„Mes identifikavome virš 200 valstybės institucijų, kurios yra tokius telefonus įsigijusios. Iš viso – virš 4,5 tūkst. telefonų, tai, mūsų manymu, didina rizikas ir šias problemas reikia spręsti“, – antradienį žurnalistams sakė viceministras. NKSC antradienį pranešė nustatęs, kad Kinijos gamintojų „Huawei“, „Xiaomi“ ir „OnePlus“ 5G išmanieji telefonai turi kibernetinio saugumo rizikų. Tyrime dalyvavo šie modeliai: „Huawei P40 5G“ , „Xiaomi Mi 10T 5G“ ir „OnePlus 8T 5G“.
Viceministras ragina institucijas atsisakyti tokių telefonų bei ateityje jų nebepirkti.
M. Abukevičius taip pat perspėjo ir gyventojus. „Jei kalbam apie duomenų nutekėjimą, apie galimybę parsisiųsti užkrėstas programas, tai kiekvienas gyventojas turi įvertinti savo rizikas, kodėl jis naudoja šį telefoną ir ar tos rizikos atsveria ekonominę naudą perkant pigesnį ar greitesnį telefoną“, – kalbėjo M. Abukevičius.
Jo teigimu, tai yra pagrindiniai Kinijos gamintojų flagmanai telefonų rinkoje, parduodantys daugiausiai produkcijos ir užimantys daugiausiai rinkos.
M. Abukevičius teigė, kad valstybinėms institucijoms svarbu kuo skubiau imtis saugumo priemonių.
„Mūsų raginimas būtų jau dabar apie tai galvoti – nebepirkti naujų Kinijos gamintojų telefonų. Kaip įmanoma, per greičiausią laiką jų atsisakyti“, – kalbėjo M. Abukevičius.
Renkama naršymo istorija
Nacionalinio kibernetinio saugumo centro Inovacijų ir mokymų skyriaus vadovas Tautvydas Bakšys tikino, kad žmonės, turintys kažkurio iš tyrime analizuotų telefonų, turi imtis tam tikrų priemonių dėl saugumo.
„Mūsų tyrimas neatskleidė, kad tie įrenginiai blogi ar netinkami naudoti, tačiau jie turi tam tikrų kibernetinio saugumo spragų rizikų. Rekomendacija yra nesinaudoti arba apriboti naudojimąsi tam tikromis paslaugomis, atsakingai pasirinkti naršyklę ir pasižiūrėti, kaip tas įrenginys veikia.
Požymiai, jog yra renkami duomenys, gali būti įrenginio išsijunginėjimas ar sukurtas didelis sunaudojamų duomenų (anglt. traffic) srautas. Be to, buvo nustatyta, kad yra renkama naršymo istorija, kada aplikacija įjungta ir išjungta ir kas tai per duomenys. Tačiau nenustatyta, kad kompanijos rinktų vaizdinę medžiagą iš telefonų“, – sakė Nacionalinio kibernetinio saugumo centro Inovacijų ir mokymų skyriaus vadovas Tautvydas Bakšys.
Jis taip pat sakė besitikintis, kad Seimas patvirtins įstatymų pakeitimus, kuriais bus nustatyta, jog valstybės institucijos negalės įsigyti kibernetinio saugumo rizikų turinčios įrangos.
Anot viceministro, tokių telefonų yra įsigijusios įvairios institucijos. Jos, pasak M. Abukevičiaus, turėtų prisiimti atsakomybę matydamos antradienį paskelbto Nacionalinio kibernetinio saugumo centro (NKSC) tyrimo rezultatus.
„Labai įvairios – nuo Vyriausybės lygio iki savivaldybių ir panašiai (...) Manau, kad svarbiausia pats principas – institucijos turi prisiimti politinę atsakomybę ir matydamos tokio tyrimo rezultatus, kai labai aiškiai identifikuotos kibernetinio saugumo rizikos, kurios gali peraugti ir į nacionalinio saugumo rizikas, sprendimų imtųsi pačios“, – kalbėjo krašto apsaugos viceministras.
M. Abukevičius, be kita ko, įvardino, kad tokių telefonų yra įsigijusios ir Krašto apsaugos ministerijos (KAM) tarnybos, tačiau konkrečiai jų neįvardino.
NKSC antradienį pranešė nustatęs, kad Kinijos gamintojų „Huawei“, „Xiaomi“ ir „OnePlus“ 5G išmanieji telefonai turi kibernetinio saugumo rizikų.
Dvi buvo susijusios su gamintojo įrenginiuose įdiegtomis programėlėmis, po vieną su asmens duomenų nutekėjimo rizika ir su galimais žodžio laisvės ribojimais.
„Xiaomi“ gamintojo įrenginyje nustatytos trys rizikos, „Huawei“ – viena, „OnePlus“ gamintojo mobiliajame įrenginyje kibernetinio saugumo pažeidžiamumų identifikuota nebuvo.
Kibernetinio saugumo riziką tyrėjai priskyrė „Xiaomi“ gamintojo naršyklei, kuri naudoja ne tik įprastą „Google Analytics“, bet ir kinišką modulį, kuris renka ir periodiškai išsiunčia 61 parametro duomenis apie vartotojo telefone atliekamus veiksmus.
Tyrėjai taip pat nustatė, kad „Xiaomi“ įrenginyje yra įdiegta techninė galimybė vykdyti į jį atsisiunčiamo turinio cenzūrą. Net kelios telefone esančios gamintojo programėlės periodiškai gauna gamintojo sudaromą blokuojamų 449 raktažodžių sąrašą, pavyzdžiui „Laisvas Tibetas“, „Amerikos balsas“, pagal kuriuos įrenginys tokį turinį automatiškai blokuoja.
Be to, nustatyta, kad vartotojui pasirinkus naudotis „Xiaomi“ debesijos paslaugą „Xiaomi Cloud“ iš įrenginio yra išsiunčiama šifruota SMS registracijos žinutė, kuri vėliau niekur nėra išsaugoma. Dėl to atsiranda asmens duomenų nutekėjimo rizika.
NKSC tyrėjai, analizuodami „Huawei“ išmaniojo 5G telefono veiklą, nustatė, kad oficiali gamintojo mobiliųjų programėlių parduotuvė neradusi vartotojo pageidaujamos programėlės, automatiškai nukreipia jį į trečiųjų šalių el. parduotuves, kuriose dalis programėlių antivirusinių programų buvo įvertintos kaip kenkėjiškos ar užkrėstos virusais.
Bendrovių „Xiaomi“ ir „Huawei“ atstovų komentarai
„Xiaomi“ įrenginiai necenzūruoja nei įeinančios, nei išeinančios vartotojų komunikacijos. „Xiaomi“ niekada neribojo ir neribos tokios asmeninės vartotojų elgsenos kaip naršymas internete, informacijos paieška, skambinimas ar trečiųjų šalių bendravimo programėlių naudojimas. „Xiaomi“ gerbia ir saugo visų savo vartotojų teises bei laikosi Europos Sąjungos bendrojo duomenų apsaugos reglamento (BDAR)“, – rašoma bendrovės atsiųstame laiške.
Kinijos telekomunikacijos milžinės „Huawei“ atstovas Lietuvoje antradienį atmetė šalies institucijų priekaištus dėl kibernetinio saugumo spragų, pareiškęs, kad jų produktų vartotojų duomenys nėra apdorojami už įrenginių ribų.
Vartotojų duomenys niekada nėra apdorojami už „Huawei“ įrenginio ribų. Taip pat „Huawei“ visuomet skaidriai kalba apie būtinus duomenis, kuriuos renka iš klientų“, – BNS atsiųstame komentare teigė „Huawei Technologies“ korporatyvinės komunikacijos vadovas Baltijos šalyse Mindaugas Plukys. Pasak jo, „Huawei“ laikosi šalių, kuriose ji veikia įstatymų, o kibernetinį saugumą ir privatumo apsaugą laiko svarbiausiu prioritetu.