"Na základě vydaného varování musí povinné osoby dle zákona o kybernetické bezpečnosti zohlednit hrozbu v analýze rizik a na zjištěná rizika reagovat přijetím přiměřených bezpečnostních opatření," uvedl NÚKIB.
Nejde tedy o plošný zákaz, ale o právní povinnost zohlednit rizika a přijmout opatření v institucích, které spravují klíčové systémy - například v energetice, dopravě, zdravotnictví nebo státní správě.
Rizikové technologie
Podle NÚKIB se varování týká širokého spektra technologií, které jsou běžně dostupné i v českých domácnostech. Mezi rizikové výrobky a služby patří:
- IP kamery přenášející obraz on-line,
- střídače pro fotovoltaické elektrárny a tzv. smartmetry,
- zdravotnická technika (například přístroje napojené na síť),
- cloudová úložiště,
- chytré telefony a hodinky,
- elektromobily,
- a také velké jazykové modely - tedy umělá inteligence, která může zpracovávat obrovské množství textových dat.
Riziko spočívá v tom, že tato zařízení a služby jsou často napojené na vzdálenou správu nebo ukládají data v cloudu. Dodavatel tak může mít přístup k uživatelským informacím i ke kritickým systémům, což je v případě čínských firem zvlášť problematické. Politické prostředí v Číně totiž umožňuje státním orgánům přímý zásah do fungování tamních soukromých společností.
Hrozby pro Česko
Podle NÚKIB není varování plané. Letos na jaře například ministerstvo zahraničí oznámilo, že jeho komunikační síť napadla hackerská skupina APT31, spojovaná s čínskou rozvědkou. V červenci pak vláda zakázala používání softwaru čínské firmy DeepSeek ve státní správě. Už v roce 2018 úřad vydal podobné varování před technologiemi Huawei a ZTE.
"Současné systémy kritické infrastruktury jsou stále závislejší na ukládání a zpracování dat v cloudových úložištích a na připojení k síti, jež umožňuje vzdálenou obsluhu a aktualizace. Dodavatelé technologických řešení tak mají možnost zásadním způsobem ovlivňovat chod kritické infrastruktury," zdůraznil kybernetický úřad.
Co to znamená pro běžné občany?
Varování NÚKIB cílí především na správce systémů a instituce. Obyčejní lidé nemají povinnost zavádět speciální opatření. Přesto se doporučuje věnovat větší pozornost tomu, jaké technologie používají a s kým sdílejí data. Prakticky to znamená:
- Zvažovat původ zařízení a služeb. Pokud si kupujete IP kameru, chytrý telefon nebo chytré hodinky, sledujte, kdo je jejich výrobcem a kde mají uložená data.
- Prověřovat nastavení. Ujistěte se, zda vaše zařízení neposílá zbytečně velké množství dat výrobcům nebo neumožňuje vzdálený přístup, aniž byste o tom věděli.
- Opatrně s cloudem. Data uložená na zahraničních serverech se mohou stát snadněji dostupná pro cizí vlády. Pokud je to možné, používejte evropská nebo česká úložiště.
- Pravidelně aktualizovat software. Bezpečnostní záplaty pomáhají minimalizovat riziko napadení.
- Zdravý skepticismus. Pokud se produkt jeví podezřele levný nebo nejasně deklaruje, jak nakládá s daty, je na místě opatrnost.
Česko bere kybernetické hrozby spojené s Čínou vážně. Pro instituce to znamená povinnost analyzovat rizika a posílit zabezpečení. Pro běžné občany je to připomenutí, že i jejich chytré hodinky, IP kamera nebo cloudové úložiště mohou být potenciální bránou pro únik citlivých informací do zahraničí.
Ochrana dat proto není jen otázkou státu, ale i každodenní volby spotřebitelů: co kupujeme, jak to nastavujeme a komu svěřujeme svá data.
