Ove kamere većinom su kupovane prije nego što su uvedene sankcije, kada su SAD i Kina počele međusobni trgovinski rat. Dio opreme kupljen je upravo sredstvima SAD-a ili Evropske unije, a sada ih gradovi i institucije na oba kontinenta mijenjaju zbog zabrinutosti za privatnost, ali i ljudska prava.

Zaštita nacionalnih interesa trebala bi biti obaveza svake države i njenih građana, kaže inžinjer Damir Avdić.

“Institucije moraju biti oprezne prilikom nabavke bilo kakve opreme kroz koju se šalju i primaju osjetljive informacije i podaci”, objašnjava on.

Visoko sudskog i tužilačko vijeće (VSTV), kantonalni sudovi u Tuzli i Mostaru, tužilaštva iz Orašja, Tuzle, Bihaća i Trebinja, te Ustavni sud Republike Srpske koriste kamere proizvođača Hikvision ili Dahua, kojima su SAD uvele sankcije jer smatraju da djeluju protivno interesima njihove vanjske politike.

Federalna komisija za komunikacije SAD-a 2022. godine usvojila je nova pravila koja zabranjuju uvoz komunikacione opreme koju smatraju neprihvatljivim rizikom po nacionalnu sigurnost.

Osim Hangzhou Hikvision Digital Technology i Dahua Technology, na listu je stavljena i komunikaciona oprema koju proizvode Huawei Technologies, ZTE Corporation i Hytera Communications, čije kamere na uniformama koriste policajci Ministarstva unutrašnjih poslova Kantona Sarajevo.

Kantonalni sud u Mostaru, u čijim sudnicama su postavljene kamere Hikvision, navodi da je Američka agencija za međunarodni razvoj (USAID) finansirala nabavku ove opreme 2020. godine. Kamere u ovom sudu nisu povezane na internet, potvrdili su za Detektor.

“Svi se pohranjeni videozapisi nalaze na lokalnom ili sudskom serveru, koji nije povezan na globalnu internet mrežu, tako da ne postoji mogućnost zloupotrebe videozapisa od strane ovlaštene osobe“, tvrde.

U prostorijama VSTV-a postavljene su kamere njemačkog proizvođača Bosch, ali i Hikvisiona – jednog od najvećih proizvođača kamera na svijetu, uz Dahua. Većina nadzornih kamera u prostorijama ovog najvišeg pravosudnog tijela je pod kontrolom i u nadležnosti Odjela za informaciono-komunikacionu tehnologiju.

VSTV u svom odgovoru za Detektor navodi da je dio kamera proizvođača Hikvision, instaliranih 2017. godine, finansiran donatorskim sredstvima Evropske unije (EU), dok je nabavka dijela kamera istog proizvođača instaliranih 2023. godine sprovedena uz pomoć projekta EU4Justice.

Iz VSTV-a objašnjavaju da primjenjuju najbolje prakse i standarde sigurnosti, te da videonadzorni sistemi rade isključivo u zatvorenom, strogo kontrolisanom mrežnom okruženju, bez pristupa internetu.

“Ovakva konfiguracija onemogućava bilo kakav pristup kamerama i videonadzornim sistemima iz vanjskog okruženja, odnosno sa interneta“, pojašnjavaju iz VSTV-a.

Oni su upoznati sa sankcijama SAD-a, ali od međunarodnih partnera nisu dobijali signale da ih trebaju zamijeniti.

“Nije se razmatrala zamjena kamera proizvođača Hikvision kamerama bilo kojeg drugog proizvođača. U trenutnoj postavci, aktivnost zamjene potpuno funkcionalnih kamera stvorila bi nepotreban trošak po budžet institucija BiH, te bespotrebno zauzela ljudske resurse neophodne za rekonfiguraciju videonadzornih sistema“, kažu iz VSTV-a.

Bilo kakva povezanost s internetom može povećati rizik, objašnjava softverski inžinjer Avdić. On pojašnjava da dio stručne zajednice koji se bavi sigurnošću smatra da je kod Hikviosion i Dahua kamera pristup odnosno backdoor ostavljen namjerno. Drugi dio zajednice smatra da je to samo “traljavo odrađen posao“.

On objašnjava da je backdoor trajni način pristupa uređaju koji zaobilazi sigurnosne postavke. Takav pristup je, prema Avdiću, imao Hikvision koji je uz određenu šifru davao mogućnost za promjenu korisnika i lozinke, što je dalje omogućavalo kontrolu pristupa i otvaralo mogućnosti za nove vrste napada.

“Treba istaći da je Hikvision izdao patch [ispravku] za ovaj problem te tako smanjio rizik za prijavljenu prijetnju, ali i dan-danas ima firmi koje nisu patchovali svoje uređaje i oni su još uvijek ranjivi“, kaže Avdić.

Kod Dahua kamera je bio nešto drugačiji problem, pojašnjava on, pa je tako bilo moguće skinuti malu internu bazu podataka gdje su spašeni podaci korisnika, te pristupiti kamerama bez ograničenja. On dodaje da je Dahua također izdala ispravku i tako smanjila prijetnju, ali da ne shvataju svi ozbiljno prijetnje i ne osiguravaju svoje uređaje.

Detektor je poslao upite sudovima i tužilaštvima sa zahtjevom za podatke koje kamere koriste. Sudska policija Federacije ima takve podatke za pravosudne institucije u ovom entitetu, ali ih nisu ustupili Detektoru, pozivajući se na sigurnost i zaštitu imovine pravosudnih institucija, sudija i tužilaca te zaštite dokaznih materijala.

Glavni generalni inspektor Sudske policije Dženad Grošo objasnio je da ne mogu dostaviti takve podatke gdje se ove kamere tačno nalaze, “zbog sigurnosnih protokola koje svaki proizvođač kamera koristi, uključujući Dahua i Hikvision, u cilju zaštite informacija o tehničkim rješenjima i sistemima, što je od suštinske važnosti za sprečavanje neovlaštenog pristupa sistemu videonadzora u zgradama pravosudnih institucija i sprečavanje ugrožavanja sigurnosti”.

Kantonalno tužilaštvo Posavskog kantona nema informacije da je proizvođač kamera Hikvision sankcionisan. Glavna kantonalna tužiteljica Ivanka Stanić kaže da nisu razgovarali o zamjeni opreme.

U prostorijama Kantonalnog suda u Tuzli postavljene su kamere proizvođača Dahua, kaže glasnogovornica Adisa Alić, a ovaj sud ni na koji način nije učestvovao u procesu nabavke jer je oprema za videonadzor donacija Delegacije EU kroz IPA projekat.

“Do sada nije bilo sugestija od međunarodnih partnera, a time ni riječi o mijenjanju opreme i uklanjanju ovih kamera“, kaže Alić.

Delegacija Evropske unije u BiH nije direktno odgovorila na pitanja o tome da li je Unija savjetovala zemlje članice o nabavci sigurnosne opreme iz Kine, te da li bi pravosudne institucije u BiH trebale zamijeniti ovakvu opremu. U kratkom odgovoru navode samo da je “pravo na privatnost zagarantovano Evropskom konvencijom o ljudskim pravima”, te da se od BiH u procesu pristupanja očekuje da uskladi svoje norme s evropskom uredbom o zaštiti podataka.

Videonadzor. Foto: Detektor

“Očekujemo da se sva oprema nabavljena sredstvima Evropske unije koristi u legitimne svrhe, uz potpunu usklađenost s relevantnim evropskim zakonodavstvom i standardima u oblasti ljudskih prava i zaštite podataka”, naveo je u odgovoru glasnogovornik Delegacije i Ureda specijalnog predstavnika EU u BiH Ferdinand Koenig.

Evropska unija još uvijek nije uvodila sankcije kineskim tehnološkim kompanijama, kako su to radile vlasti u SAD-u. Evropske zemlje pokušavaju da umanje negativne efekte trgovinskog rata između SAD i Kine i zadrže dobre odnose s kineskim partnerima.

Ali na kontinentu također postoji zabrinutost za uticaj ove opreme na ključnu infrastrukturu. U junu 2023. godine Reuters je izvijestio da se Velika Britanija obavezala da će ukloniti opremu za nadzor od kineskih proizvođača iz osjetljivih vladinih zgrada, kao dio svog plana da se bavi sigurnosnim zabrinutostima povezanih s Kinom.

Ova agencija navela je da Britanija planira prestati s kupovinom od kompanija povezanih s Kinom. Ranije su u ovoj zemlji postojali zahtjevi da se zabrani prodaja i korištenje sigurnosnih kamera Hikvisiona i Dahue – dvije kompanije u djelimičnom vlasništvu kineskih vlasti, zbog zabrinutosti za privatnost i zloupotrebe ljudskih prava u Kini, posebno ujgurske manjinske zajednice.

Kada je litvanski grad Kaunas objavio da mijenja kamere Hikvisiona, šef cyber sigurnosnog tima Ministarstva odbrane Antanas Aleknavičus je objasnio odluku.

“Radi se o prijetnji upada u sisteme, posebno kritične infrastrukture, o mogućnosti da se oni preuzmu kroz update i da se vide podaci koji se prenose”, rekao je Aleknavičus.

Ove godine gradske vlasti Amsterdama su izvijestile da će u narednih pet godina ukloniti više od 1.200 kamera za nadzor i saobraćaj kineskih proizvođača zbog zabrinutosti za špijunažu i ljudska prava, slijedeći sličan potez Velike Britanije. Slično su najavile vlasti Australije.

“Kada se pogledaju kineski zakoni, stvari su vrlo jasne”, objasnila je za Deutche Welle Antonia Hmaidi, istraživačica pri berlinskom Mercator Institutu za kineske studije.

“Svaka kineska kompanija mora sarađivati sa vlastima i dostaviti podatke, ako joj to traže. Ovo uključuje podatke koji su prikupljeni vani”, dodaje ona.

Kineske kompanije i vlasti odbacile su navode zapadnih zemalja o opasnosti za podatke.

Američka ambasada u BiH smatra da postoje neodvojivi rizici po nacionalnu sigurnost, suverenitet i operativnost poslovanja s nepouzdanim dobavljačima i kompanijama koje posluju u zemljama bez odgovarajuće zakonske zaštite za kupce i potrošače.

“Apelujemo na vlasti u BiH da to uzmu u obzir prilikom donošenja odluka o nabavkama“, kažu iz Ambasade za Detektor.

Distributeri Hikvision ili Dahua kamera u BiH – među kojima su Antenal iz Banje Luke, Alarm Automatika Sarajevo, AFP Široki Brijeg i Master B.C. Banja Luka – do trenutka objave teksta nisu odgovorili na upite Detektora za komentar.

Inžinjer Avdić smatra nezahvalnim komentarisati nabavku opreme koju je SAD stavila na crne liste, zato što ova zemlja ima vlastitu politiku za cyber prijetnje i nacionalnu sigurnost.

“Ali sigurno da bi se to moglo uzeti kao neka vodilja prilikom nabavke te, naprimjer, kupiti mali dio opreme i testirati u vlastitim sigurnim okruženjima“, dodaje Avdić.

On kaže da bi u ovakvoj globalnoj geopolitičkoj i ekonomskoj situaciji zaštita interesa države i njenih građana u domenu cyber sigurnosti trebala biti važna tema, te pojašnjava da bi se trebao donijeti i set zakona o nabavci opreme, ali i mnogim drugim domenama u cyber sigurnosti.