлення, запобігання, розслідування та протидію загрозам свободи, демократії та безпеки у данському суспільстві. Це стосується загроз у Данії, а також загроз, спрямованих проти данських громадян та інтересів Данії за кордоном.

 

Відмова від Hikvision та Dahua.

 

У грудні 2021 року PET направив листа до національної поліції Данії (Rigspolitiet), в якому виклав свої побоювання з приводу обладнання Hikvision, Dahua та інших виробників з КНР. 

Це сталося після того, як у серпні 2021 року данські ЗМІ висловили занепокоєння з приводу того, що влада Орхуса (другого за величиною міста Данії) використовує близько 300 камер Hikvision. У 2020 році данські ЗМІ також повідомили, що продукція Hikvision та Dahua значиться у каталогах державних закупівель і що ВМС Данії також використовують Hikvision.

 

У листі поліції рекомендувалося не використовувати китайське обладнання та програмне забезпечення, особливо в сферах, які становлять інтерес для розвідки КНР, таких як громадський транспорт та критично важлива інфраструктура.

 

Що стосується систем, підключених до Інтернету («відкритих»), PET зазначає, що Закон про розвідку Китаю від 2017 року передбачає, що китайські компанії, організації та приватні особи, незалежно від того, в якій частині світу вони знаходяться, зобов'язані надавати допомогу та звітувати перед китайськими спецслужбами, на запит влади. На цьому фоні PET рекомендує не використовувати китайські системи безпеки, підключені до Інтернету, особливо для використання в сферах, які можуть представляти інтерес для китайських спецслужб. Такими сферами можуть бути напрямки, пов'язані з промисловим шпигунством, приватного бізнесу, безпекою вищих державних органів, критичної інфраструктури, громадського транспорту, обороною, безпекою та готовністю Данії до надзвичайних ситуацій. 

 

Закон про який йдеться в доповіді PET свідчить, що Китайські компанії - "Мають підтримувати, допомагати та співпрацювати з національною розвідкою" [Стаття 7, Закон про розвідку, 2017 КНР].

 

Уразливості Hikvision и Dahua

 

Також у своєму листі одним із пунктів на підтримку своєї рекомендації PET, посилається на дві конкретні вразливості Hikvision та невказані вразливості Dahua, які можуть бути використані у зловмисних цілях.

 

У PET є інформація про дві конкретні вразливості у конкретних камерах від Hikvision. Дві вразливості зареєстровані у Національній базі даних уразливостей США (NVD) під відповідним номером. CVE-2017-7921 та CVE-2017-7923. Крім того, PET відомо про додаткові вразливості в китайських IP-камерах, у тому числі в камерах Hikvision та Dahua.

 

Ці вразливості були докладно описані у 2017 році у Hikvision Backdoor Exploit та Hikvision Backdoor Confirmed. У той же час у Dahua також було виявлено серйозні вразливості. Наприклад, реєстратори Dahua піддавалися масовому злому.

 

PET не згадав нещодайно знайдены, а також критичні вразливості обох компаній від 2021 року: «критичну вразливість найвищого рівня» Hikvision та Dahua, що дозволяють використовувати їх обладнання у створенні ботнет мереж.

 

Рекомендовані ПЭТ оцінки ризику включають:

 

Фактори, які слід враховувати при використанні систем Hikvision та Dahua:

  •  Які системи підключені до тієї ж мережі, що й системи Hikvision та Dahua. Їх обладнання, підключене до мережі, може бути використане як точка входу в інші системи в тій самій мережі
  •  Наскільки критична інформація про людей, які переміщуються в районі встановлення цих систем
  •  Наскільки критична інформація, що знаходиться в даних системах. Вразливості в устаткуванні можуть використовуватися для викрадення, видалення або зміни цієї інформації

Можливі нові обмеження в Европі

 

У Європі посилюється контроль над впровадженням рішень від Hikvision, Dahua та компаній із КНР. Італійські та бельгійські ЗМІ також розслідують використання їх урядом рішень від Hikvision. У довгостроковій перспективі це робить ймовірним, що все більше європейських країн вводитимуть обмеження або заборони на використання рішень Hikvision, Dahua та компаній з КНР, виходячи з міркувань національної і кібербезпеки.

Відмова від систем Hikvision та Dahua в США.

У США боротьба з китайськими компаніями, що працюють у сфері безпеки, почалася ще раніше.

  • Ще за часів адміністрації Трампа було розроблено та прийнято закон NDAA 2019 року, який забороняє використання Dahua та Hikvision, Huawei, ZTE (та їх OEM-виробників) для уряду США, для контрактів фінансованих урядом США, та використання в «критичній інфраструктурі» та «національній безпеці».
  • Вже у 2020 році ONVIF почав процес призупинки членства Dahua, Huawei та Hikvision в організації. У 2021 році було офіційно оголошено про те, що продукти даних компаній позбавляються доступу до інструментів ONVIF і більше не будуть отримувати підтвердження відповідності ONVIF.
  • Адміністрація Байден продовжила справу розпочату Трампом і внесла зміни та розширення заборон щодо компаній з КНР у галузі безпеки та телекомунікацій.
  • У листопаді 2021 року Байден підписав «Закон про безпечне обладнання», який зобов'язує FCC заблокувати видачу нових дозволів на обладнання від Dahua, Hikvision, Huawei, ZTE та Hytera «не пізніше, ніж через 1 рік», що фактично може означати заборону на імпорт обладнання даних вендорів у США.