Varování před hrozbou spočívající v předávání dat a ve výkonu vzdálené správy z Čínské lidové republiky

Domluvit schůzku

Co to znamená?

NÚKIB upozorňuje na závažná rizika spojená s předáváním dat a výkonem vzdálené správy z území Čínské lidové republiky*. Podle zjištění existuje zvýšené riziko neoprávněného přístupu k citlivým informacím, možného ovlivnění nebo narušení provozu systémů nebo zvýšené zranitelnosti v případě geopolitického napětí.

Koho se to týká?

Dle ZKB: Správců a provozovatelů kritických informačních infrastruktur, významných informačních systémů a informačních systémů základních služeb. Tyto subjekty musí varování zohlednit ve své analýze rizik a přijmout odpovídající bezpečnostní opatření. Poskytovatelé digitálních služeb by měli varování zohlednit v rámci své analýzy rizik a při řízení dodavatelského řetězce.

Dle nZKB: Poskytovatelů regulované služby v režimu vyšších povinností. Pro ně je varování povinné a budou ho muset zohlednit ve svých bezpečnostních opatřeních. Pro poskytovatelé regulované služby v režimu nižších povinností je zohlednění varování dobrovolné, s výjimkou situací, kdy se stane nepřímo povinným skrze smluvní ujednání s dodavateli.

Čeho přesně se to týká?

Zde jsou uvedeny nejčastější případy předávání dat a výkonu vzdálené správy z Čínské lidové republiky:

  • Čínské IP kamerové systémy: Tyto systémy mají vysoké riziko zneužití zranitelností. NÚKIB upozorňuje na problémové propojení výrobců s čínským státem a pravděpodobný sběr zpravodajsky cenných informací. Při nasazení kamer čínského původu je zásadní permanentně sledovat informace stran zranitelností. Doporučuje se především jejich izolace a nevystavení do internetu. V případě, že jsou kamery připojeny k internetu, mělo by probíhat pravidelné auditování aktivity na portech za účelem detekce nezvyklé komunikace.

  • Čínské střídače ve fotovoltaických elektrárnách (FVE): Střídače z Číny představují potenciální bezpečnostní hrozbu, která se může projevit vzdálenou manipulací, ohrožením elektroenergetické sítě nebo zneužitím dat.

  • Čínská připojená vozidla: Tato vozidla jsou označována jako ideální nástroj pro špionáž. Důvodem je enormní množství dat, které shromažďují (včetně údajů o poloze a trasách), v kombinaci s čínským právním prostředím, které umožňuje státním orgánům k těmto datům snadný přístup.

  • Vzdálená správa a servis z Číny: Pokud jsou vaše systémy a data spravovány nebo servisovány na dálku ze serverů umístěných v Číně, jste vystaveni zvýšenému riziku. Čínské zákony mohou umožnit vládním orgánům přístup k datům uloženým na jejich území a vynutit si spolupráci soukromých společností.

  • Nákup technologií pro digitální infrastrukturu: Při pořizování jakýchkoli IT/OT technologií, jejichž dodavatel je společnost sídlící v Číně, je nutné provést důkladnou bezpečnostní analýzu rizik. Varování NÚKIB by mělo být zohledněno již ve fázi zadávání veřejných zakázek.

Jak mám postupovat?

  1. Identifikace relevantních aktiv a detailní posouzení aktiv

    U kterých primárních aktiv může docházet nebo dochází k předávání systémových a uživatelských dat nebo ke vzdálené správě technických aktiv, prostřednictvím jakých podpůrných aktiv může docházet nebo dochází k předávání systémových a uživatelských dat nebo ke vzdálené správě technických aktiv. Nutné nejdříve určit relevantní primární aktiva, dále nutné provést mapování vazeb a souvislostí s podpůrnými aktivy.

  2. Zohlednění hodnoty aktiv

    Hodnocení z hlediska důvěrnosti, dostupnosti a integrity.

  3. Zohlednění varování v rámci procesu řízení rizik

    Nutné zohlednit hrozby, které Varování uvádí, a vytvořit relevantní kombinace hrozeb a zranitelností a následně podle stanoveného vzorce vyčíslit hodnotu rizika. Hrozba musí být hodnocena jako vysoká.

  4. Zvládání rizik

    Pokud vzniklé riziko spojené s předmětem Varování přesáhne akceptovatelnou úroveň, je nutné přistoupit k ošetření daného rizika (vyhnutí se riziku, snižování rizika atd.).

Jaký to má dopad?

  • Provoz - zvýšená bezpečnostní opatření (pokud technologie nelze hned vyřadit), možné změny architektury IT/OT (při odpojování nebo přesunu správy), riziko pro kontinuitu služeb (pokud se organizace rozhodne ukončit závislost na čínském dodavateli, může to krátkodobě zvýšit provozní náklady nebo vyžadovat odstávku při migraci)

  • Akvizice - změna nákupní politiky (technologie nebo služby z Číny není doporučeno pořizovat), vyhodnocení rizik před nákupem (nutné provést bezpečnostní analýzu ve vztahu k Varování u každého nového dodavatele nebo technologie), vyšší náklady (bezpečnostně přijatelnější alternativy mohou být dražší), zdržení akvizic (proces pořizování může být pomalejší)

  • Dodavatelé - hodnocení dodavatele (ověření, zda dodavatelé nevyužívají technologie či vzdálenou správu z Číny), nové smluvní požadavky (v rámcových smlouvách a tendrech se mohou objevit nové bezpečnostní klauzule), možné omezení spolupráce (pokud dodavatel není ochoten riziko řešit, může být vyřazen z tendru nebo spolupráce s ním může být ukončena, dodavatelské audity (klienti mohou začít více kontrolovat své partnery a požadovat doložení, jak zohlednili Varování NÚKIB)

Jak může pomoci tým Guardians.cz?

  • Diagnostika - identifikace aktiv, které jsou Varováním dotčeny

  • Analýza rizik - pomoci klientům integrovat Varování do procesů řízení rizik včetně hodnocení dopadu a akceptovatelných úrovní

  • Výběr opatření - navrhnout konkrétní technická a organizační opatření, podpora při technické realizaci nabízených opatření

  • Dodavatelský audit - pomoc při vyhodnocování dodavatele, identifikace rizik, podpora při tvorbě smluvních klauzulí a požadavků

  • Konzultace při zadávání zakázek - zahrnutí rizik do zadávací dokumentace a výběrových kritérií

  • Školení a awareness - vzdělávací aktivity pro management i technický tým klienta o povaze hrozby, právních souvislostech a doporučených postupech

Chcete vědět víc, nebo si rovnou domluvit schůzku? Jsme tu pro vás.

Na kyberbezpečnost nemusíte být sami.

Kontakt