Agenția cehă pentru securitate cibernetică și informațională NUKIB avertizează organizațiile care operează infrastructuri critice din Cehia să evite utilizarea tehnologiei chineze și trimiterea datelor utilizatorilor către servere din China, din cauza unor riscuri serioase de securitate cibernetică. Recomandarea survine după o reevaluare a amenințării asociate Chinei, pe care agenția o evaluează acum la nivel ridicat, și după descoperirea unor activități malițioase îndreptate deja împotriva unor instituții cehe, inclusiv o campanie APT31 vizând Ministerul Afacerilor Externe.
De la începutul erei cloud, numeroase sisteme critice au ajuns dependente de stocarea și procesarea datelor în cloud și de conectivitatea de rețea pentru funcționare și actualizări la distanță. Practic, asta înseamnă că furnizorii de soluții tehnologice pot influența operarea infrastructurilor critice sau pot avea acces la date sensibile; astfel încrederea în furnizor devine esențială. NUKIB subliniază că guvernul chinez poate avea acces la datele stocate la furnizori privați de servicii cloud din China, ceea ce face ca anumite informații sensibile să poată ajunge la autoritățile chineze.
Agenția nu se concentrează doar pe echipamente mari din rețele industriale: avertismentele vizează și dispozitive de consum fabricate în China, precum smartphone-uri, camere IP, vehicule electrice, modele mari de limbaj (large language models), dar și echipamente medicale sau convertoare fotovoltaice. Toate acestea pot constitui vectori prin care date sensibile sunt transferate către infrastructuri legate de China. Prin urmare, nu sunt în discuție doar serverele mari, ci și obiectele de zi cu zi, iar în unele situații riscul apare din funcțiile de administrare la distanță sau din telemetria trimisă automat.
Obligațiile legale din Cehia pentru entitățile reglementate de Legea securității cibernetice, sectoare precum energie, transporturi, sănătate, administrație publică, servicii financiare și alte industrii critice, impun adoptarea unor măsuri de securitate care să includă această amenințare în analiza de risc. Ordinul emis de NUKIB nu interzice direct transferul de date către Republica Populară Chineză sau administrarea la distanță dinspre China, dar obligă organizațiile să evalueze riscul și să decidă ce măsuri de atenuare să pună în aplicare. Textul complet al ordinului este public, iar recomandarea pentru cetățeni este să studieze cu atenție buletinul și să verifice produsele pe care le folosesc, deși ordinul nu este obligatoriu pentru publicul larg.
Contextul nu este nou: în ultimii ani multe state au început să reevalueze relația cu unii furnizori de tehnologie în numele securității naționale. În Cehia, confirmarea activităților APT31 și creșterea nivelului de risc la High evidențiază că amenințarea nu mai este doar teoretică. Organizațiile trebuie să își actualizeze procedurile de management al riscului, să supravegheze canalele de comunicare și să ia în considerare alternative sau controale suplimentare atunci când cooperează cu furnizori sau echipamente care pot transmite date către infrastructuri aflate în China.
NUKIB recomandă precauție și revizuirea analizei de risc, iar deciziile specifice rămân la latitudinea fiecărei organizații, în funcție de criticitatea sistemelor, tipul de date și impactul potențial. Măsurile posibile includ restricționarea administrării la distanță, criptare puternică, segregarea rețelelor și audituri periodice ale furnizorilor. Pentru utilizatorii obișnuiți, mesajul este clar: verificați proveniența și politicile de gestionare a datelor ale produselor folosite.
NUKIB citează și exemple concrete din propria investigație: campania APT31 care a vizat Ministerul Afacerilor Externe și constatările privind accesul guvernamental la date stocate în cloud privat din China. Aceste elemente indică legătura directă dintre actori cibernetici activi și riscurile operaționale pentru instituțiile statului. Raportul obligă actorii critici să considere scenarii mai severe în planurile de continuitate și să implementeze controale tehnice și organizatorice adecvate.
Ordinul transmite un semnal pentru sectorul public și cel privat: reevaluarea riscului necesită măsuri concrete, nu doar avertismente formale. În timp ce deciziile finale privind interdicțiile sau restricțiile vor depinde de analize specifice, recomandarea este clară, includeți riscul legat de China în evaluările voastre și planificați pași concreți de atenuare. Pentru cetățeni, rămâne îndemnul de a evalua produsele și serviciile populare: smartphone-uri, camere IP, vehicule electrice, anumite servicii cloud și platforme care procesează date sensibile.
Avertismentul NUKIB și cazul APT31 oferă un exemplu practic: Ministerul Afacerilor Externe a fost ținta directă, iar agenția a majorat nivelul de risc la High. Aceasta presupune revizuirea furnizorilor cloud, impunerea de restricții pentru administrarea la distanță și aplicarea de măsuri de criptare și segregare pentru sistemele critice. Ce măsuri concrete credeți că ar trebui să implementeze instituțiile publice din România ca răspuns la avertismente similare?
daaaa, mai bine nu le bagăm pe chinezești, risc mare, vezi să nu.
Da, treaba e serioasa. Evitati chinezoiserii la infrastructuri critice. Restrictii la admin remote. Cripteaza tot ce poti. Segmenteaza reteaua. Fara cloud-uri private din China pt date sensibile. Verifica furnizorii, audituri periodice. Interziceri la echipamente suspecte in spitale, energie, transport. Back-up offline. Teste de penetrare frecvente. Proceduri de continuitate revizuite, scenarii mai dure. Loguri centralizate si monitorizare 24/7. Actualizari controlate, nu automtice din surse necunoscute. Daca e vendor cu ties in china, limiteaza accesul si pune proxie/si criptare end-to-end. Si da, cetatenii verifica ce cumpara: camere, telefoane, masini electrice — cititi politicu de date. Simplu.
Of, parcă îmi amintesc vremurile când telefonul era doar pentru apelat bunica, nu pentru săpat prin viața ta… acum orice chestie “smart” poate trimite bucăți din tine peste mări și muntii, și te uiți neputincios. mă apucă tristețea când mă gândesc la spitale care depind de chestii de genul ăsta; când eram copil, echipamentele erau simple și reparabile, nu niște cutii negre care poate vorbesc cu cine știe ce servere. și da, știu că e complicat, e scump să schimbi tot; dar mi se pare dureros că am ajuns să negociem intimitatea cu “eficiența”. vezi să nu…ne trezim că datele noastre ajung la alții și nici măcar nu știm cum sau de ce. trist, foarte trist.