JAV valstybės institucijos jau ėmėsi priemonių, siekdamos suvaldyti kinų kamerų keliamus saugumo iššūkius. Kokių žingsnių imasi kitos pasaulio šalys ir kaip galima būtų išspręsti šias problemas Europos Sąjungos mastu, kalbamės su didžiausio Europoje saugumo įrangos gamintojo „Mobotix AG“ atstovu, bendrovės pardavimų Šiaurės ir Rytų Europai direktoriumi Tonny Frederiksenu.
JAV viešojo valdymo organams buvo uždrausta ne tik įsigyti naujus Kinijos gamintojų „Hikvision“, „Dahua“ ir „Huawei“ prietaisus, tarp jų taip pat stebėjimo kameras, bet ir buvo įsakyta atsikratyti jau nusipirktų. Kokia situacija Europoje? Ar egzistuoja atsakymas į potencialias grėsmes ES lygmeniu? Ir konkrečiai Vokietijoje, kur esate įsikūrę?
Šiuo metu Europos Sąjungoje yra vertinamas minimų prekės ženklų produkcijos pavojaus lygis. Tai priklausys nuo to, kokios technologijos yra naudojamos ir kokios organizacijos jas naudoja. Mes nematome, kad situacija panašėtų į šiuo metu susiklosčiusią Jungtinės Amerikos Valstijose. Tačiau pastebime, kad technika dažnai yra pasirenkama pagal finansinius parametrus, o ne technologinius.
Australijos vyriausybė 2018 metais patvirtino „Hikvision“ ir „Duhua“ kamerų šnipinėjimo faktus. Šį pavasarį Lietuvos Nacionalinio kibernetinio saugumo centras irgi įvykdė tyrimą. Analizės išvadose teigiama, kad šalies valstybės įstaigose naudojamos kinų gamintojų kameros turi keturis esminius saugumo pažeidimus: galimybę perimti slaptažodį, net 61 saugumo spragą programinėje įrangoje, ryšį su Rusijoje esančiomis tarnybinėmis stotimis ir tiesioginę gamintojo prieigą prie kameros kaupiamų duomenų. Jūsų žiniomis, ar panašūs tyrimai buvo vykdyti Europos Sąjungos šalyse?
Mūsų žiniomis, tokie tyrimai vyksta, tačiau išvadų dar neturime. Iki šiol matome, kaip valstybės ar itin svarbios infrastruktūros bendrovės naudoja šiuos produktus. Netgi Australijoje, kur išties buvo patvirtinti šnipinėjimo faktai, jie tebėra naudojami ir iš esmės nepaveikė įprastų pardavimų. Kaip minėjau, keliose Europos šalyse vyksta panašūs kaip Australijoje ir Lietuvoje saugumo tyrimai, tai reiškia, kad susirūpinimas buvo išgirstas aukščiausiuose valdžios sluoksniuose.
Lietuvoje pasigirsta balsų, jog susirūpinimas kamerų saugumu nėra pagrįstas – dėl to, kad įrašai yra saugomi nuo interneto prieigos apsaugotose tarnybinėse stotyse. Kokia jūsų nuomonė apie šį pareigūnų argumentą?
Būdų, kaip apsaugoti nuosavą infrastruktūrą, visada yra. Idealiu atveju, uždara sistema yra naudojama būtent tada, kai yra rizika, kad išoriniai prietaisai gali būti pažeidžiami. Tai nėra pats tobuliausias būdas apsisaugoti, tačiau jis naudojamas dažniausiai. Tačiau svarbu turėti mintyje tai, kad norint būti visiškai saugiu, kiekvienas technologinio sprendimo komponentas turi būti maksimaliai kibernetiškai saugiu.
Lietuvoje buvo paskelbtas Vakarų bendrovių vertinimas, kad apie 40 procentų visų naudojamų stebėjimo kamerų yra pažeidžiamos ir neatlaikytų kibernetinių atakų. Ar jūsų vertinimas būtų panašus?
Esu išstudijavęs keletą ataskaitų, kuriose vertinimai yra panašūs į šiuos. Saugumo prasme, bet kuris skaičius aukščiau nulio nebėra priimtinas. Būtent to turėtų siekti visi saugumu besirūpinantys žmonės. Saugumo rodiklis aukščiau nulio reiškia, kad mes darome išlygas teikiamai produkcijai, nuviliame partnerius ir galutinius vartotojus.
Susirūpinimas Kinijos gamintojų teikiama produkcija buvo išreikštas jau prieš keletą metų. Jūsų nuomone, kodėl taip ilgai užtrunka realios situacijos išsiaiškinimas, rezultatų pristatymas visuomenei jai suprantama kalba bei būdais ir pačios problemos sprendimas?
Tam įtakos turi keli faktoriai. Stebėjimo kameros yra naudojamos labai skirtingais tikslais. Kai kurios jų yra labai prastos kokybės, atgyvenusių, tiesiog nebenaudotinų technologijų. Kai kurios kameros yra skirtos tarnauti labai trumpą laiką. Yra daug skirtingų prekės ženklų stebėjimo kamerų, kurios po vieną užima itin menką rinkos dalį. Taigi, didelių resursų reikalaujantis jų tyrimas, statistinių duomenų apdorojimas, o taip pat rinkos dalyvių rizika dėl rinkos plėtros ir finansinių rezultatų yra aiškiai suprantamos priežastys, kodėl tai nevyksta taip sparčiai, kaip galbūt norėtųsi. Be abejo, čia yra ir politinio žaidimo elementų.
Vėlgi, Australijoje, panašiai kaip ir Amerikoje, kai kurios valstybės institucijos šalina netgi prie interneto tinklo neprijungtas kameras, pagamintas Kinijoje – būtent dėl susirūpinimo jų saugumu. Ar manote, kad tai išties reikalinga?
Nesvarbu, kur pagamintas produktas. Jeigu nepasitikite tam tikrai technika, jose taikomomis technologijomis – tai ir nenaudokite jos, juolab, neginkit ar negirkite jos!
Viena stambiausių Kanados saugumo bendrovių „Genetec“ pareiškė, kad iš savo klientų prašys pasirašyti atskirą susitarimą, kuriuo būtų užkirstas kelias bylinėjimuisi dėl įsilaužimų, įvykdytų „Hikvision“ įranga. Galbūt tai yra susiklosčiusios situacijos sprendimas?
Atsakymą galiu tik dar kartą pakartoti. Galime eiti tuo keliu, kai yra pasirašomi dokumentai, ginantys tiekėjo, pardavėjo, instaliuotojo ar naudotojo teisės. Tačiau svarbiausias dalykas yra pasitikėjimas, o ne pasitikėjimo apėjimas parašo padėjimu.
Jūsų vertinimu, kas gresia žmonėms ir valstybėms, kai vaizdo stebėjimo kamerų informacija yra renkama ir perduodama neatskleidžiamoms užsienio valstybių institucijoms?
Grėsmė yra visapusiška. Tai gali skambėti labai dramatiškai, tačiau iš esmės tokiu būdu gali būti perduodama visa informacija – asmeniniai ar privačių bendrovių duomenys, tokie kaip finansiniai skaičiai, banko sąskaitų numeriai, kita jautri asmeninė informacija. Supraskite, jeigu tokią informaciją platintų ir parduotų komercinė organizacija, ji būtų teisiškai už tai atsakinga, nes nuo to priklausytų žmonių turtinė ar asmeninė situacija.
Svarbu ne pats faktas, kad buvo įsilaužta į jūsų gyvenimą ar veiklą. Lygiai taip pat svarbu, kokiu būdu tai buvo padaryta. Įsivaizduokite, jeigu sužinotumėte, kad iš jūsų banko nutekėjo duomenys. Vieną, antrą, trečią kartą. Ar pasitikėtumėte tuo banku, jo teikiamomis paslaugomis? Tas pats galioja visoms institucijoms ir bendrovėms, kurios turi jūsų asmeninės ar verslo informacijos. Pasitikėjimo stoka lemia lėtėjantį ekonominį vystymąsi. Be abejo, tai galima suvaldyti, tačiau pasekmės gali būti sunkios, nes pasitikėjimo atstatymas yra labai ilgas procesas.
Jūsų nuomone, kokių priemonių reikėtų imtis, norint išspręsti šias problemas?
Turėtų būti priimti į konkrečius produktus instaliuotų saugumo priemonių kriterijai. Turi būti įteisinti trečiųjų šalių sertifikatai, patvirtinantys šių saugumo priemonių egzistavimą. Įvežtiniams produktams su tokiais sertifikatais turėtų būti taikomas fiksuotas muito mokestis, o jeigu produkto gamintojas ar platintojas negali pateikti atitinkamų sertifikatų, jam turėtų būti taikomas aukštesnis muito mokestis. Panaši sistema, kuri dabar taikoma automobiliams – tiems, kurie yra mažiau taršūs, taikomas mažesnis muito mokestis. Be abejo, yra dar vienas, politinis sprendimas – vyriausybės gali įvertinti potencialias grėsmes ir priimti atitinkamus sprendimus.
Kodėl Kinijos gaminama produkcija kainuoja kone perpus pigiau, nors kai kada ji yra netgi technologiškai pažangesnė, nei gaminama Vakaruose?
Vienos priežasties, kodėl kainos skiriasi, nėra. Bendrovės gamina skirtingo lygio produkciją – labai žemo lygio, žemo lygio, vidutinio, vidutiniškai aukšto ir aukšto. Dauguma Vakarų bendrovių koncentruojasi į vidutinio, vidutiniškai aukšto ir aukšto lygio produkcijos kūrimą. Šie produktai reikalauja aukštesnės kokybės komponentų, sudėtingesnių testavimo procedūrų ir labiau išvystytos programinės įrangos.
Vėlgi, galėtume palyginti su automobilių pramone. Gali gaminti transporto priemonę su keturiais ratais, sėdynėmis, vairu, elektra nuleidžiamais langais... Tačiau iš kur atsiranda kainų skirtumas? Jis priklauso nuo kokybės ir patikimumo, nuo techninės priežiūros po pardavimo ir nuo tikimybės, kaip dažnai jūsų automobilį tiesiog reikės remontuoti.
Dabar labai sunku teigti, kad tam tikros technologijos yra pažangesnės nei kitos. Viskas priklauso nuo to, kaip jos yra naudojamos, kokį santykį jos turi su realiu pasauliu, kokį potencialą ir investicijų grąžą jūs galite pasiekti.