チェコ共和国の国家サイバー・情報セキュリティ庁(NUKIB)は、国内の重要インフラ組織に対し、中国製技術の使用やユーザーデータを中国国内のサーバーに転送することを避けるよう指示しています。
同庁は、これらの行為が重大なサイバーセキュリティ上の脅威となると警告し、合理的な理由がない限り完全に回避すべきだとしています。
NUKIBは、中国による重大な障害発生リスクの評価を再検討し、現在は「高い」レベルと評価しており、発生の可能性が高いことを示しています。
「現在の重要インフラシステムは、データの保存や処理をクラウドリポジトリに依存し、リモート操作やアップデートを可能にするネットワーク接続にますます依存しています」とNUKIBの警告には記されています。
「実際には、技術ソリューションの提供者が重要インフラの運用に根本的な影響を与えたり、重要なデータにアクセスしたりすることができるため、供給者の信頼性が極めて重要となります。」
NUKIBは、中国のサイバーアクターによるチェコ共和国を標的とした悪意ある活動をすでに確認しており、最近ではAPT31によるチェコ外務省への攻撃キャンペーンが含まれていると述べています。
さらに同庁は、中国政府が国内の民間クラウドサービスプロバイダーに保存されたデータへアクセスできることを強調し、機密データが常に中国政府の手の届く範囲にあるとしています。
重要インフラ以外にも、NUKIBは中国企業が製造したスマートフォン、IPカメラ、電気自動車、大規模言語モデル、さらには医療機器や太陽光発電用パワーコンディショナーなどの消費者向け機器についても警告しています。
これらはすべて、機密性の高いデータを中国のインフラに転送する可能性のあるリスク機器と位置付けられています。
エネルギー、交通、医療、行政、金融サービスなど、チェコのサイバーセキュリティ法の対象となるすべての組織は、リスクを軽減するためのセキュリティ対策を講じなければなりません。
NUKIBの警告は、データの中国への転送や中国からのリモート管理を禁止するものではありませんが、重要インフラ組織は今後、この脅威をリスク分析に含め、リスク軽減のためにどのような対策が必要かを決定しなければなりません。
全文はこちらで公開されていますが、この命令は一般市民に対して法的拘束力はありません。
しかし、NUKIBはチェコ国民に対しても、この通達を慎重に検討し、自身が利用する製品を評価することを推奨しています。
