Компания "Ростелеком" работает над проектом "Безопасный город", бюджет которого на момент старта в 2011 году составил 194 млрд рублей. Не так давно, в рамках проекта, было принято решение о постепенной замене установленных домофонов на новые с IP-камерами более высокого разрешения.

Так, 4 апреля 2018 года, на официальном сайте www.zakupki.gov.ru было опубликовано Извещение №31806333275 о проведении открытого запроса котировок на право заключения договора на поставку 50 000 камер для подъездного видеонаблюдения. В данном тендере приняли участие компании ООО "Бевард Инжиниринг", ООО "Фронтком" и ООО "Эс Эл Групп". Однако в техническом задании организаторами торгов были установлены требования о поставке товара конкретного производителя. Это оказались панели HIKVISION (модель DS-KV8152-IM). При этом данную панель в России невозможно приобрести нигде, кроме как у компании "Эс Эл Групп", именно с которой и был заключен договор на поставку 50 000 камер. Занявшая же второе место компания "Фронтком", вместе с "Эс Эл Групп", входит в группу компаний — "Safe Logic". Таким образом, налицо преднамеренное формирование ТЗ для "своего" поставщика с целью искусственного ограничения конкуренции. Кроме указанного конкурса, было ещё несколько с намеренно приведёнными в документации моделями, которыми обладают лишь в "Эс Эл Групп". Следует отметить, что подобные практики допускаются лишь при условии, что они "не влекут за собой ограничение количества участников закупки" (см. Письмо Минэкономразвития России от 31.08.2015 № Д28и-2467).

Тем не менее 20 апреля 2018 года, комиссия Санкт-Петербургского УФАС России в ответ на поступившую жалобу на неправомерные действия организаторов торгов (жалоба №ТО2-120/18), вынесла решение о признании жалобы необоснованной. Решение было мотивировано тем, что "указание по Позиции №1 товара конкретного производителя Hikvision "Видеопанель DS-KV 8152-IM" обусловлено необходимостью исполнения обязательств ПАО "Ростелеком" по государственным контрактам на оказание услуг по предоставлению видеоизображений с объектов видеонаблюдения с уже имеющимся оборудованием производителя Hikvision — "Видеопанель DS-KV8152-IM". Также в решении говорилось, что заявитель, как и иной другой участник закупки, не ограничен в своем праве приобрести с целью поставки товар именно того производителя и с теми характеристиками, которые определены потребностью заказчика. Иными словами, приобрести данную модель всё у той же компании "Эс Эл Групп", как у единственного поставщика на территории России. Присутствующая на российском рынке продукция отечественного производства, имеющая и явные технические преимущества, доказанные лабораторными испытаниями, и более низкие цены, организаторами торгов просто не рассматривалась.

В свою очередь, выстроенная схема организации закупок позволяет организаторам получать сверхприбыль. Компании "Эс Эл Групп", с которой был заключен договор, удалось продать "Ростелекому" панели HIKVISION DS-KV8152-IM по цене более чем в 3 раза выше её реальной стоимости! В рассматриваемом контракте (закупка №31806333275 от 04.04.18 ПАО "РОСТЕЛЕКОМ") цена за предоставляемую компанией "Эс Эл Групп" панель составила 157,28 доллара без учета НДС. Тогда как в другом конкурсе, в присутствии реальной группы конкурентов (закупка №31806024866 от 29.05.18 ПАО "МГТС"), компания "Эс Эл Групп" предложила уже по цене 47,24 доллара без учета НДС.

В результате общий ущерб компании "Ростелеком" по данной сделке, по самым скромным оценкам, превышает 4 миллиона (4 000 000) долларов. В том числе наш с вами ущерб как налогоплательщиков, так как "Ростелеком" — это компания с преимущественно государственным участием. При этом у закупаемых камер HIKVISION не самая лучшая репутация.

Компании HIKVISION и DAHUA отстраняются от госзакупок за рубежом из-за проблем с уязвимостью

Правительство США не только начало ограничивать закупки HIKVISION, но и демонтировало некоторые из уже установленных, в частности в своих посольствах.

Многочисленные утверждения о возникновении проблем с киберзащищённостью продукции HIKVISION и DAHUA стали поводом для существенных ограничений. В США подготовили запрет на приобретение систем HIKVISION и DAHUA для федеральных ведомств. Закон уже принят Палатой представителей и ждет рассмотрения в Сенате. 24 мая 2018 года Палата представителей утвердила отлучение двух китайских магнатов от американских госзакупок. В этот день большинством голосов (351 против 66) был принят "Закон о полномочиях в области национальной обороны" (National Defense Authorization Act) на 2019 финансовый год, который начинается 1 октября 2018 года. Данный ежегодный документ содержит план расходов на оборону и приоритеты в развитии вооруженных сил. Запрет на применение госучреждениями систем видеонаблюдения HIKVISION и DAHUA содержится в одной из поправок к акту.

Автором поправки выступила конгресвумен от штата Миссури Вики Харцлер. Она заявила, что правительство Китая использует китайские компании для влияния на США, учитывая и тот факт, что компания HIKVISION на 41,88% принадлежит китайскому правительству. "Моя поправка призвана гарантировать, что Китай не создаст сеть для видеонаблюдения внутри какого-либо федерального ведомства", — говорит она.

В документе чётко прописано, что запрет распространяется в том числе и на продукцию HIKVISION и DAHUA, продаваемую посредством ОЕМ. После вступления закона в силу каждое ведомство должно предоставить план по выявлению присутствия запрещённых производителей среди поставщиков.

11 июня 2018 года Сенат США принял свой вариант акта большинством голосов (91 сенатор против 4), 26 июля проголосовала Палата представителей, 1 августа — Сенат. Теперь предстоит работа по принятию окончательного варианта, который отправится на подпись президенту.

HIKVISION — государственная компания Китая

Отчетливое участие китайского правительства в HIKVISION вызвало беспокойство не только в США. В мае 2018 года, в Индии член Партии конгресса Аджай Макен заявил, что главный министр Дели Арвинд Кеджривал давший разрешение на установку 150 000 китайских камер наружного наблюдения, "из-за мелкой коррупции" поставил национальную безопасность под угрозу, поскольку "HIKVISION является китайской правительственной компанией".

За два года до этого знаменитый британский адмирал Алан Вест, занимавший пост младшего государственного секретаря по вопросам безопасности и контртерроризма, дал интервью The Times, в котором утверждал, что принадлежность компании HIKVISION китайскому правительству поднимает ряд этических вопросов и проблем безопасности, в тех случаях, когда HIKVISION используется британскими правительственными органами. Ряд британских изданий (The Times и Daily Mail) также высказались поэтому поводу в негативном ключе.

Компания HIKVISION очень долго отрицала, что является государственной, утверждая, что правительство является всего лишь крупнейшим акционером. Однако, судя по собственным финансовым отчетам компании, HIKVISION контролируется правительством посредством China Electronics Technology HIK Group Co., Ltd. (CETHIK) и CETC No.52, которые являются частью государственного предприятия CETC.

Хроника вирусных атак на HIKVISION и DAHUA

Упомянем лишь некоторые из них.

2013 год

В 2013 году стали появляться первые сообщения о множественных проблемах с безопасностью прошивок IP камер HIKVISION.

2016 год

В сентябре-октябре 2016 года по миру прокатилась одна из самых мощных вирусных атак в истории, в результате которой возникли проблемы с доступом ко многим веб-сайтам, в частности: Twitter, Etsy, Github, Soundcloud, Spotify, Heroku и других.

В ноябре того же года вирусная атака отключила интернет в целой стране, в Либерии.

Эти атаки стали возможны благодаря компьютерному вирусу, известному как Mirai, использовавшему уязвимость доступа на различных устройствах. Атака была осуществлена ботнетом из зараженных "умных" видеокамер. В течение месяца под контролем вируса находилось уже около полумиллиона устройств. Исследования показали, что значительная часть уязвимых устройств была изготовлена с использованием составляющих производства фирмы DAHUA, Китай.

Исследователь безопасности Iraklis Mathiopoulos обнаружил критическую уязвимость и в глобальных облачных серверах HIKVISION. Исследователь описал, что злоумышленники могли использовать этот дефект для доступа к данным клиента, хранящимся на сервере, или получения полного доступа к серверу. Затем это можно было бы превратить в атаку на камеры клиента, доступ к живому видео или даже превращение камер в ботнет.

Обратившись за комментариями в компанию Rapid7, работающую в созданном HIKVISION "Центре безопасности", журналисты из ресурса IPVM смогли выяснить лишь то, что китайская компания действительно значится в списках клиентов фирмы, но по условиям контракта, все комментарии необходимо согласовывать с HIKVISION. Вполне возможно, что "Центр безопасности" был создан лишь в качестве декоративного элемента и осуществляет фиктивную деятельность.

2017 год

Только на территории США было зафиксировано около 5000 камер, подвергшихся взлому. Большое количество взломанных камер находилось и в Европе, и на территории России (Москва, Санкт-Петербург, Воронеж, Тверь, Ярославль и др.). Масштаб взлома можно оценить здесь. Очередная массовая атака на DVR и NVR с фабричными паролями прокатилась по Сети в конце февраля — начале марта 2017 года. В результате атаки сотни пользователей потеряли доступ к своим устройствам.

Компания HIKVISION при этом отрицала наличие подобного преднамеренного дефекта, не сообщала и не предупреждала своих дилеров. Позицию HIKVISION можно описать как метод игнорирования проблем, давший, впрочем, определенные результаты. Позднее компания дополнила свои руководства полным отказом от ответственности:

"Ответственность за использование продукта с доступом в интернет несет пользователь; наша компания не несет ответственности за ненормальную работу оборудования, потерю информации и другие последствия, вызванные кибератаками, вирусами или другими интернет-рисками".

Заключение

Тот факт, что продукция HIKVISION и DAHUA попадает под запрет в США, говорит о том, что компании, производящие некачественный товар, столкнулись с организованным сопротивлением отраслевого сообщества, способного довести свои опасения на государственный уровень и заявить, что продукции, которая не выполняет свою задачу по должной охране объекта, нет места на рынке.

В России же благодаря тому, что "РОСТЕЛЕКОМ" закупает у компании "Эс Эл Групп" китайское оборудование, сам термин "безопасный город" можно поставить под сомнение. Камеры, устанавливаемые в Москве, легко взломать, а значит ни о какой безопасности жителей города не может быть и речи. При этом на российском рынке безопасности есть куда более достойная продукция отечественного производства, имеющая и явные технические преимущества, доказанные лабораторными испытаниями, и более низкие цены, чем за китайскую модель.

Станислав Назаров