ЗАРАТА

Всякаква информация за всеки

    • Незащитените камери в детските градини
    Разследвания

    Незащитените камери в детските градини

    Живка Кехайова Posted on

    В началото на февруари в социалните мрежи и медиите се разпространи информация, че видеопотоци от български лекарски кабинети, салони за красота и от камери в детски градини се излъчват в сайтове за възрастни. Съпредседателят на ПП „Да, България“ и бивш министър на електронното управление Божидар Божанов написа във Фейсбук, че „най-малко 64 хиляди камери за видеонаблюдение в България са достъпни през интернет“.

    Проверка на Factcheck.bg от същия период показа, че камерите в няколко детски градини предават кадри в реално време от помещения, в които се намират деца, а достъпът до тях е възможен заради неправилно конфигурирани системи за видеонаблюдение.

    Допълнителна проверка чрез специализираната търсачка за интернет устройства Shodan показва, десетки хиляди камери в България могат да бъдат достъпени онлайн.

    Какво е Shodan

    Shodan е специализирана търсачка за устройства, свързани с интернет. За разлика от Google или Bing, които индексират съдържание на уеб страници, Shodan сканира IP адреси – уникалните интернет адреси на устройствата, свързани към мрежата. Търсачката събира информация за устройствата, които са пряко достъпни онлайн – например камери за видеонаблюдение, рутери, сървъри, бази данни и смарт устройства.

    Когато дадено устройство е публично достъпно, то автоматично „отговаря“ с базови данни за себе си – какъв софтуер използва, кои функции са включени и през кои входове може да се осъществи връзка с него. Shodan записва тази информация в своя база данни и я прави достъпна за търсене.

    Защо камерите са достъпни

    Основната причина, поради която камерите за видеонаблюдение могат да бъдат достъпени онлайн, е използването на комуникационен протокол, наречен RTSP (Real-Time Streaming Protocol). Той служи за управление на аудио и видео излъчване в реално време, позволява на потребителя да гледа случващото се в помещението през различни приложения и да записва сигнала.

    RTSP може да се сравни с „дистанционно управление“ за видео сървъри – чрез него потребителят може да стартира видео, да го постави на пауза, да го спре или да започне запис. Протоколът се използва широко в системите за видеонаблюдение. 

    Проблем възниква, когато устройствата остават с фабричните си настройки. Камерите, които използват този протокол, масово са оставени с фабрични потребителски имена и пароли или са конфигурирани да бъдат достъпни директно от интернет. Това означава, че са публично видими чрез техните IP адреси, до тях може да се осъществи достъп без специални хакерски умения, а видеото може да бъде наблюдавано, записвано или препредавано от външни лица. Проблемът засяга не само камерите в институции като детски градини и училища, но и домашните такива.

    Кой се възползва от незащитения достъп до видеокамери

    Достъпът до незащитени камери не изисква високи технически умения. Видеопотоците привличат вниманието на т.нар. script kiddies („скрипт хлапета“) – хора, които използват готови програми за автоматично сканиране на интернет адреси и търсене на отворени камери. Видеопотоците се записват, каталогизират и продават в специализирани сайтове или директории за незащитени потоци.

    Кадрите се излъчват в порносайтове

    Проверка на Factcheck.bg установи, че сайт за възрастни излъчва на живо видеопотоци от IP камери, част от които се намират в България. През февруари на същия сайт имаше и излъчвания от детски градини, които вече са свалени.

    Сайтът предлага част от стриймовете безплатно, а други – срещу абонамент. Проверката на Factcheck.bg показа, че в някои случаи обозначените като платени стриймове могат да бъдат достъпени и без абонамент чрез дребен трик като промяна на уеб адреса.

    При отваряне на част от видеопотоците сайтът показва съобщение, че при проблем стриймът може да бъде гледан чрез RTSP адрес, например през VLC player. В този адрес се съдържат потребителско име, парола и публичен IP адрес на устройството. Тази информация не е резултат от хакерска атака, а се визуализира директно не поради естеството на RTSP протокола, а вследствие на неправилна конфигурация и дизайн на системата, при които чувствителни данни като потребителско име, парола и IP адрес се излагат на показ.

    Проверката на Factcheck.bg установи, че паролите, видими в тези адреси, често са фабрични и стандартни за популярни производители на оборудване за видеонаблюдение. Това означава, че потребителите не са конфигурирали устройствата след инсталацията им като сложат по-сигурна парола.

    Factcheck.bg проследи три от IP адресите и установи, че единият се намира в София и показва помещение в детска градина. Другият IP адрес, този път от Варна, също показваше кадри от детска градина. Третият адрес е от детска градина в Асеновград. След като Factcheck.bg сигнализира и трите детски градини, достъпът до камерите беше спрян.

    Какво да направим с незащитените камери

    Factcheck.bg разговаря с проф. д-р Илин Савов, доктор на науките, експерт по киберсигурност и национална сигурност с над 25 години професионален опит в системата за сигурност на България.

    Той обясни, че при публично достъпна камера в детска градина или училище реакцията трябва да бъде незабавна.

    „Първото действие е камерата и цялата система за отдалечен достъп да бъдат веднага извадени от публичния интернет (…). Второто действие е пълна смяна на всички (…) акаунти, администраторски профили и права. Третото действие е официално третиране на случая като инцидент по сигурността – събиране и запазване на логове, проверка на конфигурацията, уведомяване на ръководството, ангажиране на компетентен IT/киберексперт и оценка дали е налице нарушение на сигурността на личните данни, което да изисква уведомяване на КЗЛД (Комисията за защита на личните данни, бел.ред.). Това не е „техническа неизправност“, а пробив с реален риск за деца и институция.“

    Проф. д-р Илин Савов препоръча всички IP камери в обществени институции да работят само през защитена мрежа или виртуална частна мрежа (VPN), която скрива IP адреса и местоположението на устройството.

    „Директно публикувана в интернет камера в обществена институция е излишно създадена уязвимост. (…) Практиката по киберсигурност налага минимизиране на експозицията и строг контрол на отдалечения достъп. При обекти с деца това трябва да означава работа през защитена вътрешна мрежа, VPN, силна автентикация, ограничени права и журнализация. Удобството никога не трябва да бъде поставяно над сигурността, когато става дума за деца.“

    Той посочи още, че смяната на фабричната парола сама по себе си не е достатъчна.

    „Най-опасната грешка е институцията да си внуши, че с една нова парола проблемът е приключил. Ако камерата вече е била публично достъпна, разумният професионален подход е да се приеме, че системата може да е компрометирана и да се направи цялостна проверка на конфигурацията. Това е особено важно при устройства и платформи, за които през годините са документирани уязвимости и слаби конфигурации. Смяната на паролата е начална мярка.“

    Цялостната проверка на конфигурацията включва преглед на всички профили с достъп до системата, затваряне на ненужни връзки към интернет, актуализиране на софтуера на камерите и проверка дали системата е била компрометирана чрез анализ на записите за активност.

    Кой носи отговорност за пробива в сигурността

    „Основната отговорност е на институцията. Това е най-важното, което трябва да се каже ясно. Училището или детската градина са тези, които решават да използват системата, обработват лични данни и следователно носят първична отговорност да осигурят законосъобразност, контрол на достъпа и подходящи технически и организационни мерки. Фирмата-инсталатор носи сериозна професионална и договорна отговорност, ако е оставила системата с фабрични настройки, отворени услуги или без базово обезопасяване. Интернет доставчикът по правило не носи основната вина само защото предоставя свързаност, освен ако не е имал конкретна роля по конфигуриране или управлявана поддръжка на системата. В практиката най-често става дума за споделен провал, но с основна тежест върху институцията като администратор и възложител.“

    Проф. Савов подчерта, че глобата не е достатъчна санкция, когато става дума за видеонаблюдение в обекти с деца. 

    „Институцията трябва да понесе административни санкции, да премине през задължителен технически одит от независим експерт и да спре системата, докато не я обезопаси напълно. При груба небрежност трябва да има и управленска отговорност, а при тежко нарушение или съзнателно бездействие – наказателна отговорност“, каза още проф. Савов.

    В българското право няма специален закон, който изрично да урежда използването на видеонаблюдение в детски градини и училища. Това е посочено и в становища на Комисия за защита на личните данни. Всяка камера в подобни обекти обаче попада под правилата на Общ регламент за защита на данните (GDPR), тъй като видеонаблюдението се счита за обработване на лични данни. 

    Законът допуска такова наблюдение само при ясна необходимост и при спазване на строги принципи – законосъобразност, пропорционалност и ограничение до конкретна цел (чл. 5 и чл. 6 GDPR). Отговорността е на институцията – училище или детска градина – в качеството ѝ на администратор на лични данни (чл. 4 и чл. 24 GDPR). Това означава, че ръководството е длъжно не само да реши дали да има камери, но и да гарантира, че системата е защитена – чрез адекватни технически и организационни мерки (чл. 32 GDPR). Контролът се осъществява от Комисия за защита на личните данни, която разполага с широки правомощия от извършване на проверки до налагане на сериозни санкции. Съгласно GDPR, нарушенията могат да доведат не само до глоби, но и до ограничаване или пълна забрана на обработването на данни (чл. 58 и чл. 83 GDPR).

    Какво казват институциите

    Factcheck.bg изпрати въпроси по Закона за достъп до обществена информация в началото на февруари до Комисията за защита на личните данни, Министерството на вътрешните работи и Министерството на образованието и науката, както и до интернет доставчиците А1, Виваком и Йетел.

    КЗЛД: Досега няма постъпили сигнали за камери в детски градини

    От КЗЛД отговориха, че в комисията не са постъпвали сигнали за публично достъпни камери в детски градини, училища и други обекти с деца, чиито видеопотоци се предават в сайтове с порнографско съдържание.

    Уточниха още, че отговорността за сигурността на системите за видеонаблюдение е на институцията, която ги използва. При констатирани нарушения КЗЛД може да наложи административни санкции.

    МВР: Два сигнала за детска градина в София

    От Министерството на вътрешните работи потвърдиха, че на 9 февруари 2026 г. в дирекция „Киберпрестъпност“ са постъпили два сигнала за разпространение на видеопоток от камери в детска градина в София. По данни на МВР видеопотокът се предава от три камери в три отделни общи помещения и се е предавал в реално време в сайт за възрастни. Кадри от тоалетни или съблекални не са били открити.

    Factcheck.bg установи, че има камера в съблекалня и сигнализира ръководството на детската градина, след което изпрати въпроси до МВР. След сигнала на Factcheck.bg достъпът до камерите беше спрян, а отговорът от страна на МВР дойде по-късно, което е вероятната причина при проверка да не са открили камери от тоалетни и съблекални.

    От ведомството подчертават, че публикуването и монетизирането на видео от чужди камери е престъпление по Наказателния кодекс, независимо дали достъпът е бил свободен. 

    МОН: Отговорността е на общините

    От Министерството на образованието и науката посочиха, че не събират данни колко детски градини в България използват видеонаблюдение, нито изискват одит на киберсигурността на камерите. МОН подчерта, че отговорността за сигурността на децата в детските градини е на органите на местното самоуправление.

    Интернет доставчиците нямат право да следят съдържанието

    До публикуването на текста Factcheck.bg получи отговор единствено от Виваком, които посочват, че „като доставчик на електронни съобщителни услуги нямат право, нито осигуряват следене на съдържанието в интернет. Предвид изложеното, не разполагаме с и не можем да ви предоставим исканата информация“.

    Как да защитим камерите си

    Независимо дали става дума за домашна камера или система за видеонаблюдение в обществена институция, спазването на основни правила за киберсигурност може да предотврати публичния достъп до видеопотоците:

    Сменете фабричните пароли веднага след инсталация: използвайте силни пароли с комбинация от букви, цифри и символи. Никога не оставяйте паролата по подразбиране.

    Ограничете достъпа до локалната мрежа: ако не е необходимо, камерите не трябва да бъдат достъпни директно от интернет. Ако се налага отдалечен достъп, използвайте VPN връзка.

    Изключете ненужните функции: спрете P2P (peer-to-peer) връзки, cloud достъп и всички други услуги, които не използвате активно.

    Актуализирайте редовно софтуера: производителите издават поправки на уязвимости. Проверявайте за актуализации и ги инсталирайте навременно.

    Проверете настройките за отдалечен достъп: уверете се, че камерите не излъчват видеопотоци публично през RTSP или други протоколи без автентикация.

    За институции: правете одит на сигурността и ангажирайте специалист по киберсигурност да провери конфигурацията на системата. Това е особено важно за обекти, в които се намират деца.

    Проверете дали вашата камера е публично достъпна: можете да потърсите IP адреса на устройството си в Shodan или подобни платформи. Ако камерата ви се появи в резултатите, незабавно предприемете мерки за защита.

    При съмнение сигнал може да се подаде в МВР (телефон 112) или в Комисията за защита на личните данни.

    По темата работиха също Свилен Оприков, Дафина Кандова и Георги Тотев.

    Източници:

    Facebook, пост на Божидар Божанов: https://www.facebook.com/bozhidar.bozhanov/posts/10164618041938524?ref=embed_post 

    What is Shodan?  https://help.shodan.io/the-basics/what-is-shodan

    Real-time Streaming Protocol (RTSP): https://getstream.io/glossary/rtsp-protocol/ 

    Клуб Z, Над 40 000 камери за видеонаблюдение по цял свят излъчват без защита: https://clubz.bg/162681 

    What is a script kiddie? Definition + examples: https://us.norton.com/blog/emerging-threats/script-kiddie  

    RTSP срещу ONVIF: разбиране на тънкостите на технологията за IP камери: https://bas-ip.com/bg/articles/rtsp-%D1%81%D1%80%D0%B5%D1%89%D1%83-onvif-%D1%80%D0%B0%D0%B7%D0%B1%D0%B8%D1%80%D0%B0%D0%BD%D0%B5-%D0%BD%D0%B0-%D1%82%D1%8A%D0%BD%D0%BA%D0%BE%D1%81%D1%82%D0%B8%D1%82%D0%B5-%D0%BD%D0%B0-%D1%82%D0%B5/ 

    Exploiting Network Security Cameras: Understanding and Mitigating the Risks:  https://www.lrqa.com/en/cyber-labs/exploiting-network-security-cameras-understanding-and-mitigating-the-risks/

    Становище на КЗЛД по въпроси, касаещи въвеждането на видеонаблюдение в детските заведения (детски ясли и детски градини), както и в училищата: https://cpdp.bg/%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%B8%D1%89%D0%B5-%D0%BD%D0%B0-%D0%BA%D0%B7%D0%BB%D0%B4-%D0%BF%D0%BE-%D0%B2%D1%8A%D0%BF%D1%80%D0%BE%D1%81%D0%B8-%D0%BA%D0%B0%D1%81%D0%B0%D0%B5%D1%89%D0%B8-%D0%B2/ 

    КЗЛД, Видеонаблюдението: https://cpdp.bg/home-default/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE%D0%BD%D0%B0%D0%B1%D0%BB%D1%8E%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5%D1%82%D0%BE/ 

    Официален вестник на ЕС, Регламент 2016/679: https://eur-lex.europa.eu/legal-content/BG/TXT/PDF/?uri=CELEX:32016R0679

    Материалът Незащитените камери в детските градини е публикуван за пръв път на Factcheck.bg.

    Разпространявайте, моля! Тази статия е последна възможна проверка за истинността на някои твърдения. factcheck/bg

    Прочетено 1 пъти, 1 прочита днес

    You Might Also Like