Resorty: edukacji i nauki, spraw zagranicznych, rolnictwa i rozwoju wsi – to tylko niektóre instytucje, które używają kamer chińskich firm Dahua i Hikvision. Obraz jest niepełny, bo większość ministerstw nie ujawnia, jakie urządzenia są zainstalowane w budynkach. Tymczasem amerykańska komisja ds. łączności uznała sprzęt tych firm za „zagrożenie dla bezpieczeństwa USA”. W Polsce UOKiK prowadzi za to postępowanie w sprawie budowania monopolu przez jedną z nich.
Co piąta kamera zainstalowana na terenie Ministerstwa Rolnictwa została wyprodukowana przez firmę Dahua. 5 proc. urządzeń stanowią z kolei produkty Hikvision. Dariusz Mamiński z biura prasowego resortu zastrzega jednak, że właśnie trwa modernizacja systemu monitoringu z analogowego na cyfrowy, więc proporcje mogą się zmienić. – Nowe urządzenia wybrano na podstawie wytycznych Agencji Bezpieczeństwa Wewnętrznego – mówi.
Także Ministerstwo Edukacji i Nauki ma na swoich budynkach kamery tych marek. – MEiN nie organizowało przetargów. Urządzenia są kupowane na bieżąco zgodnie z zapotrzebowaniem – informuje Adrianna Całus-Polak, rzeczniczka prasowa instytucji.
Wiele resortów wykręca się jednak od odpowiedzi na pytanie o używany system monitoringu. – Obecnie na terenie całej Polski obowiązują podwyższone stopnie alarmowe BRAVO i CHARLIE-CRP. Nakładają one dodatkowe obowiązki na administratorów budynków oraz na komórki ds. bezpieczeństwa w urzędach centralnych służące eliminowaniu potencjalnych zagrożeń. W tej sytuacji nie jest możliwe udzielanie publicznych informacji na temat elementów systemu bezpieczeństwa państwa – słyszymy w Ministerstwie Sprawiedliwości. W podobnym tonie wypowiadają się resort spraw wewnętrznych i administracji oraz obrony narodowej.
Od odpowiedzi uchylają się też urzędnicy Sądu Najwyższego i kancelarii premiera, tłumacząc się względami bezpieczeństwa. KPRM zastrzega jednak, że nie ma kamer, o jakie pytamy. Warto jednak zauważyć, że jeden z wjazdów na teren tej instytucji znajduje się od strony al. Szucha. To spokojna ulica, przy której znajduje się ciąg budynków administracji rządowej. Po stronie przeciwnej do KPRM i SN kamery chińskiej marki Hikvision są zainstalowane niemal na każdym budynku, a ich nazwy są widoczne gołym okiem z poziomu ulicy. Łatwo więc sprawdzić, że Hikvision operuje na fasadzie MSZ. Także na ambasadzie Ukrainy.
Nie wszystkie instytucje mają chińskie kamery. Ministerstwo Rodziny i Polityki Społecznej ma u siebie monitoring od firm Bosch i Siemens. W budynku resortu funduszy i polityki regionalnej są zainstalowane urządzenia Introx, Sony oraz Panasonic. Kompleks sejmowy jest zdominowany za to przez Bosch. UOKiK działa w całości na systemie BCS.
Groźba szpiegostwa
Sprawa kamer na budynkach administracji publicznej jest przedmiotem dyskusji już od dłuższego czasu. W maju 2021 r. sprawę podniósł w Sejmie poseł Marek Biernacki. W interpelacji do premiera pisał, że kamery chińskiej firmy są używane do monitorowania krakowskiego domu prezydenta Andrzeja Dudy. Tymczasem Kongres USA zobligował amerykańskie agencje federalne do pozbycia się kamer do monitoringu pochodzących z Państwa Środka, co ma udaremnić groźbę szpiegostwa ze strony Pekinu. 25 listopada Federalna Komisja Łączności (FCC) poszła jeszcze dalej – wydała zarządzenie, które zabrania importu lub sprzedaży chińskiego sprzętu, który może stanowić niedopuszczalne zagrożenie dla bezpieczeństwa narodowego. Całkowitym zakazem objęto urządzenia marki Huawei i ZTE. Sprzęt Dahua i Hikvision oraz Hytera (producent urządzeń łączności radiowej) nie może natomiast być wprowadzany na rynek dla celów bezpieczeństwa publicznego, obiektów rządowych, infrastruktury krytycznej lub bezpieczeństwa narodowego.
– Działanie to ma tu już rangę przywalenia z armaty – uważa Łukasz Olejnik, niezależny konsultant w dziedzinie cyberbezpieczeństwa, współautor książki „Filozofia cyberbezpieczeństwa”.
O jakie zagrożenia chodzi? –To pojemne i szerokie pojęcie, ale może się wiązać z kwestiami ekonomicznymi, bezpieczeństwa państwa i informacji, prywatności, ale także bezpieczeństwa w sytuacji kryzysu, bezpieczeństwa infrastruktury krytycznej – wylicza i przypomina, że także w Polsce przetoczyła się dyskusja o wydawaniu zakazów używania produktów od dostawców z Chin. Działo się to przy okazji aktualizacji ustawy o krajowym systemie cyberbezpieczeństwa. Sprawa toczy się już od trzech lat, a nowelizacja wciąż nie została przyjęta. Projekt nie został zatwierdzony przez Radę Ministrów, utknął na etapie konsultacji w komitecie bezpieczeństwa.
Przedstawiciele chińskiej spółki w Polsce odcinają się od zarzutów Amerykanów. – Produkty firmy Dahua Technology zawierają standardy i praktyki branżowe dotyczące bezpieczeństwa danych i są z nimi zgodne. Jako dostawca urządzeń firma Dahua nie zarządza danymi ani nie obsługuje danych klientów, ani tym bardziej nie przekazuje ich osobom trzecim – odpowiadają na nasze pytania. – Nigdy nie działaliśmy na rzecz rozwoju lub wsparcia interesów jakiegokolwiek rządu ani przeciwko interesom jakiegokolwiek rządu – zastrzegają. Hikvision nie odpowiedziało na naszą prośbę o komentarz.
Monitoring bez sieci
Dahua ma jednak kłopoty także w Polsce. UOKiK nałożył na firmę 700 tys. zł kary za utrudnianie przeszukania w trakcie postępowania wyjaśniającego. Urząd podejrzewa w niej zmowę cenową – od 2016 r. miała naciskać na dystrybutorów, by ci utrzymywali ceny na ustalonym przez importera poziomie. Decyzję ogłoszono trzy dni po informacjach o obostrzeniach w USA. Sprawa dotycząca możliwego porozumienia ograniczającego konkurencję jest obecnie na etapie wszczęcia postępowania antymonopolowego.
Cena urządzeń jest szczególnie istotna, to jedno z głównych kryteriów, jakie biorą pod uwagę urzędy związane prawem zamówień publicznych. Dla przykładu: w korespondencji z nami MSZ przyznało, że było to jednym z trzech kryteriów wyboru systemu monitoringu. Pozostałe to termin wykonania usługi i gwarancja na dostarczone urządzenia.
Czy chińskie kamery mogą być zagrożeniem dla bezpieczeństwa administracji publicznej? – Każde z profesjonalnych rozwiązań do monitoringu wizyjnego można wdrożyć w taki sposób, aby pracowało w sieci odizolowanej, czyli bez konieczności dostępu do internetu. I należy mieć nadzieję, że właśnie taki monitoring wizyjny jest wdrażany w budynkach administracji publicznej, ale to potwierdzić mogą tylko jego administratorzy – mówi Łukasz Grzmot z serwisu Niebezpiecznik.pl. – Odseparowanie systemu monitoringu wizyjnego od internetu minimalizuje ryzyko ataków, zarówno ze strony ewentualnego, świadomie wprowadzonego przez producenta backdoora, jak i ze strony włamywaczy, którzy w przyszłości odnajdą niezamierzony błąd bezpieczeństwa w oprogramowaniu rejestratorów lub kamer. Praca w trybie offline powoduje, że nikt nie jest w stanie uzyskać nieautoryzowanego dostępu do systemu monitoringu spoza odseparowanej lokalnej sieci. W takiej konfiguracji także sam rejestrator nie będzie w stanie „przypadkiem przekazać” zebranych materiałów czy danych telemetrycznych np. na serwery producenta – mówi. Dodaje też, że jego zdaniem nie ma znaczenia, kto jest producentem sprzętu do monitoringu wizyjnego. – Do każdej marki, nawet uznanych firm z krajów sojuszniczych, należy podchodzić z ograniczonym zaufaniem, bo również mogą zawierać, jeśli nie backdoory, to błędy, które atakujący z mniej przyjaznych Polsce krajów mogą odkryć i wykorzystać przeciwko nam – dodaje.