Národní úřad pro kybernetickou a informační bezpečnost vydal Varování před hrozbou v oblasti kybernetické bezpečnosti spočívající ve využívání produktů, aplikací, řešení, webových stránek a webových služeb, včetně aplikačního programového rozhraní (API), poskytovaných společností DeepSeek nebo jakoukoli její předchůdkyní, nástupnickou, mateřskou, dceřinou či přidruženou společností na zařízeních přistupujících k informačním a komunikačním systémům kritické informační infrastruktury, informačním systémům základní služby a významným informačním systémům. Varování je pro povinné osoby dle zákona o kybernetické bezpečnosti účinné od okamžiku vyvěšení na úřední desce NÚKIB.
Na základě vydaného varování musí povinné osoby dle zákona o kybernetické bezpečnosti zohlednit hrozbu v analýze rizik a na zjištěná rizika reagovat přijetím přiměřených bezpečnostních opatření. Hrozba je hodnocena na úrovni „Vysoká“, tedy jako pravděpodobná až velmi pravděpodobná.
Současně doporučuje i široké veřejnosti pečlivě zhodnotit použití dotčených produktů, popřípadě zvážení toho, jaké informace do nich vkládá. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučuje dotčené produkty nepoužívat. Vydané varování a výše zmíněná doporučení jsou v souladu se zákonem o kybernetické bezpečnosti, který ukládá NÚKIB mj. zajišťovat prevenci v oblasti kybernetické bezpečnosti.
Obavy z možných bezpečnostních hrozeb vyplývají především z nedostatečného zabezpečení přenosu a nakládání s daty, ze sběru takových typů dat, která ve větším rozsahu mohou vést k de-anonymizaci uživatelů, a v neposlední řadě také z právního a politického prostředí Čínské lidové republiky, jemuž je společnost DeepSeek zcela podřízena.
Toto varování se nevztahuje na bezpečnostní testování, výzkum a analýzu dotčených produktů ani open-source velké jazykové modely společnosti DeepSeek, jejichž zdrojový kód je veřejně přístupný a který je provozován lokálně, bez možnosti komunikace se servery využívanými společností DeepSeek ani s jejími předchůdkyněmi, nástupnickými, mateřskými, dceřinými či přidruženými společnostmi.
„Při analýze, která vedla k tomuto varování, jsme vycházeli z kombinace vlastních zjištění a informací od našich zahraničních partnerů. Dotčené produkty společnosti DeepSeek nakládají s daty způsobem, který může představovat bezpečnostní riziko pro subjekty spadající pod zákon o kybernetické bezpečnosti. V kontextu právního prostředí Čínské lidové republiky, které umožňuje státním orgánům přístup k těmto datům, je důvod k obavám zcela oprávněný. To ostatně potvrzuje i nedávná atribuce kybernetického útoku skupiny APT31, napojené na Čínu, proti českému Ministerstvu zahraničních věcí. Ukazuje se, že Peking je připraven jednat v přímém rozporu se zájmy České republiky,“ uvedl ředitel NÚKIB Lukáš Kintr.
Simultánně s tímto varováním také Vláda ČR schválila usnesení týkající se dotčených produktů DeepSeek. Usnesením bylo členům vlády, ministerstvům a jiným ústředním orgánům státní správy uloženo, že jim podřízená ministerstva a další orgány státní správy nebudou pro výkon jejich pravomocí využívat produkty, aplikace, řešení, webové stránky a webové služby (včetně API) poskytované společností DeepSeek nebo jakoukoli její předchůdkyní, nástupnickou, mateřskou, dceřinou či přidruženou společností. Zákaz se týká užívání výše uvedeného na jakýchkoli zařízeních v majetku státu. Uložená povinnost musí být dle čl. IV odst. 4 Jednacího řádu vlády splněna do 30 dnů. Toto usnesení, stejně jako u varování Úřadu, nezahrnuje open-source velké jazykové modely (LLM) DeepSeek, jejichž celý zdrojový kód je k dispozici k nahlédnutí a analýze, v případě, že je model nasazen lokálně bez možnosti komunikovat na servery využívané společností DeepSeek.
Plné znění varování naleznete zde a metodiku k varování zde.
TZ
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS
