Suur lugu

Leedu küberturvalisuse keskus leidis hulgaliselt turvanõrkusi kaameratest, mida kasutab laialdaselt Eesti politsei

Hikvisioni valvekaamera.Foto: Shutterstock/Karolis Kavolelis

Leedu küberturvalisuse keskus leidis turvariske Hikvisioni ja Dahua valvekaameratest. Samade tootjate kaameraid kasutab Eestis politsei- ja piirivalveamet (PPA).

Leedukad leidsid kaameratest kokku 61 haavatavust. Samade tootjate kaamerate eest hoiatasid eestlased juba 2018. aastal. PPA on kontrollinud, et nende kasutatavad kaamerad ei suhtleks serveritega, mis ei asu NATO või ELi liikmesriikides.

CERT-LT: Hikvisioni ja Dahua kaamerate üle saab distantsilt juhtimise üle võtta

Leedu kaitseministeeriumi tellimusel teostas riiklik küberturvalisuse keskus (CERT-LT) riskianalüüsi Hiina ettevõtete Hikvision ja Dahua valvekaamerate osas, millest selgub, et kaamerate puhul on oht, et neid saab kaugelt nii-öelda üle võtta küberrünnakute, tarkvaraliste haavatavuste või nõrga paroolihügieeni tõttu.

CERT-LT algatas analüüsi aasta alguses, mil Leedu rahvusringhääling LRT avaldas artikli, kus tõi päevavalgele, et kuigi Leedu liitlane Ameerika Ühendriigid on nimetatud tootjate kaamerate kasutamise ära keelanud, siis olid samad kaamerad Leedus kasutusel piirivalvuritel, politseinikel ja migratsiooniametnikel. Lisaks olid Hiinas toodetud kaamerad paigaldanud ka autodesse, millega sõidutati riigijuhte.

Riskianalüüsis leiti Hikvisioni ja Dahua kaamerate osas kokku 61 haavatavust, näiteks saadavad kaamerad andmeid Venemaal asuvatesse serveritesse, tootjad pääsevad neile distantsilt ligi ning paroolihügieenile on lähenetud kergekäeliselt.

CERT-LT juht Rytis Rainys tõi välja, et paroolid saadetakse kodeerimata kanalite kaudu, paroolid kodeeritakse nõrkade ja väga iganenud algoritmide abil ning seetõttu on liiklust pealt kuulates võimalik paroolid teada saada ning võtta kaamerate üle disantsilt kontroll. Kaamerate tarkvarauuendusi tehakse Hiina IP-aadresside vahendusel läbi Venemaal asuvate serverite.

Kuvatõmmis CERT-LT riskianalüüsist, millest nähtub, et Hikvisioni ja Dahua valvekaamerad suhtlevad Hiina IP-aadreside kaudu Moskvas asuva serveriga.Foto: Kuvatõmmis/CERT-LT

RIA: oleme Hikvisioni ja Dahuaga seotud riskidele varem tähelepanu juhtinud

Riigi infosüsteemi ameti (RIA) intsidentide käsitlemise osakonna (CERT-EE) juhi Tõnu Tammeri sõnul toodi Leedu kolleegide riskianalüüsis välja nii Dahua kui ka Hikvision kaameratega seotud riskid, millele RIA on varasemalt tähelepanu juhtinud. “Meie hinnang võimalike riskide osas ei ole muutunud,” lisas ta.

Loe ka, Eesti politsei kasutab kahtlaseid Hiina kaameraid, mis on USAs turvakaalutlustel keelatud.

RIA ei ole varem konkreetsete tootjate osas ühtegi avalikku sõnavõttu teinud, 2018. aastal avaldatud aastaraamatus pöörati tähelepanu sellele, et Eestis on juba Hiina kaameratesse sisse häkitud, mille tulemusena läks politsei juhtimiskeskuses Harjumaale paigaldatud kaamerate osas pilt mustaks.

Kuigi toona väitis RIA, et kirjeldatud intsidendi puhul ei olnud tegu eelnevalt nimetatud tootjate kaameratega, siis Hikvisioni ja Dahua hinnangu küsimusele vastust andes viitas ameti pressiesindaja Seiko Kuik just toonasele sõnavõtule. Geenius ei ole RIAlt mitme päeva vältel saanud kinnitust ega ümberlükkamist, et toonane sõnavõtt oleks siiski käinud nende tootjate kohta.

“Kaamera, nagu ka iga teine internetti ühendatud seade, kujutab endast riski: mõni suuremat, mõni väiksemat. Nende maandamiseks on mõistlik, et mistahes seade ei pääseks kontrollimatult internetti, vaid oleks läbi mõeldud, kuhu seadmed on ühendatud, kust peab saama ligi ning mismoodi on piiratud, et seade ei saaks kontrollimatult võtta ühendust internetis asuvate serveritega,” ütles Tammer.

Täiendus, 9. juuni kell 13:04. Artikli avaldamise järgselt teatas Kuik, et Tammeri sõnavõtt käib kõigi valvekaamerate tootjate kohta, mitte ainult konkreetsete tootjate kohta.

PPA: Hikvisioni ja Dahua kaamerad ei ole avaliku võrgu vahendusel kättesaadavad

PPA juhtivpiiriametniku Kristjan Vaheri sõnul ei saa politsei tehnoloogilisi lahendusi ja kaamerate võimekust detailselt kommenteerida, sest tegemist on asutusesiseseks kasutamiseks mõeldud teabega või riigisaladusega, kuid ta annab mõista, et politsei poolt kasutatavad kaamerad ei suhtle Hiinas ega Venemaal asuvate serveritega.

“PPA kasutatavad kaamerad ei ole avaliku võrgu vahendusel kättesaadavad ega saa sinna ka ise ühendust võtta. Ka ei ole PPA tuvastanud kaamerate suhtlust välismaisete serveritega. Ükski PPA kasutatav kaamera ei ole arvutivõrgu turvalisust tagav seade, arvutivõrgu turvalisust tagame selleks mõeldud seadmete ja meetmetega,” ütles ta.

Vaheri kinnitusel kasutab PPA õigusrikkumiste ennetamiseks ja avastamiseks, piiri valvamiseks ning turvalisuse tagamiseks erinevaid olemasolevaid tehnilisi vahendeid, sealhulgas ka turva- ja seirekaameraid.

“Kasutuses on erinevate tootjate kaamerad, sealhulgas ka Hikvisioni ja Dahua kaamerad. Kaamerate funktsioonid ja tehniline võimekus on erinevad,” lisas Vaher.

Oled sa DigiPRO või Geenius? Vali sobiv tellimus siit.

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.