Для видеонаблюдения в Киеве годами закупают камеры Hikvision. У них проблемы с безопасностью, и не только

3349
1

В Киеве работают тысячи камер видеонаблюдения, они выполняют разные задачи: от распознавания номеров авто и лиц до наблюдения за безопасностью в городских школах и садиках. Часто и само оборудование, и его программная часть — от китайского производителя Hikvision. За рубежом к этому бренду много вопросов, он находится в санкционном списке США. Редактор AIN.UA рассказывает, в чем проблема.


Что используют в Киеве

Видеонаблюдение в Киеве работает уже много лет. Основной проект по оснащению столицы камерами и другим оборудованием для мониторинга называется «Безпечне місто», он работает в рамках инициативы Kyiv Smart City. Еще в 2017 году киевские власти говорили о том, что система видеонаблюдения доказала свою эффективность, на тот момент в городе работало порядка 4000 камер. Тогда мэр города Виталий Кличко в эфире канала Newsone рассказывал о случае, когда ребенка выкрали из детсада, но благодаря записям с камер его удалось вернуть.

В 2020 году количество камер в системе городского видеонаблюдения, составило около 7000. Эта система, по официальным данным, позволила сократить количество преступлений в городе: криминогенная обстановка улучшилась на 37%.

Для чего нужны эти тысячи камер? Они наблюдают за местами отдыха, парками и улицами, мониторят трафик на дорогах, следят за школами и садиками, распознают лица людей. В прошлом году у КГГА даже была идея закупить камеры, которые бы замеряли температуру в толпе, чтобы бороться с распространением коронавируса (тендер на закупку этого оборудования позднее отменили из-за несовершенства оборудования и резонанса вокруг ненужной закупки). По данным издания Liga.Tech, которое ссылается на информацию Kyiv Smart City, на конец 2019 года на создание такой системы видеонаблюдения город потратил примерно 450 млн грн.

Часто эти камеры и их программное обеспечение — от китайского производителя Hikvision. В этом можно убедиться, посмотрев на тендеры на закупку оборудования для систем видеонаблюдения, которые проводит КГГА через свое предприятие «Информатика», например:

  • Тендер на камеры с интеллектуальной аналитикой дорожного движения, который проводился в апреле 2021 года, в результате заключен договор на сумму около 2,6 млн грн, предмет закупки: IP-камеры модели iDS-TCD203-A от Hikvision.
  • Запуск в 2019 году нового аналитического модуля для системы «Безпечне місто» для поиска преступников в толпе: изображения с камер сравнивают с базой правонарушителей, и при совпадении отправляют сигнал оператору. Этот модуль — часть комплекса Единого центра обработки данных, аппаратная и программная часть — разработка Hikvision.
  • Договор на 6,9 млн, который включает закупку камеры распознавания лиц Hikvision DS-2CD3686G2T для видеонаблюдения в киевском метро, и т.д.

По данным Liga.Tech, камер этого бренда в городе большинство. По словам представителя компании Hikvision Анатолия Сторожко, которого цитирует издание, плюс этого оборудования в том, что аналитика данных проводится в самом устройстве, а на сервер можно слать только метаданные — результаты обработки. Это экономит время и вычислительные устройства серверов.

Но у решений Hikvision есть и проблемы с безопасностью, о которых пишут давно.

Почему к камерам Hikvision есть вопросы

Hikvision — один из ведущих производителей систем для видеонаблюдения в мире. Но у оборудования Hikvision есть несколько особенностей. Во-первых, от него отказываются в Европе и США за то, что компания причастна к нарушениям прав человека. Во-вторых, специалисты по кибербезопасности и видеонаблюдению много раз отчитывались о бекдорах, найденных в этих камерах. Разберем эти особенности по порядку.

Нарушение прав человека и санкции

Hikvision является поставщиком оборудования в китайские «лагеря перевоспитания», где содержатся уйгуры. Европарламент установил камеры Hikvision для замеров температуры в 2020 году. Но из-за ситуации с лагерями в апреле 2021 года 89,4% членов Европарламента проголосовали за то, чтобы демонтировать это оборудование. Еще до этого голосования голосования СМИ сообщали, что тысячи сотрудников организаций Евросоюза отказывались от этого оборудования.

В 2020 году совет по этике правительственного норвежского фонда Government Pension Fund Global, который инвестирует прибыли от добычи нефти и газа в различные компании, рекомендовал исключить Hangzhou Hikvision Digital Technology Co Ltd из претендентов на инвестиции. По причине того, что «компания вовлечена в серьезные нарушения прав человека».

Также компания находится под санкциями США — с 2019 года американским правительственным учреждениям запрещено закупать и устанавливать это оборудование. Это также означает, что американские предприятия, в том числе, из сферы IT и телекома не могут с ней работать. К примеру, организация ONVIF, которая разрабатывает стандартизованные протоколы связи для IP-камер, отказала бренду в сертификации и отстранила их от своей работы.

Проблемы с безопасностью

Камеры Hikvision много раз попадали в поле зрения специалистов по безопасности. Например, еще в 2016 году на форумах появились обсуждения о том, что в камерах есть бекдор, позволяющий удаленно получить полный доступ к устройству (доступ админа), и что разумнее всего отключить камеры от интернета.

В 2017 году наличие бекдора подтвердили в американской государственной организации, следящей за кибербезопасностью ICS-CERT. Специалисты этой организации сообщили, что в камерах моделей DS-2CD2xx2F-I Series, DS-2CD2xx2FWD Series, DS-2CD4xx5 Series и других есть уязвимость, которая позволяет получить удаленный доступ к устройству, не требуя при этом от исполнителя особых «хакерских» навыков. Еще до этого объявления камеры Hikvision неоднократно попадали в публикации о рисках безопасности (примеры: 1,2,3). В компании в ответ на отчет ICS-CERT выпустили обновление для софта камер.

Но проблема с уязвимостью осталась. Например, в 2019 году литовский исследователь Томас Савенас написал об уязвимости в оборудовании Hikvision, которая позволяет получить админские права, плюс пароли всех пользователей системы в plain-text.

«Меня пару раз попросили протестировать местные сети безопасности и я обратил внимание на уязвимость в камерах Hikvision. Эксплойт публично доступен, работает через обычный HTTP-запрос. Полное описание этого бекдора можно найти здесь», — пишет он.

В компании Secur, которая занимается системами безопасности, говорят о том, что бекдоры в камерах Hikvision с 2017 года в целом позакрывали, но санкции (и в том числе, приостановление членства в ONVIF) — до сих пор актуальны. «Бэкдоры периодически обнаруживают, их закрывают, обнаруживают новые, это — бесконечный цикл», — говорят в компании. Отметим, что к оборудованию Hikvision у специалистов по безопасности — повышенное внимание по сравнению с другими вендорами оборудования для видеонаблюдения.

Основная причина: его рассматривают как инструмент геополитического влияния Китая, считают, что компания создана и контролируется этим государством.

По данным Bloomberg и других СМИ, эта компания на 42% — государственная. Ее акционеры: государственные China Electronics Technology Group (CETC), China Electronics Technology HIK Group Co., LTD (CETHIK) и CETC No. 52 Research Institute. В то же время Hikvision позиционирует себя как независимая компания.

Чтобы оценить безопасность таких камер, можно, к примеру, зайти на поисковик shodan.io, который ищет уязвимые устройства в сети, ввести название бренда Hikvision и посмотреть, сколько устройств находится в открытом доступе с IP-адрессами. А зная IP-адрес, злоумышленник может нагуглить алгоритм взлома.

Как AIN.UA рассказали в IPVM, специализированном американском издании, которое тестирует камеры безопасности, у более дорогих камер Hikvision (с приставкой Ultra или Pro в названии), как решения для городской системы наблюдения, есть и плюсы по сравнению с другими брендами: качество, относительная надежность. Но с точки зрения программного обеспечения Hikvision слабее конкурентов. «Их рекордеры и система управления записью видео не имеют столько же функций и не являются настолько же простыми в использовании в городе, как Milestone или Genetec, которые используются чаще», — говорят в IPVM.

Что же касается упомянутого в статье модуля распознавания лиц, в IPVM не тестировали отдельно софт Hikvision. Но тесты камер с функциями распознавания лиц (которые используются в Киеве) показали, что они справляются не особо хорошо. Что же касается потенциальных связей с Китаем, в компании говорят следующее:

«Мы не можем с уверенностью говорить об этом, не зная, какая версия использовалась и в какой конфигурации. Если у оборудования включено подключение к облаку (Hik-Connect), оно будет слать исходящие запросы, но не всегда в Китай. Во время наших тестов пару лет назад запросы шли на серверы AWS в США. Однако стоит добавить, что как только эти данные достигают AWS, мы не знаем, кто получает к ним доступ. Нельзя исключать вероятность, что данные попадают в Китай, но мы это не проверяли», — говорят в компании.

Комментарий о камерах КГГА

КГГА в ответе на запрос AIN.UA по этой теме отметила следующее:

  • В связи с тем, что с начала создания системы видеонаблюдения в Киеве и клауд-платформы центра обработки данных использовалось оборудование Hikvision, в дальнейшем в технических условиях указывали требования по технической совместимости с ним.
  • У система видеонаблюдения Киева есть выстроенная комплексная система защиты информации. Аттестат соответствия на нее зарегистрирован в администрации Госспецсвязи №20798, он действителен до 2024 года.
  • В городском дата-центре на ул. Дегтяревской создана система защиты информации, которая соответствует требованиям нормативных документов по технической защите информаици и подтверждается аттестатом Госспецсвязи №20979, действительным до 2024 года.
  • На сегодня в системе видеонаблюдения Киева работает 6705 камер, в том числе, 224 специализированные камеры распознавания лиц.
Оставить комментарий

Комментарии | 1

  • ONVIF — это вот и есть главная дыра во всех IP-камерах. Хиквижн — неплохие камеры и ЕДИНСТВЕННЫЕ, где можно нормально отключить ONVIF. В целом, не компания-производитель виновата в наличии дыр, а те, кто устанавливает камеры и админы (иногда вынужденно)

Поиск