Erik Feldman je předsedou představenstva VDT Technology a.s. a specializuje se na systémy a řešení pro vnitřní bezpečnost. Je odborníkem na speciální analytický software se zaměřením na pokročilé video analytické funkce. Má zkušenosti s projekty pro Policii ČR, Generální ředitelství cel, Letiště Praha, Ministerstvo obrany, Ministerstvo vnitra a Ministerstvo spravedlnosti. Je také členem Česko-izraelské smíšené obchodní komory.
Jakou funkci jste plnili v instalaci kamerových systémů pro Fakultní nemocnici v Ostravě? A jaká byla vlastně vaše vize a změna oproti minulému systému?
V Ostravě jsme působili v pozici systémového integrátora, kdy jsme integrovali dodávky tří softwarů. Přistoupili jsme zde k variantě výměny celého kamerového systému na video management systém (VMS). Neměnily se fyzicky kamery, ale celý software, který ovládá kamery a řídí ukládání záznamů z kamer. Jednalo se o komplexní a velmi komplikovaný postup. Sjednocovali jsme veškerá přístupová uživatelská práva, jelikož původní systém vznikal postupně, kamery se přidávaly dle potřeby a ztrácel se tak přehled nad tím, kdo má ke kamerám přístup a kdo má nad nimi správu.
Z důvodu nedostatečných pracovních kapacit jsme zajistili subdodavatele, abychom tak velké množství kamer v krátkém čase dokázali migrovat na jiný systém. Když jsme měli připravený a nainstalovaný nový management systém, přistoupili jsme k instalaci dalších dvou video analytických softwarů. Jeden z nich je izraelský BriefCam a druhý je americký software Scylla. V zadávací dokumentaci si Fakultní nemocnice stanovila podmínku, že chce mít 40 kritických kamer v tzv. online režimu, kdy je dnešní moderní digitální kamera schopná dávat až pět streamů do různých zdrojů. To znamená, že jeden zdroj jde do video management systému, kde se záznam ukládá. Druhý stream se pustí do zvláštního serveru, kde je nainstalovaný software Scylla, který ho v řádu jednotek, někdy desítek vteřin dodá do dispečerského centra. Tudíž dispečer vidí na obrazovce okamžitě z kritických kamer situaci ve zvláštním okně.
Jako kritické definoval zadavatel situace, kdy někdo v prostorách nemocnice upadne (reakce v řádu vteřin) nebo někde zůstane odložené zavazadlo (reakce v řádu jednotek minut). Pak tam byly další kritické události, o kterých chce na těchto kamerách být zadavatel nebo operátor informován okamžitě – to jsou vstupy do různých zón, např. pohyb po heliportu. Velmi těžko se to popisuje, ale v podstatě software vyhodnotí jakýkoli pohyb nestandardní pro danou zónu. Podobně to funguje v obchodech nebo v okolí bankomatů.
Tento software je velmi složitý na kalibraci, neboť je třeba zamezit tomu, aby se v dispečerském centru objevovaly tzv. falešné alerty. S nově vznikajícími startupovými video analytickými softwary se v současnosti roztrhl pytel. Je to trend, jelikož již všichni rozumí tomu, že počet kamer a kamerových záznamů roste, ale schopnost všechno sledovat a vyhodnocovat naopak exponenciálně klesá. Člověk je schopný udržet pozornost 15–20 minut, a když se podíváte na políčka z 20 kamer, stěží budete stíhat sledovat, co se děje, natož zvedat telefony a řešit další pracovní agendu, kterou má dispečer na starosti. Proto je do budoucna video analytický software pro kamerové systémy nezbytnou součástí. Např. Obchodní centrum Chodov má 2 500 kamer. Tak velký počet kamer neuhlídá ani stočlenná armáda dispečerů. Jde o to být na něco upozorněn a následně mít kapacity reagovat. Jednou z funkcí je např. monitoring situací, kdy někdo zaútočí. Software mě upozorní a já se spojím s někým v terénu, kdo je vyškolen k tomu, aby této situaci zabránil. Software upozorňuje na předem definované online situace. Pracuje na neuronových sítích, v režimu samoučícího procesu, kde se využívají prvky umělé inteligence. Tento software se učí nad těmito situacemi tak, aby snížil míru falešných alertů.
Lidé mají v rámci video analytických softwarů celkem často mylnou představu o umělé inteligenci. Jedná se v podstatě o neuvěřitelný výpočetní výkon v rámci dotazové množiny úloh, co je a není pravda v porovnání s existující datovou sadou. V binárním světě nul a jedniček software vidí např. hrníček nebo skleničku, má datovou sadu všech nádob a miliónkrát se zeptá serveru, co to je za předmět. A dostane odpověď: „to je to samé“, nebo naopak „tohle je jiný předmět či situace“. Tudíž ze začátku se software neustále ptá, ale následně už čím dál méně – a to je celý ten princip. Je to obrovská práce s daty a umělá inteligence se mohla začít rozvíjet pouze s tím, jak počítače začaly být výkonné. Do té doby to byla v podstatě pouze teorie používaná ve sci-fi filmech. Takže to je online systém.
Následně máme izraelský systém BriefCam, který umí také online, ale na lehce jiném principu. My jsme ho zde zvolili jako variantu k použití nad všemi záznamy z těchto 500 kamer k prohledávání uložených záznamů. Kamery ukládají na nahrávací servery záznamy nebo je v systému zpracován online stream, který posílá na dispečerské pracoviště upozornění nadefinované dispečerem kombinované události ze stávající nabídky filtrů a událostí.
BriefCam záznamy tzv. indexuje, a tím v těchto záznamech dokáže vyhledávat zadané události. Jedná se o podobný princip, když se z analogových videí stala digitální a kazety se převodníkem převáděly na nuly a jedničky. BriefCam tyto nuly a jedničky doindexuje podle svého unikátního patentovaného algoritmu (tedy „Je to hrníček, automobil, jakou má RZ, barvu a typ?“ „Je to člověk – muž, žena, dítě, jakou barvu a typ oblečení má, má kabelku, batoh, čepice, roušku?“ nebo „Je někomu podobný?“). To v praxi znamená, že každý objekt, který v záznamu software „zahlédl“, byť jen třeba o velikosti 15 pixelů, porovná se svou gigantickou databází. To jsou trilióny informací, které tvoří metadata o indexovaných objektech a nezabírají tolik paměti. Nicméně jsou brutálně náročné na výkon serveru s dostatečnou operační pamětí, výkonnými a rychlými SSD disky a hlavně výkonnou grafickou kartou (GPU).
Když následně operátor v rámci zadání nebo investigativní činnosti hledá v záznamech všech 500 kamer aktivitu zpětně, probíhá to v řádech vteřin. To znamená, že zadá hledanou osobu (červená bunda, černé kalhoty, muž s koženou brašnou, dítě), ačkoli neví, kde se zrovna pohybuje, a záznam ukáže, na které kameře se daná osoba objevila.
Kolik lidí je na dispečinku? Dá se tato práce outsourcovat?
Nemocnice má vlastní dispečery, jelikož tato práce outsourcovat nelze. Dispečink je centralizovaný, řeší i další činnosti, jako je správa energetického managementu, topení, klimatizace, prostě všechno. Mají to na starosti čtyři lidé, každý řeší něco jiného, ale všechny úkony sdílejí.
Dispečeři, kteří sledují kamery, se na ně dívají průběžně, pokud se však ukáže nějaký alert, jednoduše vyhodnocují, zda se jedná o opravdový alert nebo se systém stále učí a ukazuje falešný poplach. Systém přiřazuje do své vlastní databáze tyto označené pravdivé alerty, aby příště ty „falešné“ situace nabízel méně. Aby se to však tento systém naučil správně, musí ho někdo vést, tudíž musí fungovat spolupráce mezi ním a operátorem.
Je tento program vhodným opatřením, aby se již nestalo podobné neštěstí jako v roce 2019? Dokáže systém rozpoznat, když má někdo zbraň?
Tato situace se bude testovat. Nebyla v podmínkách zadávací dokumentace, i když paradoxně kvůli ní se připravuje výměna celého systému. Případů útoků se zbraní je v České republice minimum, ale je důležitá dokumentace. Útočník za 15 vteřin vystřílí celý zásobník a zabije 15 lidí, ale kamera ho nezastaví. Rozhodně však kamerový systém může být nápomocný. Detekovat zbraň je velice náročné, proto nyní začínáme tyto funkce testovat. Prioritou je, aby byly pokryty základní funkce, následně můžeme postupně přidat další licence na detekci zbraní. Pro software je těžko rozpoznatelné, zda někdo vyndává z náprsní tašky mobil nebo zbraň. Zde se právě kombinuje více funkcionalit – jak se člověk pohybuje, jaký dělá pohyb, jak má nataženou ruku… To vše se software musí dlouho učit.
Připravovali jsme instalaci v Ústí nad Labem, kde městská policie tento software využívá hojně, je s ním spokojená, ale pro maximální efektivitu si najali specialistu. Byl jsem při této instalaci přítomen a viděl jsem živý provoz. Není možné, aby strážník, který přijímá výzvy z linky 156, sleduje kamerové záznamy a řeší svoji běžnou agendu, navíc zvládnul nastavovat a ovládat software.
Systém potřebuje svého člověka, který ukládá nestandardní a kritické situace, aby si je systém pro příště pamatoval. Tohle je krádež, tohle je napadení – z každého takového kroku se systém učí. A za rok, maximálně dva se software dostane do dokonalosti. Následně už vše zobrazuje plně automaticky i na postupně přidávaných kamerách, ale ne na všech. Zcela mylná představa je, že na všech kamerách následně bude tato funkcionalita fungovat přesně stejně. Každá kamera má jiný podhled, jiné rozlišení. I když jsou od stejného výrobce, mohou se barvy zobrazovat jinak. Uživatelům se mohou zdát identické, ale pro software je to problém, který se musí „naučit“.
Jakmile se to software naučí, tak už víceméně nebude technicky možné, že by někdo jen tak prošel nebo něco zakryl. Např. BriefCam rozeznává pohlaví a podobnost lidí podle chůze. Na světě neexistují dva lidé, kteří by měli identickou chůzi. V praxi to následně znamená, že pokud systém definuje zájmovou problematickou osobu, tak ať si na sebe oblékne cokoli, chůze ji vždycky prozradí.
Kolik kritických pravidel je nastavených? Je to nějak dané nebo si nemocnice řekla, že chce třeba právě ten styl chůze?
Zadávací dokumentace přesně definovala, jaké situace mají být na těchto 40 kamerách nastavené, tudíž co je pro ně kritické. Software už má v sobě ze zkušenosti implementované některé dané věci, s nimiž se nyní v nemocnici seznamují. Vzhledem k tomu, co už si zadala např. policie, systém umí zpřístupnit až do úrovně detekce tváří. Tento software není na trhu tak dlouho, tudíž když se vypisuje veřejná zakázka, není možné přesně nadefinovat veřejně veškeré potřeby.
Je Fakultní nemocnice v Ostravě první nemocnicí v ČR, která přešla na tyto kamerové systémy?
Na této úrovni a v této kvalitě a nastavení je první v republice. Myslím si, že i co se týká jakékoli jiné organizace, vyjma letiště, není v České republice nainstalován kvalitnější systém, než má nemocnice. První instalace části softwaru BriefCam byl ve Fakultní nemocnici v Brně při rekonstrukci dispečerského stanoviště. Šlo ale o nižší verzi s nejmenším počtem funkcionalit. Software instalovala jiná firma a nedá se srovnávat s naším dodaným softwarem, resp. s automatickým alertingem, se správou nad těmi obrovskými daty, kdy mohou vše historicky dohledat, definovat počty aut, hlídat RZ, počty osob atd. Podle mého názoru nemocnice není vůbec měkký cíl, ale tvrdý cíl. Koncepce ochrany takto exponovaných míst společenského významu musí být upravená. Do této nemocnice vejde denně kolem 11 000 lidí, což je obrovské číslo. Jedná se o takové kvantum lidí, že víc už jich projde asi pouze na letišti nebo na Hlavním nádraží v Praze. Na těchto místech mají návštěvnost např. i 3 000 lidí za hodinu, kteří jsou pod dohledem státní policie, letištní ochranky či tajných služeb. Kamery a další videoanalytické systémy, jako je systém pro rozpoznání tváří, mohou významnou měrou přispět ke zvýšení bezpečnosti v těchto objektech. V nemocnicích může být příkladem třeba psychiatrická ambulance, která je jednou z kritických lokalit, jež nemocnice sleduje.
Jak velké musíte mít úložiště? Je on-premise nebo na cloudu? Máte nějak definované, jak dlouho archivujete záznamy?
Je to definované tzv. směrnicí o užívání kamerového systému, který schvaluje Úřad pro ochranu osobních údajů podle GDPR. Každá organizace na základě toho musí být schopná odůvodnit potřebu a délku uloženého záznamu. Myslím, že hraničních je nějakých 30 dnů, ale konkrétně v této nemocnici je délka záznamu kratší. Jen pro vaši představu, za měsíc je uloženo zhruba 50 terabytů dat. Jedná se o opravdu velké úložiště. Takové množství dat se ani technicky nedá dát do cloudu. Datový tok z jedné kamery je zhruba 3 až 5 Mbit/s, v závislosti na rozlišení a počtu ukládaných snímků za vteřinu (FPS). Když to vynásobíte pětsetkrát, uznáte, že takový objem dat by bylo velmi náročné a drahé ukládat a rozhodně by se porušovalo nařízení o GDPR. Analytický software si vytváří separátní databázi metadat, ne těch základních „živých“ dat, záznamů. Když je následně potřeba, najde software pomocí svých metadat konkrétní záznam v originálně uloženém záznamu a poskytne zip soubor, který obsahuje metadata ke každému náhledu a výřez originálního záznamu, který je v nezměněné podobě, tak jak byl uložen v systému.
Jak často musíte systém aktualizovat?
Systém se aktualizuje na základě vydaného upgradu a doporučeného postupu aktualizací od výrobce. Je velmi důležité, aby si zadavatelé k tomu dokupovali i tuto softwarovou podporu, protože ta vám zaručuje nejen asistenci výrobce, když se něco stane, ale hlavně aktuální verze s novými funkcionalitami.
Máme zákazníka, který si tyto softwary koupil před pěti lety bez podpory. A dneska jsou tak zastaralé, že ani nekorespondují s novými verzemi operačních systémů. Toto je obrovský nešvar celého IT e-governmentu v České republice. Organizace si pořizují software a nepočítají s jeho podporou v následujících letech. Doporučuji počítat v rozpočtech s podporou tři až pět let. To je takový praxí ověřený cyklus, kdy se může spousty věcí změnit. Může se změnit dodavatel nebo se transponovat do někoho jiného.
Preferuji rovněž, aby zakázky zadávané v rámci zákona o zadávaní veřejných zakázek dodržovaly určitou kontinuitu a s těmito podporami automaticky počítaly. Pokud nějaká nová generace (politická nebo administrativní) přebere software bez podpory, dostává se do stavu, že ani nemůže podporu dokoupit, jelikož výrobci v případě zájmu o dokoupení toto požadují i zpětně, což při obvyklé výši od 15 do 20 % z původní ceny softwaru ročně může po pěti až šesti letech znamenat nákup softwaru úplně nového. Pro tyto organizace následně z pohledu jejich interních předpisů není možné koupit stejný software podruhé. Následně už si s tím nevědí rady, tudíž dají software do šuplíku a řeknou: „Tak jsme si s ním pár let užili.“
Jaké máte kybernetické výzvy, kterým se ve svém systému věnujete?
Fakultní nemocnice Ostrava je kritická infrastruktura, tudíž musí ze zákona mít velmi silný systém bezpečnostních opatření v rámci kybernetické ochrany. My jsme vždy za těmito bezpečnostními prvky. Kamerové systémy většinou nejsou napojeny na systémy centrální a už vůbec ne „ven“. My máme samozřejmě svoje šifrování v rámci softwaru, řízený přístup a nelze se přihlašovat jednoduchým způsobem. Většinou se využívá Single Sign-on způsob přihlašování, aby se nemusela vymýšlet nová hesla a uživatelské účty. Přihlašuje se jedním systémem, např. Active Directory od Microsoftu. Microsoft má tyto politiky zabudované a tím, že se na 90 % jedná o ostrovní systémy, je míra potenciálního útoku na tento systém minimální.
Jako příklad bych uvedl poslední velký kybernetický útok na jednu komerční firmu, který byl vedený přes parkovací závoru napojenou v interní síti. Nepředpokládá se, že by někdo cizí mohl do organizace přijít s laptopem nebo chytrým telefonem a připojit se fyzicky přímo do vnitřní sítě. Ale tato závora v síti byla, tudíž se stačilo napojit na ethernetový kabel, který vede do PLC automatu závory. Je to triviální, ale to bývá u většiny útoků. I kamery jsou připojené přes IP kabel. Kdyby čistě teoreticky někdo vylezl na stožár přehledové kamery před nemocnicí, mohl by se dostat do systému až třeba do databáze pacientů. I to je další důvod, proč je systém ostrovní a není nikterak napojen do vnitřní sítě.
S příchodem nového zákona o kybernetické bezpečnosti přijdou i nové výzvy. Zajisté budou nějaké úpravy, ale norma se bude zaměřovat nejenom na technologická opatření, ale na opatření edukativní, preventivní a procesní.
Děkuji za rozhovor.
Za DSM se ptal Martin Haloda.