Z České republiky tečou uživatelská a systémová data do Číny. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) vydal varování týkající se “předávání systémových a uživatelských dat do Čínské lidové republiky a ve vzdálené správě technických aktiv vykonávané z území Čínské lidové republiky.”
Varování se v podstatě týká všeho z Číny, co může posílat data, takže i solárů, aut a dalších technologií. NÚKIB vydal analýzy ke střídačům v malých FVE, IP kamerám a vozidlům.
Tato hrozba je hodnocena na úrovni “Vysoká”, což znamená, že je pravděpodobná až velmi pravděpodobná.
Varováním se musí zabývat povinné osoby podle zákona o kybernetické bezpečnosti. Plný text je k dispozici zde, metodicky materiál k varování je tady. Povinné osoby musí zohlednit analýzu rizik a na zjištěná rizika reagovat přijetím příměřených bezpečnostních opatření.
“Varování neznamená bezpodmínečný zákaz předávání systémových a uživatelských dat nebo umožnění výkonu vzdálené správy technických aktiv z ČLR, ale znamená, že je nutné tuto hrozbu zvážit a rozhodnout o výši rizika, které z těchto aktivit pro konkrétní organizaci plyne,” informoval NÚKIB.
Pro běžného občana není varování závazné. Úřad doporučil, ať lidé zváží, jaké produkty používají. NÚKIB například v minulosti varoval před TikTokem, čínskými e-shopy typu Temu nebo AI DeepSeek, protože posílají řadu citlivých dat.
NÚKIB už nějakou dobu varuje před kyperšpionáží a dalšími škodlivými aktivitami Číny v kybernetickém prostoru, stejně jako BIS nebo Armáda ČR.
Varování je odvozeno z těchto důvodů:
- Navyšování podílu komplexních technologických řešení v kritických odvětvích a službách, jež předávají data do ČLR nebo jsou vzdáleně spravována z ČLR. Pronikání těchto technologií i zařízení do kritických odvětví (jako jsou doprava, energetika, zdravotnictví, veřejná správa a další) roste a do budoucna bude růst. Současné systémy kritické infrastruktury jsou stále závislejší na ukládání a zpracování dat v cloudových úložištích a na připojení k síti, jež umožňuje vzdálenou obsluhu a aktualizace. To v praxi znamená, že dodavatelé technologických řešení mají možnost zásadním způsobem ovlivňovat chod kritické infrastruktury a/nebo přistupovat k důležitým datům, a důvěra ve spolehlivost dodavatele je tak naprosto klíčová. Dalším rizikovým faktorem je stoupající počet zařízení, která jsou připojena k internetu, rovněž předávají data a jsou vzdáleně řízená svými dodavateli. Příkladem rizikových výrobků a služeb, které mohou předávat data do ČLR nebo jsou z ní spravována, pak mohou být IP kamery, FVE střídače, tzv. „smartmetry“, zdravotechnika, cloudová úložiště, vysoce komplexní osobní zařízení (telefony, hodinky), připojená vozidla (elektroautomobily), velké jazykové modely a další.
- Potvrzených škodlivých aktivit aktérů napojených na ČLR směřovaných proti naší zemi, ale i EU a NATO – mezi příklady z poslední doby patří kybernetická kampaň proti Ministerstvu zahraničních věcí ČR, kterou vedla skupina APT31 spojovaná s čínskou zpravodajskou službou Ministerstvo státní bezpečnosti minimálně od roku 2022. Tato kampaň vedla českou vládu k provedení veřejné atribuce.
- Politického a právního prostředí Čínské lidové republiky (ČLR), které mimo jiné umožňuje přístup čínských vládních orgánů k datům uloženým na území ČLR či významné zásahy čínských vládních orgánů do fungování soukromých společností, nebo dává těmto vládním orgánům nástroje pro vynucení spolupráce soukromých firem při špionážních aktivitách Čínské lidové republiky.
ČLÁNKY DO MAILU