Článek
Národní úřad pro kybernetickou a informační bezpečnost 3. září zveřejnil varování před hrozbou v oblasti kybernetické bezpečnosti, která se týká předávání systémových a uživatelských dat do Čínské lidové republiky a vzdálené správy technických aktiv z území Číny. Jednoduše řečeno: uživatelská a systémová data unikají z České republiky do Číny. Úřad vyhodnotil hrozbu na úrovni Vysoká, tedy pravděpodobná až velmi pravděpodobná. Může se týkat energetiky, dopravy, zdravotnictví či veřejné správy.
Podle zákona o kybernetické bezpečnosti se varováním musí zabývat povinné osoby a zohlednit hrozby v analýze rizik a na zjištěná rizika přijmout přiměřená bezpečnostní opatření. Týká se tedy správců systémů, které jsou klíčové pro fungování země, komunikačních systémů nebo digitálních služeb.
Varování není závazné pro běžného občana a je na každém z nás na zvážení, jaké produkty používáme a s kým jejich prostřednictvím sdílíme data. Již v minulosti úřad varoval před TikTokem, čínskými e-shopy jako Temu nebo AI DeepSeek, přes které jsou do Číny posílány citlivá data ve velkém množství.
Vedle NÚKIB varuje před kyberšpionáží a škodlivými aktivitami Číny v kybernetickém prostoru již nějakou dobu také BIS či Armáda ČR.
Ve svém varování uvádí úřad důvody pro vyhlášení bezpečnostní hrozby:
- navyšování podílu komplexních technologických řešení v kritických odvětvích a službách, jež předávají data do ČLR nebo jsou vzdáleně spravována z ČLR. Pronikání těchto technologií i zařízení do kritických odvětví (jako jsou doprava, energetika, zdravotnictví, veřejná správa a další) roste a do budoucna bude růst. Současné systémy kritické infrastruktury jsou stále závislejší na ukládání a zpracování dat v cloudových úložištích a na připojení k síti, jež umožňuje vzdálenou obsluhu a aktualizace. To v praxi znamená, že dodavatelé technologických řešení mají možnost zásadním způsobem ovlivňovat chod kritické infrastruktury a/nebo přistupovat k důležitým datům, a důvěra ve spolehlivost dodavatele je tak naprosto klíčová. Dalším rizikovým faktorem je stoupající počet zařízení, která jsou připojena k internetu, rovněž předávají data a jsou vzdáleně řízena svými dodavateli. Příkladem rizikových výrobků a služeb, které mohou předávat data do ČLR nebo jsou z ní spravována, pak mohou být IP kamery, FVE střídače, tzv. „smartmetry“, zdravotechnika, cloudová úložiště, vysoce komplexní osobní zařízení (telefony, hodinky), připojená vozidla (elektroautomobily), velké jazykové modely a další;
- potvrzených škodlivých aktivit aktérů napojených na ČLR směřovaných proti naší zemi, ale i EU a NATO – mezi příklady z poslední doby patří kybernetická kampaň proti Ministerstvu zahraničních věcí ČR, kterou vedla skupina APT31 spojovaná s čínskou zpravodajskou službou Ministerstvo státní bezpečnosti minimálně od roku 2022. Tato kampaň vedla českou vládu k provedení veřejné atribuce;
- politického a právního prostředí Čínské lidové republiky (ČLR), které mimo jiné umožňuje přístup čínských vládních orgánů k datům uloženým na území ČLR či významné zásahy čínských vládních orgánů do fungování soukromých společností, nebo dává těmto vládním orgánům nástroje pro vynucení spolupráce soukromých firem při špionážních aktivitách Čínské lidové republiky.
Varování se týká v podstatě všeho z Číny, přes co lze posílat data, tedy i solárů, aut, chytrých telefonu a hodinek, zdravotechniky a dalších technologií. Metodika k varování a analýzy jsou k dispozici na webu úřadu.
