Národní úřad pro kybernetickou a informační bezpečnost

Upozorňujeme na hrozbu spojenou s aplikací WeChat

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na hrozbu spojenou s používáním mobilní aplikace WeChat a její čínské verze Weixin (dále jen WeChat). Ta sbírá velký objem uživatelských dat, a právě to by – v kombinaci se způsobem jejich sběru – mohlo sloužit k přesnému zacílení kybernetických útoků. Za aplikací WeChat stojí společnost Tencent se sídlem v Čínské lidové republice (ČLR). Podle ověřených informací NÚKIB je úzce provázána s čínskou vládou a tamní komunistickou stranou.

Platformu WeChat ve světě využívá přibližně 1,3 miliardy aktivních uživatelů. Nejvíce oblíbená je v ČLR a v zemích s početnějšími čínskými komunitami. V České republice ji užívá zhruba 40 tisíc lidí, jde ale často o exponované osoby – např. diplomaté, obchodníci, akademici nebo čínští disidenti. Jejich citlivá data získaná prostřednictvím WeChat by tak mohla být v budoucnu zneužita např. k vydírání.

Hrozba související s aplikací WeChat připomíná hrozbu spojenou s používáním aplikace TikTok čínské společnosti ByteDance. Před ní NÚKIB varoval letos v březnu.

„K vydání upozornění nás vedly nejen vlastní analýzy, ale i informace od tuzemských a zahraničních partnerů. Na rozdíl od TikToku je ale počet uživatelů u platformy WeChat výrazně nižší, a proto jsme přistoupili v tomto případě k upozornění, nikoli k vydání varování,“ vysvětluje ředitel NÚKIB Lukáš Kintr.

Aplikaci a sociální síť s řadou dalších funkcí WeChat vyvinula a provozuje společnost Tencent se sídlem v čínském Šen-Čenu. Řídí se tedy čínskou legislativou, která je v mnoha ohledech velmi striktní.  Například zákon o státní bezpečnosti, zákon o státní zpravodajské činnosti ale i zákon o obchodních společnostech či pravidla pro nahlašování zranitelností v síťových zařízeních, ukládají jednotlivým subjektům různými způsoby spolupracovat s čínskými bezpečnostními složkami.  A to i v případě, že to jde proti zájmu jejich zahraničních partnerů či zákazníků. Dle otevřených zdrojů i informací od partnerů NÚKIB je společnost Tencent provázaná se státní správou ČLR a Komunistickou stranou Číny. Vlivové působení ČLR v České republice vede k důvodné obavě ze zneužití dat, která aplikace shromažďuje.

WeChat byl už zakázán v Indii a stejně tak v některých státech USA. V Nizozemí letos vydali doporučení pro státní zaměstnance nepoužívat aplikace ze zemí, které proti státu vedou ofenzivní kybernetické operace. Stejně tak aplikaci v roce 2023 na vládních zařízeních zakázala Kanada.

Doporučení NÚKIB

„Pokud potřebujete WeChat používat, doporučujeme, abyste měli aplikaci nainstalovanou na jiném zařízení než na tom, se kterým běžně pracujete a na kterém máte své účty a data. Pokud to není možné, doporučujeme, abyste WeChat ve svém zařízení měli jen na nezbytně nutnou dobu a povolovali jste aplikaci jen oprávnění, která potřebuje pro své fungování,“ říká ředitel NÚKIB Lukáš Kintr.

NÚKIB v případě aplikace WeChat přistoupil k vydání upozornění – nejedná se tedy o varování dle zákona o kybernetické bezpečnosti, jako tomu bylo v případě aplikace TikTok. I tak je ale podle Úřadu vhodné rizika spojená s používáním aplikace WeChat nepodceňovat a její případné další užívání přizpůsobit či výrazně omezit.

Celé upozornění naleznete na odkazu: Národní úřad pro kybernetickou a informační bezpečnost - NÚKIB upozorňuje na hrozbu spojenou s aplikací WeChat společnosti Tencent (nukib.cz)

 

FAQ k WeChat

Co je to upozornění?

Upozornění je právně nezávazným poukázáním na hrozbu v oblasti kybernetické bezpečnosti, ze kterého neplynou žádné přímé povinnosti. Informace může být jedním ze vstupů do procesu řízení rizik v organizaci.

Proč upozornění vydáváme nyní?

NÚKIB průběžně vyhodnocuje hrozby v oblasti kybernetické bezpečnosti na základě vlastní činnosti, informací od partnerů i z dalších zdrojů. Pokud se NÚKIB dozví o určité hrozbě v oblasti kybernetické bezpečnosti, která dosahuje určité intenzity nebo rozsahu, musí na takovou hrozbu reagovat. Při vyhodnocování hrozby se vyhodnocuje řada parametrů, například rozšíření dané technologie, její využití v regulovaných systémech, možnost jejího zneužití, výrobce technologie a podobně.

Bezpečnostní hrozbu spojenou s aplikací WeChat od společnosti Tencent NÚKIB sleduje a vyhodnocuje dlouhodobě. V minulém roce na ně již NÚKIB upozornil vybrané subjekty z okruhu adresátů zákona o kybernetické bezpečnosti a partnerů. V roce 2023 přibyla celá řada významných zjištění a analýz, které utvrdily a prohloubily podezření spojená s aplikací, což vedlo NÚKIB k vydání tohoto upozornění.

Tencent sám uvedl, že všechna uživatelská data ukládá v Hong Kongu (HK) a Singapuru. Vzhledem přijatému zákonu o národní bezpečnosti je umístění dat v HK ekvivalentní s umístěním dat v pevninské Číně. Vzhledem k čínské legislativě, která vyžaduje po fyzických i právnických osobách spolupráci při zajišťování národní bezpečnosti, existuje významné riziko zneužití těchto dat. Čínský stát vlastní podíl (tzv. Special Management Shares) ve společnosti Tencent, který mu dává zvláštní pravomoci. V rámci Tencentu funguje buňka Komunistické strany Číny (KSČ), která KSČ dává přehled a vliv na dění ve společnosti. Z jakého důvodu upozornění vydáváme?

NÚKIB vydává toto upozornění, protože aplikace sbírá řadu informací o uživateli a jeho chování i o zařízení, kde je nainstalována. Tato data a informace ukládá na serverech v ČLR a v Hong Kongu a není zřejmé, kdo k nim má přístup. WeChat je v ČR používán omezeným množstvím osob (dle tohoto webu jde o 40 000 uživatelů), ty jsou však často velmi exponované, jelikož WeChat slouží primárně ke komunikaci s osobami a organizacemi v ČLR. Tato komunikace může být předmětem monitorování či cenzurou soukromých zpráv. Provozovatel aplikace, společnost Tencent, zároveň funguje v čínském právním prostředí, které samo o sobě přináší rizika. Tyto závěry jsou podloženy analýzami z veřejných zdrojů i informacemi od tuzemských a zahraničních partnerů. 

V ČLR je navíc bez aplikace velmi těžké fungovat a lze říci, že kdokoli, kdo v zemi pobývá a působí, se její instalaci a užívání velmi pravděpodobně nevyhne. WeChat (resp. jeho čínská varianta WeiXin) během pandemie Covid-19 mj. sloužil autoritám k monitorování nakažených osob a regulaci jejich pohybu.

Koho se upozornění týká? Je pro někoho závazné? Vyplývají z něj pro někoho nějaké povinnosti?

Orgány a osoby spadající do působnosti zákona o kybernetické bezpečnosti sice nemají zákonnou povinnost zohlednit upozornění v procesu řízení rizik, jako je tomu u varování, přesto však doporučujeme tak učinit a informací o hrozbě spojené s používáním aplikace WeChat se vážně zabývat. Zhodnocení rizikovosti používání aplikace doporučujeme jak ve vztahu k zařízením souvisejícím s regulovanými systémy, tak i ve vztahu k soukromým zařízením, neboť sběr informací popsaný v upozornění se netýká pouze pracovních telefonů a zařízení.

Jaké kroky je případně potřeba podniknout v reakci na upozornění?

Z upozornění nevyplývají žádné povinnosti, nicméně doporučujeme rizika plynoucí z užívání aplikace WeChat zvážit a případně je omezit. Z pohledu veřejnosti je vhodné zvážit používání technologie a zamyslet se nad tím, co skrze aplikaci sdílí. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučujeme aplikaci nepoužívat, případně ji instalovat na separátní zařízení, kde se nenachází citlivé informace uživatele (účty, přihlašovací údaje apod.).

Nejsou hrozbou také další sociální platformy podobného typu?

Mobilní aplikace a zejména sociální média o svých uživatelích sbírají velké množství informací. Obecně je tudíž vhodné pečlivě zvážit, jaké aplikace používat, jak se na nich chovat a jaké informace na nich sdílet. Pozornost je třeba věnovat i oprávněním, přes která se jednotlivým aplikacím povoluje přístup k datům, službám a funkcím v zařízení.

V případě WeChatu jsou hrozby markantnější než u většiny srovnatelně populárních aplikací. Aplikace o svých uživatelích sbírá velké množství dat, které bezprostředně nepotřebuje ke svému fungování. Dále je potřeba brát v potaz čínské právní prostředí, které ukládá povinnost čínským společnostem, a tudíž i provozovatelům aplikací jako je WeChat, spolupracovat a sdílet informace se státem, a to bez náležitých právních záruk.

Obecně doporučujeme věnovat pozornost tomu, kdo je původcem aplikací, se kterými sdílíte velké množství dat a informací, jaké informace sbírá a v jakém právním prostředí působí.

Jak jsou ohroženi běžní uživatelé, pokud budou nadále používat aplikaci WeChat?  

V případě, že budou uživatelé nadále využívat aplikaci, bude o nich aplikace dále sbírat velké množství dat, která nejsou relevantní pro fungování samotné aplikace, ale mohou být v budoucnu zneužita. Také by měli mít na paměti, že obsah jejich konverzace může být sledován. Samotné rozhodnutí o používání je však věcí každého jednotlivce.

 

 

30.11.2023

Národní koordinační centrum výzkumu a vývoje má vlastní web

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) představuje projekt NCC-CZ (Czechia Cybersecurity Coordination Centre) zaměřený na zajištění vzniku a fungování Národního koordinačního centra výzkumu a vývoje v oblasti kybernetické bezpečnosti (NKC). Projekt, který je plánován jako dvouletý, je spolufinancován z programu Evropské unie s názvem Digitální Evropa a odstartoval na začátku listopadu 2023. NÚKIB nyní spustil k projektu také webové stránky nkc.nukib.cz.

Nové webové stránky nabízí zájemcům podrobné informace o projektu a činnosti. Najdou tam aktuální informace o aktivitách NKC a Evropského průmyslového, technologického a výzkumného centra kompetencí pro kybernetickou bezpečnost (ECCC) a národní expertní komunity v oblasti výzkumu, vývoje a inovací. V neposlední řadě také novinky z oblasti poskytování finanční podpory v relevantních programech Evropské unie (EU).

Vznik NKC v České republice zajišťuje NÚKIB – je tedy hlavním kontaktním bodem pro komunikaci s EU a koordinátorem spolupráce na národní úrovni. NÚKIB na projektu spolupracuje s ústavem CyberSecurity Hub (CSH), který sdružuje tři přední české veřejné vysoké školy (Masarykovu univerzitu v Brně, Vysoké učení technické v Brně, České vysoké učení technické v Praze).

Národní koordinační centra aktuálně vznikají v řadě členských států EU a budou plnit širokou škálu úkolů. Na národní úrovni mají NKC sloužit mj. jako kontaktní bod, posuzovat žádost subjektů o členství ve vznikající evropské „Komunitě kompetencí pro kybernetickou bezpečnosti“. Dále podporovat zapojování relevantních subjektů do projektů v oblasti kybernetické bezpečnosti financovaných ze zdrojů EU a případně také poskytovat finanční podporu třetím stranám skrze tzv. mechanismus kaskádového financování. Na evropské úrovni se potom očekává jejich aktivní role v oblasti poskytování odborných znalostí a vstupů k plnění úkolů (ECCC).

20.11.2023

O aktuálních výzvách na poli kybernetické bezpečnosti diskutovali odborníci v Brně

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) uspořádal ve středu 15. listopadu 2023 v Brně již sedmé jednání Platformy pro výzkum a vývoj v oblasti kybernetické a informační bezpečnosti (dále jen Platforma). Setkání se konalo v sídle CyberSecurity Hub, spoluorganizátora akce. Mezi účastníky byli nejen zástupci státního a soukromého sektoru, ale také akademické obce. Akce dlouhodobě nabízí především prostor k diskusi a networkingu mezi různorodými aktéry, kteří se věnují kybernetické bezpečnosti.

Platformu zahájil náměstek ředitele NÚKIB Pavel Štěpáník, který ve svém projevu hovořil mj. i o komplexnosti kyberbezpečnostní problematiky: „Plnění úkolů Národního plánu výzkumu a vývoje v kybernetické a informační bezpečnosti, zaštítění vytvoření Národního koordinačního centra a spolupráce s národními i evropskými partnery dokumentují, že kybernetická bezpečnost se nesestává pouze z aktivit a činností technického charakteru. Jedná se o multidisciplinární problematiku, která si vyžaduje adekvátní zapojení napříč celou veřejnou, akademickou a soukromou sférou.“

Během dopoledního bloku vystoupil ředitel CyberSecurity Hub Roman Čermák, který v rámci svého vstupu v prostorách CERIT Science Park II, kde jím vedená organizace sídlí, představil posluchačům činnost subjektu a Cyber Campus CZ. Navázala na něj Nikola Chvátalová z Oddělení vědy, výzkumu a inovací z NÚKIB, která odprezentovala činnost Evropského kompetenčního centra a Národního koordinačního centra výzkumu a vývoje v oblasti kybernetické bezpečnosti. Neméně zajímavý byl i příspěvek Lenky Škrábalové, vedoucí Oddělení digitální ekonomiky a společnosti Ministerstva průmyslu a obchodu. Přítomné seznámila s aktuálními výzvami v programu Digitální Evropa. Dopolední blok uzavřel online vstup Aleny Turoňové z Oddělení multilaterální spolupráce II NÚKIB věnovaný současnému dění na poli EU v kybernetické bezpečnosti a roli NÚKIB v Bruselu.

Odpolední program přinesl tři panelové diskuse moderované zástupci NÚKIB, kde spolu diskutovali odborníci z řad soukromého sektoru, veřejné správy a akademické sféry. První z nich se věnovala roli státu v oblasti strategického rámce a podpory výzkumu a vývoje v oblasti kybernetické bezpečnosti. Ta nejenže přiblížila proces formování národních strategií v oblasti výzkumu a vývoje v kybernetické a informační bezpečnosti, ale také umožnila členům komunity prezentovat a diskutovat svoje postoje a vnímání budoucího směřování státu a jeho priorit v této oblasti. V druhé debatě o přechodu ke kvantově odolné kryptografii se hovořilo např. o reálnosti kvantové hrozby a lišících se predikcích. Řeč byla také o strategických projektech v oblasti budování kvantové komunikační infrastruktury. Odpolední blok pak uzavřela diskuse o vzdělávání a cvičení na poli kybernetické a informační bezpečnosti. V jejím rámci byly řešeny inovativní přístupy ke vzdělávání v této oblasti, téma evropského kvalifikačního rámce a otázka měření úspěšnosti vzdělávacích aktivit.

Členové Platformy mezi sebou nově přivítali zástupce Univerzity Pardubice, Univerzity Tomáše Bati ve Zlíně a Západočeské univerzity v Plzni. Národní výzkumná komunita se rozšířila i v řadách soukromého sektoru, kdy se jednání zúčastnila také První certifikační autorita nebo společnost Tropic Square. Na budoucích jednáních Platformy jsou vítáni také noví zájemci, kteří mohou NÚKIB kontaktovat na e-mailové adrese vyzkum@nukib.cz. Další jednání Platformy je plánováno do Prahy na jaro 2024.

16.11.2023

Zástupce NÚKIB jednal v Singapuru s odborníky ze státní, soukromé i akademické sféry

Ve dnech 17. až 20. října 2023 byl Tomáš Martynek z Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) součástí české delegace vedené náměstkem ministra zahraničních věcí České republiky (MZV) Jiřím Kozákem, která se v Singapuru setkala se zástupci tamní státní, soukromé i akademické oblasti. Svou účastí podpořila delegace také český stánek na největším asijském veletrhu orientovaném na oblast kyberbezpečnosti GovWare, který proběhl v rámci Singapore International Cyber Week. Cílem cesty byla především výměna zkušeností a navázání kontaktů a případné spolupráce mezi českými a singapurskými subjekty.

Kromě Tomáše Martynka z Oddělení analýzy síťového provozu NÚKIB se za oblast kybernetické bezpečnosti programu účastnil také Martin Jírovec, poradce pro transfer technologií na Fakultě informačních technologií VUT v Brně. Spolu s ostatními členy delegace se oba setkali se zástupci Cyber Security Agency, která je singapurskou obdobou NÚKIB.

Absolvovali také jednání se zástupci firmy ST Engineering, která je státní institucí v oblasti bezpečnosti tvořící most mezi soukromými subjekty, výzkumem a vládními složkami včetně bezpečnostních. Diskuse byla zaměřena jak na podporu výzkumu a vývoje, tak i na konkrétní česká řešení v kyberbezpečnosti. Dále se zástupci České republiky setkali s představiteli společnosti SingTel, která je místním státním poskytovatelem telekomunikací a integrátorem kyberbezpečnostních opatření a informovali se v agentuře IPI Singapore o možnostech podpory inovativních digitálních firem. Hlavním cílem všech setkání bylo navázat kontakty a případnou spolupráci mezi českými a singapurskými subjekty.

V rámci nabitého programu proběhlo také slavnostní zahájení největšího asijského veletrhu orientovaného na oblast kyberbezpečnosti GovWare a symbolické otevření českého stánku. Úvodní slovo pronesla velvyslankyně Michaela Froňková a přípitek provedl náměstek MZV Kozák. Následný networking nabídl příležitost potkat se s desítkami zástupců z řad singapurských kyberbezpečnostních firem a institucí.

Během konferenční části Singapore International Cyber Week, jejíž součástí byl i veletrh GovWave, proběhl i český odborný side-event na jehož organizaci se kromě NÚKIB podílela i Evropská unie skrze projekt ESIWA a singapurská Cyber Security Agency. Stěžejními tématy diskuse byla především implementace norem chování v kyberprostoru a výměna zkušeností s ochranou kritické infrastruktury. Tato akce přilákala představitele akademické, vládní i komerční sféry a na jejím konci měli čeští zástupci příležitost získat další cenné kontakty.

Delegace se také setkala s vedením místních významných univerzit – Nanyang Technological University, National University of Singapore a Singapore University of Technology and Design. Na tato jednání navázali Martynek a Jírovec diskusemi s odborníky z daných univerzit, kde debatovali o současném přístupu obou zemí k detekcím kybernetických hrozeb, aktuálním know-how, výměně dobré praxe a především o možnostech další spolupráce na společném výzkumném projektu zaměřeném na pokročilé detekce v kybernetické oblasti.

Díky tomu, že cesta české delegace probíhala ve stejnou dobu jako Singapore International Cyber Week, měli její členové možnost setkat se s mnoha protějšky z celé Asie a získat tak informace o různých pohledech na kyberbezpečnostní oblast, než jaké se nabízí v rámci Evropské unie.

Aktivity proběhly v rámci programu Projekty na podporu ekonomické diplomacie (PROPED) Ministerstva zahraničních věcí České republiky, který slouží k prezentaci České republiky v perspektivních sektorech ve vztahu k dané zemi.

08.11.2023