СБДД опровергла утечку персональных данных с камер на дорогах

23 декабря американское издание TechCrunch написало, что из-за уязвимости в кибербезопасности сотни камер системы наблюдения в Узбекистане, фиксирующих дорожные происшествия, лица людей и номера автомобилей, оказались в открытом доступе в интернете.

24 декабря начальник отдела Службы безопасности дорожного движения Департамента общественной безопасности МВД, подполковник Сухроб Турсунов дал пояснения по ситуации на встрече с представителями СМИ. Он подчеркнул, что сообщения из внешних источников о возможности онлайн-наблюдения за движением транспорта в Узбекистане, открытом доступе персональных данных и наличии уязвимостей в системе не соответствуют действительности. Корреспондент Kun.uz кратко приводит комментарии официального представителя МВД.

«Они не получали доступ к просмотру камер в реальном времени»

«Мы используем более 10 систем, приобретенных не только в Китае, но и в других странах, таких как Беларусь, Россия. Данные этих систем хранятся в Узбекистане, и нет возможности получить к ним доступ извне.

Перед запуском этих систем Центр кибербезопасности проводит трехэтапное тестирование и экспертизу. После этого системе выдается сертификат соответствия. Затем мы проводим собственные испытания и начинаем внедрять их на практике.

Таким образом, система онлайн-наблюдения и фиксации дорожного движения расположена на отдельном закрытом сервере. Никто не имел к этой системе доступа. Видео нарушений, которые граждане сами вырезают и показывают, — это другое, это их облачные серверы. Через них нельзя наблюдать за камерами в реальном времени.

В ситуации, описанной в статье, они получили доступ к нашим тестовым серверам, на которые во время испытаний записывались нарушения с некоторых наших устройств. Эти серверы были открыты, потому что на них не было персональных данных».

О видео нарушений и отдельных тестовых серверах

«Например, через QR-код в официальном административном протоколе у нас есть возможность посмотреть видео нарушения. Эти видео нарушений формируются на нашем отдельном сервере. Вход туда с логином и паролем создает дополнительные сложности, и в этом нет необходимости.

Изображения же, появившиеся на упомянутом сайте, были получены с наших серверов, открытых в тестовых целях. На этих тестовых серверах мы проверяем запись с каждой камеры или новых типов нарушений. Во время тестирования по этим нарушениям протоколы не составляются.

Например, в прошлом месяце была внедрена система фиксации нарушений, связанных с непристегнутым ремнем безопасности, через камеры. Перед ее запуском в течение нескольких месяцев мы проводили испытания и записывали эти нарушения на отдельный сервер. Во время тестирования был возможен доступ к этому отдельному серверу через интернет. Но там не было данных, относящихся к конкретному лицу».

«За 6 месяцев наблюдения не велось, и расположение камер не является секретом»

«Также в статье есть часть, где говорится: "мы наблюдали за транспортным средством в течение 6 месяцев". Однако на наших серверах записывается движение транспортного средства только в тот промежуток времени, когда оно совершило нарушение, — это 6–10 секунд. Например, одно транспортное средство в течение месяца могло 5–6 раз нарушить правила и попасть на камеры. Эти моменты записываются, но все его передвижения не фиксируется.

Кроме того, в статье говорится о расположении камер в нескольких регионах Узбекистана, упоминается около 100 камер. Но у нас более 5000 фото-видео фиксирующих устройств, и их расположение не является секретом».

Об обращении к ответственным лицам

«Действительно, они обратились в Центр кибербезопасности. Специалисты Центра проверили указанные в обращении IP-адреса и ссылки. Но там не было никаких персональных данных или уязвимостей.

После этого сотрудники кибербезопасности связались с лицами, отправившими это обращение. Они не ответили. Центр полностью изучил их обращение и даже спросил, есть ли у них другие доказательства. Как я уже сказал, они не ответили».

О чем писало издание?

Издание сообщало, что система, принадлежащая китайской компании, управляется Департаментом общественной безопасности МВД Узбекистана, и что ответственные лица не обратили внимания на предупреждения.

По словам исследователя в области кибербезопасности Анурага Сена, обнаружившего эту уязвимость, государственная система наблюдения за автомобильными номерами Узбекистана была открыта в интернете без пароля, что позволяло любому человеку получить доступ к данным в ней.

По его словам, в базе системы содержались реальные координаты расположения камер, миллионы изображений и видеозаписи проезжающих транспортных средств.

«Эта открытость беспрецедентным образом показала, как работают системы государственного наблюдения за номерами, какие данные они собирают и как можно наблюдать за перемещением миллионов людей по всей стране», — писало издание.