Čínské produkty a bezpečnostní technologie

Předpokládejme, že většina z nás asi neví, že údajně již v roce 2021 čínské Ministerstvo průmyslu a informačních technologií vydalo závazné „Regulace pro řízení bezpečnostních zranitelností v síťových produktech“. Ty jsou zajímavé mimo jiné i tím, že čínští výrobci software a hardware musí hlásit zranitelnosti vládním úřadům. Zejména pak Národnímu centru pro kybernetickou bezpečnost (CNVD) a Ministerstvu státní bezpečnosti, dále mají zakázáno sdílet podrobnosti o zranitelnostech s jinými subjekty, než jsou schválené čínské instituce, zejména se zahraničními organizacemi bez povolení, a že bezpečnostní výzkumníci musí nahlásit zranitelnosti do sedmi dnů od jejich objevení a nesmí je veřejně publikovat před schválením čínskými úřady.

Asi není třeba moc napovídat. Čínské úřady a pravděpodobně tedy hlavně tajné služby, a zvláště pak jejich kybernetická oddělení mají možnost tyto zneužívat do doby, než jsou odhaleny někým jiným. O schopnostech čínských hackerů si asi nemusíme dělat iluze a v dnešní době je pro hackery zajímavým skutečně každý informační systém a počítač.

Penetrace trhu čínskými produkty v oblasti IoT (internet of things) je díky obchodní politice a dravosti čínských výrobců obrovská. „Cena je samozřejmě až na prvním místě“, nicméně neměla by polevit naše ostražitost a opatrnost.
 

Mimochodem zrovna nedávno se objevil příběh hackerského útoku, kdy kyberzločinci pro průnik a nasazení ransomware do sítě využili nezabezpečenou bezpečnostní kameru. Pořízení každé IT komponenty by dnes více než kdykoliv předtím mělo být tedy nikoliv formalitou, ale procesem, který bude obsahovat i hodnocení rizik včetně hodnocení dodavatele a výrobce. K tomu by nás měla směřovat i novela kybernetického zákona, ale i bez této zákonné „berličky“ bychom měli v zájmu „pudu sebezáchovy“ začít hodnotit nejenom cenu, ale i to, kdo nám to dodává a kdo to vyrábí. S ohledem na to, že čínské továrny chrlí téměř vše (a v nejbližší době tomu asi ani jinak nebude), je možné s jistotou konstatovat, že ne vždy půjde se vyhnout „problematické“ komponentě. Ta by však, pokud se rozhodneme ji provozovat, měla mít naši „speciální“ péči a pozornost.

Pokud tedy nevíte, jak se připravit na kybernetický zákon, jak hodnotit rizika, jakou bezpečnostní technologii vybrat tak, aby plnila vaše požadavky, klidně se obraťte na Aricomu. Rádi vám poradíme a jak se říká za zeptání, nic nedáte :)