В 2020 году Россия заняла третье место в мире по количеству камер видеонаблюдения на своей территории. Страна также инвестировала миллионы долларов в программное обеспечение для распознавания лиц и запустила в Москве одну из самых всеобъемлющих систем наблюдения в мире.

Власти заявляют, что это повысит общественную безопасность и поможет бороться с пандемией коронавируса, однако правозащитники выразили обеспокоенность отсутствием регулирования и возможными нарушениями конфиденциальности данных.

Согласно исследованию информационно-аналитического агентства TelecomDaily, в 2020 году в России насчитывалось более 13 миллионов камер видеонаблюдения. Только в Китае и Соединенных Штатах их было больше 200 миллионов и 50 миллионов соответственно. По количеству камер на 1000 человек Россия заняла третье место после США и Китая.

Более 6,3 тыс. камер видеонаблюдения, размещенных в том числе на объектах критической инфраструктуры и промышленных предприятиях России, имеют открытые IP-адреса, а доступ к ним может получить любой желающий. На базе камер с открытым IP злоумышленники могут организовать нелегальную систему видеонаблюдения или использовать их как вычислительный ресурс, предупреждают эксперты.

Порядка 6,3 тыс. камер видеонаблюдения, расположенных на электростанциях, промышленных предприятиях, заправках и в системах «умных» домов в России, оказались уязвимы, рассказали “Ъ” в компании Avast со ссылкой на данные поисковой системы по интернету вещей Shodan.io. IP-адреса этих камер открыты, и к ним могут получить доступ киберпреступники, говорят эксперты.

К системе большинства таких камер можно получить доступ без имени пользователя и пароля, либо пароль к ним установлен по умолчанию»,— пояснили в Avast.

Россия, по данным Shodan.io, находится на пятом месте по числу камер видеонаблюдения с открытым IP. На первых строчках располагаются Вьетнам, Тайвань, Южная Корея и США. Во всем мире около 124 тыс. камер имеют такую уязвимость.

Россия сейчас занимает третье место в мире по числу установленных камер видеонаблюдения, оценивали ранее аналитики Telecom Daily. В стране их почти 100 на каждую тысячу человек (всего около 13,5 млн камер), и около трети установлено за государственный счет. В Москве, например, число городских камер видеонаблюдения превышает 170 тыс. а затраты столицы на модернизацию систем видеонаблюдения и анализа информации с камер постоянно растут. Если в 2019 году департамент информационных технологий Москвы потратил на эти цели 60,8 млрд руб., в 2020-м — около 68 млрд руб., то по итогам 2021 года расходы ожидаются на уровне 70,8 млрд руб., следует из информации на сайте Мосгордумы. В январе стало известно, что мэрия Москвы до 2025 года потратит почти 3 млрд руб. на систему видеонаблюдения в Новой Москве.

При этом данные с городских камер уже неоднократно утекали.

В сентябре прошлого года общественная организация «Роскомсвобода» в суде потребовала от властей Москвы остановить работу уличной системы по распознаванию лиц. Организацию беспокоило, что в даркнете можно легко купить подробные данные о передвижениях людей, которые собираются с помощью городских камер. В январе пользователь сайта Habr обнаружил уязвимость, позволяющую проникнуть в систему видеонаблюдения ОАО РЖД. По его словам, проблема была связана с незамененными паролями, установленными по умолчанию на маршрутизаторах компании MikroTik.

Доступ к ряду камер сегодня защищен самыми простыми паролями, которые легко можно подобрать, подтверждает гендиректор компании «Интернет Розыск» Игорь Бедеров. Такие камеры, по его словам, могут быть размещены в том числе в банках, что потенциально грозит утечками данных кредитных карт и паспортов клиентов кредитных организаций. На базе камер с открытым IP можно организовать нелегальную систему видеонаблюдения или аналитики, допускает господин Бедеров. Если дополнить такую систему модулями распознавания лиц, получится система тотальной слежки, рассуждает он.

Злоумышленники могут, например, зайти в корпоративную сеть компании через уязвимые камеры, создать сеть ботов или использовать их как вычислительный ресурс, говорит руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков.

Если уязвимые камеры видеонаблюдения установлены дома, то, по его словам, их взлом грозит потерей частной жизни.

Данные, собираемые с камер как коммерческих, так и государственных структур, можно отнести к персональным, отмечает исполнительный директор компании Faceter Russia Эдуард Костырев. По такой информации можно, например, определять геолокацию человека, предупреждает эксперт. Такая информация, по его мнению, может продаваться в рекламных целях.

Профессор Дуглас Дж. Лейт (Douglas J. Leith) из дублинского Тринити-колледжа опубликовал научное исследование, посвященное сбору телеметрии в мобильных ОС. Оказалось, что компания Google собирает примерно в 20 раз больше телеметрии с устройств на базе Android, чем компания Apple с устройств на базе iOS.

Для сбора статистики и проведения анализа эксперт изучил трафик, исходящий от устройств iOS и Android на серверы Apple и Google на различных этапах работы девайса, например:

• при первом запуске после восстановления заводских настроек;
• когда SIM-карта вставлена​/ извлечена;
• когда телефон простаивает;
• при просмотре экрана настроек;
• когда геолокация включена/отключена;
• когда пользователь входит в предустановленный магазин приложений.

При этом в исследовании учтено, что данные могут собираться как самой операционной системой, так и приложениями по умолчанию, включая поисковики (Siri, OkGoogle), облачные хранилища (iCloud, Google Drive), карты и геолокационные сервисы (Apple Maps, Google Maps), хранилище фотографий (ApplePhoto, Google Photos). Разделив эту активность, Лейт сосредоточился именно на сборе данных ОС.

В итоге профессор пришел к выводу, что «и iOS, и Google Android собирают телеметрию, несмотря на то, что пользователь явно отказался от этой [опции]». Хуже того, «эти данные передаются компаниям, даже если пользователь не вошел в систему (даже если он никогда не входил в систему)».

Согласно документу, Apple склонна собирать больше типов данных со своих iOS-устройств, но Google собирает «заметно больший объем данных».

«В течение первых 10 минут после запуска смартфон Pixel отправляет в Google около 1 Мб данных, тогда как iPhone отправляет в Apple около 42 Кб данных.
Когда телефоны простаивают, Pixel отправляет примерно 1 Мб данных в Google каждые 12 часов по сравнению с iPhone, отправляющим 52 Кб в Apple. То есть Google собирает примерно в 20 раз больше данных с мобильных устройств, чем Apple», — пишет эксперт.

Столь обширная телеметрия может повлечь за собой как минимум две серьезные проблемы. Во-первых, ее можно использовать для привязки физических устройств к личным данным, которые обе компании, скорее всего, используют в рекламных целях. Во-вторых, процесс сбора телеметрии позволяет производителям отслеживать местоположение пользователей на основе их IP-адресов.

Издание The Record, равно как и сам профессор Тринити-колледжа, попросило представителей Apple и Google прокомментировать выводы, сделанные в научной работе. Компания Apple не ответила на запросы профессора и журналистов, а в Google Лейту пообещали обнародовать общедоступную документацию по собираемым данным, хотя не назвали точную дату, когда это произойдет. Журналистам же в Google ответили несколько иначе:

«В этом исследовании рассказывается о том, как работают смартфоны. Современные автомобили регулярно отправляют производителям основные данные о компонентах транспортного средства, состоянии их безопасности и графиках обслуживания, и мобильные телефоны работают аналогичным образом. В этом отчете подробно рассказывается о таких сообщениях, которые помогают гарантировать, что программное обеспечение iOS или Android обновлено, службы работают должным образом, а телефон безопасен и работает эффективно».

Кроме того, производитель оспаривает саму методологию сбора данных. По мнению Google, в исследовании недооценивается объем телеметрии iOS, и исключаются определенные типы трафика, а это приводит к искажению результатов.