Čínské bezpečnostní kamery považují kyberodborníci za rizikové. Ani to však české instituce neodrazuje od toho, aby i letos tyto kamery nakupovaly. Najdeme je v armádních objektech i na fasádě pražského sídla kyberúřadu, který před nimi varuje. Investigace.cz zmapovala, jak čínské kamery hlídají Česko.
Tento text si můžete poslechnout i v audioverzi. Audiočlánky pro vás načítá Renata Klusáková. Audioverze vybraných článků investigace.cz odebírejte zde.
Kamery čínských státních firem dohlíží na celé Česko. Najdeme je na budově Generálního štábu Armády ČR, na stanicích kolem českých železnic, na letišti v Karlových Varech, na budovách České pošty, na krajských policiích, na budovách ministerstev obrany či vnitra, na Vrchním soudu nebo i v jednacích síních Okresního soudu v Teplicích.
Investigace.cz kamery čínských značek Dahua nebo Hikvision našla i v armádních skladech zbraní nebo na vojenských základnách, kromě toho ale i na budově pražského sídla Národního úřadu pro kybernetickou a informační bezpečnost, který sám před používáním těchto kamer varoval loni v srpnu.
Četné české instituce patřící do kritické infrastruktury podle zjištění investigace.cz však čínské kamery navzdory varování kyberúřadu nakoupily i v letošním roce.
Čínská kamera snímá i ty, kteří před ní varují
Nevyhnete se jim už od prvního kontaktu s Českem. Kamera čínské značky Dahua je i v trolejbusu, který cestující vozí z letiště Václava Havla do Prahy.
Stejný typ kamery redaktor našel na pobočce České pošty na pražském Žižkově, ve které rovněž sídlí pražská centrála Národního úřadu pro kybernetickou a informační bezpečnost. NÚKIB loni v srpnu právě před používáním čínských síťových kamer, a specificky značek Hikvision nebo Dahua, vydal varování.
„Jejich produkty jsou vysoce rizikové, zejména s ohledem na technickou, politickou, právní nebo etickou stránku,“ píše ve svém varování NÚKIB. Podle jejich analýzy měly výrobky čínských společností v letech 2016 až 2023 na českém státním trhu celkem třetinový podíl za víc než třináct miliard korun.
„Nasazení čínských síťových kamer představuje vysoké riziko, a to s ohledem na kombinaci jejich technických slabin s nestandardní čínskou legislativou, rolí Pekingu ve vlastnických strukturách společností, jejich spoluprací s bezpečnostními a stranickými složkami a dosavadními aktivitami Číny proti českým zájmům a jejich spojenců. Je pravděpodobné, že část kamer je čínskými orgány do jisté míry kompromitována,“ varuje kyberúřad.
Co tedy úřad říká na to, že na jejich vchody, auta nebo zaměstnance dohlíží kamery značky Dahua?
„NÚKIB si je plně vědom rizik spojených s technologiemi značky Dahua. Budova je nicméně majetkem České pošty. NÚKIB zde působí pouze jako nájemník bez jakéhokoli vlivu na výběr, instalaci či správu vnějšího kamerového systému. Bezpečnostní systémy vlastněné a provozované v prostorech využívaných NÚKIB neobsahují podobně rizikové prvky,“ sdělil na dotaz redakce mluvčí úřadu Jakub Neščivera.
Mluvčí rovněž dodal, že koupě vlastní budovy v Praze má NÚKIB dlouhodobě v plánu. „Působení bezpečnostní instituce v pronájmu přináší z povahy věci určitá omezení, která nejsou pro úřad našeho typu optimální. V současné době však Úřad nedisponuje jinou alternativou,“ říká Neščivera.
Česká pošta, která rovněž patří do kritické infrastruktury státu, se na dotazy redakce do uzávěrky článku nevyjádřila.
Čínská technika ve skladu zbraní české armády
Čínské kamery značky Hikvision se nacházejí i na nejcitlivějších a nejchráněnějších místech českého státu. Redakce investigace.cz z veřejných zdrojů zjistila, že kamery značky Hikvision dohlíží na armádní sklady zbraní, automobily vojáků na základnách nebo rovnou na celé vojenské útvary.
Příkladem jsou vojenské útvary v Hradišti nebo v Olomouci. V březnu si armáda objednala opravu kamerového systému ve Vojenském újezdu v Hradišti. Ze zveřejněné smlouvy vyplývá, že kamery značky Hikvision (ve smlouvě je zveřejněn její typ DS 2CD7347G0-XS), které bylo potřeba opravit, jsou umístěné ve zbrojním skladu AČR a vojenské policie.
Podobný typ (Hikvision DS-2DF8A442IXG-AE) zase potřeboval opravu loni v červnu. Ve smlouvě je rovněž uvedena její lokalita: „Oprava kamery-detailní pohled do autoparku (stanice PHM).“ Objednatelem byl taktéž Vojenský újezd v Hradišti.
Loni v červnu zase ministerstvo obrany podepsalo rámcovou smlouvu na opravu kamer ve vojenském útvaru v Olomouci, kde sídlí 15. ženijní pluk. Cenová specifikace sice typ kamery neprozrazuje, ale v objednávce je i náhradní díl na „konzoli pro montáž SpeedDome kamer Hikvision na zeď“, což naznačuje, že na vojáky v Olomouci rovněž dohlíží kamera čínské státní firmy.
„Všechny kamery společnosti Hikvision, které jsou využívány ke střežení objektů a budov MO, byly pořízeny před doporučením NÚKIB. Obraz a záznam z těchto kamer je přenášen a využíván pouze na zabezpečené armádní sítí, která je oddělena od veřejné sítě internetu,“ odpověděla na dotazy redakce Zdeňka Sobarňa Košvancová z kanceláře náčelníka Generálního štábu.
„Ministerstvo obrany si plně uvědomuje možná bezpečnostní rizika této technologie a výše popsanými opatřeními eliminovalo jakékoli úniky dat z těchto kamerových systémů. Při obnovách nebo nových instalacích kamerových systémů se řídíme doporučením NÚKIB,“ dodává mluvčí.
Redakce se armády zeptala taky na Hikvision kamery, které našla na budově Generálního štábu. Podle mluvčí se jedná o zakázku z roku 2019, kdy vyhrála nabídka s nejnižší cenou.
Zmíněné kamery jsou prý připojené jen do bezpečnostních technologií budovy, na internet přístup nemají. „Toto opatření eliminuje možnost úniku dat. V současné době je v procesu obměna technických prostředků fyzické bezpečnosti, kde se počítá s výměnou kamerového systému Hikvision,“ upřesnila mluvčí armády.
Kamera bez internetu není automaticky bezpečná
Podle etického hackera a odborníka na kybernetickou bezpečnost Martina Hallera nelze udělat jednoduchou rovnici mezi odpojením od internetu a bezpečností kamer. Podle něj je potřeba pravidelně ověřovat a vynucovat striktní opatření, tedy i odpojení od internetu.
Realita, se kterou se při řešení kybernetických incidentů setkává, podle něj totiž často neodpovídá původnímu zadání. „Systém může být na začátku nasazený správně, ale v průběhu let dochází ke změnám konfigurace, doplňování vzdálené správy, napojení na dohledové systémy, servisní přístupy nebo propojení s dalšími sítěmi. Výsledkem pak může být, že systém, který měl být izolovaný, ve skutečnosti izolovaný není,“ vysvětluje.
„Proto bych neřekl, že kamera bez přímého připojení k internetu automaticky nepředstavuje bezpečnostní riziko,“ dodává Haller. České státní instituce ale se ale právě tímto argumentem zaštiťují.
Nákupy kamer i po varování
Používání čínských kamer na českých státních institucích není novinkou. Novináři z mnoha médií v minulosti opakovaně informovali o různých případech. V únoru redakce regionálního serveru Okraj zveřejnila zprávu, že letiště v Ostravě-Mošnově sledují čínské kamery značky Hikvision. V březnu loňského roku zase server Page not found vydal analýzu, kde všude čínské kamery lze najít.
Většina dosud zveřejněných případů se však týká období před varováním kyberúřadu. České státní instituce ale s nákupy nepřestaly ani po něm. Příkladem je třeba česká policie, která nakupuje kamery Hikvision či Dahua na krajská ředitelství i v současnosti.
Redakce kontaktovala některá krajská ředitelství, která si objednala čínské kamery v posledních měsících. Do uzávěrky článku odpověděli jenom z Olomouce.
„Krajské ředitelství policie Olomouckého kraje používá uvedenou technologii mimo kritickou infrastrukturu, k tomu bez možnosti připojení do sítě internet, tedy únik citlivých dat v tomto případě nehrozí,“ odepsal redakci bez dalších detailů Libor Hejtman, mluvčí tamní policie.
Neméně závažným problémem může být i používání čínských kamer na objektech Správy železnic. Železniční síť totiž patří do kritické infrastruktury státu a vlaky využívá i armáda na přesun své techniky ať už napříč republikou, nebo i na dodávku zbraní do Ukrajiny.
Čínských kamer na budovách vlakových stanic je nespočet. Správa železnic navíc i v roce 2026 objednává od svých dodavatelů kamery Hikvision, které následně umísťuje na své budovy v blízkosti železniční tratě. Příkladem může být objednávka sedmi Hikvision kamer s osvětlením a stožárem na parkoviště v Pernerově ulici v Praze z letošního března.
Mluvčí Správy železnic Nela Eberl Friebová přitom říká, že se organizace řídí varováním kyberúřadu. „Kamerové systémy Správy železnic jsou rozdělené podle míry rizika, máme také nastavená jasná pravidla pro jejich používání. V objektech a lokalitách s nejvyššími bezpečnostními nároky potenciálně rizikové technologie nenasazujeme ani neprovozujeme a na řadě míst probíhá jejich výměna za bezpečnější řešení,“ popsala na dotaz redakce.
„Naším cílem je, aby železniční infrastruktura jako součást kritické infrastruktury České republiky zůstala bezpečná a dobře chráněná.“
Peking „vidí“ i na český Vrchní soud
Nové kamery od čínské firmy Hikvision si po varování NÚKIB pořídili i na generálním ředitelství hasičského sboru nebo na městské policii v Praze.
„Kamery jsou provozovány jako uzavřený systém v rámci zabezpečené sítě bez možnosti přístupu do internetu, čímž je zamezeno úniku dat. Na základě těchto skutečností je v rámci našeho provozu toto bezpečnostní riziko eliminováno,“ odepsala mluvčí pražské městské policie Jiřina Ernestová.
Podobná reakce zní i od hasičského sboru. „Při výběru kamer jsme posuzovali zejména poměr mezi pořizovací cenou, technickými parametry a praktickým využitím v podmínkách HZS. Nákup produktů značky Hikvision jsme mimo jiné přímo konzultovali s ministerstvem vnitra,“ říká redakci mluvčí generálního ředitelství hasičského sboru Kristýna Posekaná.
A dodává podobný argument, jaký použili i mluvčí ostatních institucí, totiž že kamery nejsou zapojené do žádné vnitřní sítě a jsou odpojené od internetu. „Nepředstavují tedy – z pohledu bezpečnosti přenosu obrazu – kybernetické riziko.“
Stejné kamery najdeme i na Vrchním soudu v Praze. Ten kamery nakoupil ještě v roce 2021. Mluvčí Eliška Duchková redakci sdělila, že postupovali podle tehdy dostupných informací a doporučení v souladu s předpisy o kyberbezpečnosti.
„Každé další doporučení je vždy bráno v úvahu v dalších plánech na obnovu IT techniky, ovšem rychlé nahrazení dosavadní techniky není možné s ohledem na omezený rozpočet. Jsme také v kontaktu s dodavatelskou firmou ohledně vhodných postupů při správě a obsluze systému,“ říká Duchková. Podle ní taky jde jen o „uzavřený monitorovací okruh“ a kamery nejsou připojené k internetu.
Ujgurská analytika, navádění raket na Ukrajinu
V kontextu spolupráce s těmito značkami je důležité zmínit i ne tak dávnou historii čínských značek. Kamery značky Hikvision nebo Dahua jsou stále používané k masivnímu sledování ujgurské menšiny v Číně.
Kromě jiného to zmiňuje i NÚKIB ve svém varování. „Výrobci kamer jako Hikvision, Dahua či Uniview nabízejí tzv. ujgurskou analytiku, v rámci které systémy umí rasově/etnicky odlišit Ujgury od dalších etnik,“ popisuje kyberúřad.
Z první ruky o tom podala svědectví i Rushan Abbas, předsedkyně mezinárodního spolku Kampaň pro Ujgury. V říjnu 2023 o tom mluvila na konferenci v českém Senátu. „V letošním roce společnost Hikvision vyhrála kontrakt ve výši šest milionů dolarů a výslovně se vyžaduje, aby jejich analytické softwary identifikovaly Ujgury. Takže vyvinuli software, jehož cílem je právě odhalit ty etnické skupiny, které mají být sledovány, a potlačovat disent,“ řekla Abbas.
Jiné bezpečnostní riziko se při čínských kamerách objevilo na Ukrajině. Podle zjištění investigativních novinářů z Rádia Svobodná Evropa nebo maďarského webu Átlátszó mohly čínské kamery sloužit Rusům ke špehování ukrajinských měst či přímo k navádění raket na ně.
Web Átlátszó v roce 2023 napsal, že Rusko tak mohlo činit prostřednictvím digitálních zadních vrátek v čínských sledovacích systémech. „Tyto metody mohly být použity k lokalizaci kyjevských systémů protivzdušné obrany Patriot během květnového bombardování města,“ píše web.
V lednu 2024 zase Rádio Svobodná Evropa udělalo experiment na kamerách Hikvision a Dahua, kdy prokázalo, že kamery automaticky spouštějí připojení k serverům, které si čínské státní firmy pronajímají v Evropě. To pak otevíralo podle expertů možnost ruského sledování ukrajinských měst.
Bezpečnost pro ně není prioritou
„Celkově z toho mám pocit, že kybernetická bezpečnost těchto zařízení není pro výrobce příliš důležitá,“ komentuje kybernetický expert Martin Haller. Podle něj existuje hned několik rizik, na které tyto incidenty poukázaly.
První je, že se objeví nějaká další podobná softwarová chyba, na kterou přišli třeba investigativní novináři z Rádia Svobodná Evropa. To však může být nejmenší problém. Haller upozorňuje na to, že starší modely nemusely dostat potřebné bezpečnostní záplaty a že tedy stále obsahují zmíněné problémy. „Nebo že se podobná funkcionalita může do zařízení naopak dostat později například prostřednictvím aktualizace,“ popisuje expert.
Podle něj ale důslednou a pravidelnou kontrolou těchto zařízení lze velkou část rizik pokrýt, třeba právě dodržováním zákazu přístupu k internetu, cloudu, vzdálené správy nebo do jiných částí infrastruktury.
Upozorňuje ale na to, že instituce musí zvážit, jestli je risk, se kterým pracují, i při všech opatřeních akceptovatelný. „U běžné firmy může být dobře navržená izolace přijatelným řešením. U armádního skladu, vojenské základny nebo objektu kritické infrastruktury těžko říct,“ dodává.
Mezinárodní sponzoři války
Firmy Hikvision a Dahua jsou navíc sankcionované a spolupráce s nimi je v mnoha západních zemích zakázaná.
Hikvision čelí sankcím v USA kvůli jejímu vlastnictví – ze sta procent ji ovládá čínský státní aparát. Dahua zase nemůže v USA podnikat kvůli zařazení na seznam čínských armádních firem. Obě firmy jsou navíc sankcionované i v Ukrajině, a to z důvodu napomáhání ruské válečné mašinerii. Od roku 2023 je tamní protikorupční úřad zařadil na seznam „mezinárodních sponzorů války“.
Podle amerického nezávislého bezpečnostního institutu IPVM nákup těchto značek státními složkami zakázala Litva nebo Velká Británie. Ostatní země zatím jen pracují s doporučeními. Příkladem je Dánsko, které na základě doporučení nepoužívat tyto kamery na veřejných prostranstvích a kolem kritických institucí začalo s postupným odstraňováním technologie z různých klíčových míst v zemi.
V Evropské unii zatím žádný takový zákaz neexistuje. Evropský parlament vydal v roce 2022 rezoluci odsuzující značky včetně Hikvision nebo Dahua za spoluzodpovědnost na genocidě Ujgurů v provincii Sin-ťiang.
Autor textu: Dávid Pásztor
