Čína je dle české vlády odpovědná za kyberkampaň proti resortu zahraničí

„Tato škodlivá aktivita, která trvala od roku 2022 a zasáhla instituci zařazenou na seznam české kritické infrastruktury, byla provedena kyberšpionážní skupinou Advanced Persistent Threat 31 (APT31), veřejně spojovanou se zpravodajskou službou Ministerstvo státní bezpečnosti (MSS),“ napsal resort.

Podle ministra zahraničí Jana Lipavského začal útok během českého předsednictví EU v roce 2022. Brzy se ho ale podařilo odhalit, tvrdí. Tajné služby pak podle něj pracovaly na odhalení jeho původce. Vyšetřování je dovedlo k čínským hackerům. „Nějaký čas nám zabralo vyhodnocení. Dneska je ta síť odstavena od internetu, to znamená, že útok už nemůže probíhat.“ Dodal, že je nasazen nový komunikační systém, což proběhlo prvního července roku 2024. Uvedl také, že problém zdědil po předchozích vládách, kdy incidentů bylo více. Nešlo o utajované informace, ale o informace vnitřního charakteru, dodal.

Premiér Petr Fiala (ODS) na síti X napsal, že hrozbu se podařilo odhalit díky vynikající práci zpravodajských a bezpečnostních složek.

Nemáte důkazy, tvrdí čínská strana

Čínský velvyslanec v České republice Feng Piao byl předvolán na ministerstvo zahraničí ve středu dopoledne, protest mu vznesla šéfka bezpečnostní sekce Stromšíková, sdělil mluvčí resortu. „Neměl o tom informace, takže jeho reakce byla velmi pracovní,“ řekl ministr.

Čínské velvyslanectví v Česku se ve středu odpoledne ohradilo proti obviněním vůči Číně v souvislosti s kyberšpionáží. „Rámec odpovědného chování států OSN jasně stanoví, že zkoumání původu kybernetických útoků musí být založeno na jasných a spolehlivých důkazech. Čína v žádném případě nepřijímá, aby Česká republika bez jakýchkoli důkazů osočovala a očerňovala Čínu pod záminkou kybernetické bezpečnosti,“ uvedlo velvyslanectví.

Útoku si všímají i světová média, například server Politico zmínil, že je to poprvé, co česká vláda oficiálně připsala kybernetický útok státnímu aktérovi.

Skupina APT31 stojící za útokem má zkušenosti s vysoce profilovými útoky z minulosti. Údajně stála například za útokem cíleným na osobní e-maily týmu Joea Bidena, když usiloval v prezidentské kampani o zvolení do Bílého domu v roce 2020, uvádí Politico. V roce 2024 na některé jednotlivce spojené s APT31 uvalily Spojené státy a Spojené království sankce.

Vyšetřování incidentu, které podle resortu určilo zodpovědnost za útok s vysokou mírou jistoty, provedly společně Bezpečnostní informační služba, Vojenské zpravodajství, Úřad pro zahraniční styky a informace a Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).

Vláda podle ministerstva jednoznačně odsoudila tuto škodlivou kybernetickou kampaň proti své kritické infrastruktuře a vyzvala Čínu k dodržování závazků a principů, zdržení se obdobných útoků a přijetí odpovídajících opatření.

„Tyto aktivity jsou v rozporu s normami odpovědného chování států v kybernetickém prostoru, které podpořily všechny státy OSN. Vyzýváme Čínskou lidovou republiku, aby tyto závazky a principy dodržovala, zdržela se obdobných útoků a přijala odpovídající opatření s ohledem na tuto situaci,“ uvádí resort.

Solidaritu po kybernetickém útoku proti Česku vyjadřují EU a její členské státy a další spojenci v rámci NATO, jehož generální tajemník Mark Rutte uvedl, že spojenci stojí za Českou republikou v souvislosti se zákeřnou kybernetickou kampaní, kterou proti Česku vedla Čína.

Šéfka unijní diplomacie Kaja Kallasová podle Politica rovněž vyzvala „všechny státy, včetně Číny, aby se zdržely podobného chování, respektovaly mezinárodní právo a principy, na kterých stojí, včetně těch spojených s bezpečností kritické infrastruktury“.

Podle unijní diplomacie v posledních letech zesílily škodlivé kybernetické aktivity spojené s Čínou zaměřené na EU a její členské státy. „V roce 2021 jsme naléhavě vyzvali čínské orgány, aby přijaly opatření proti škodlivým kybernetickým aktivitám prováděným z jejich území,“ stojí v prohlášení. „Během dvoustranných jednání jsme opakovaně vyjadřovali své obavy a budeme v tom pokračovat i v budoucnu,“ dodává text prohlášení Unie.

Poslanci se budou věnovat opatřením na ministerstvu

Zmíněný kybernetický útok chce ANO projednat na bezpečnostním výboru sněmovny. Podle místopředsedy hnutí Roberta Králíčka je potřeba prověřit, jestli Černínský palác přijal dostatečná bezpečnostní opatření, aby už k podobným situacím nedocházelo. Dodal, že dva roky jsou poměrně dlouhá doba i v kybernetickém světě. „Je to zásadní selhání části ministerstva zahraničí,“ domnívá se.

„Není to poprvé, co ministerstvo zahraničních věcí bylo pod nějakým kybernetickým útokem. Problémy s kybernetickou bezpečností tam vnímám dlouhodobě. Jen mi to potvrzuje, že Čína je pro mě osobně větším bezpečnostním rizikem než Rusko. Snaží se získat důležité informace nejen z politického světa, ale i z akademické či vědecké půdy a je to pro nás velkým rizikem,“ řekl člen poslaneckého výboru pro bezpečnost.

Kybernetická bezpečnost má podle Králíčka mít prioritu a má se do ní investovat, aby země byla na podobné útoky připravena. Ocenil také práci a koordinaci českých bezpečnostních složek při vyšetřování incidentu.

„Vláda České republiky označila Čínskou lidovou republiku za zodpovědnou za škodlivou kybernetickou kampaň proti jedné z neutajovaných komunikačních sítí ministerstva zahraničních věcí,“ uvedl mluvčí ministerstva zahraničních věcí Daniel Drake.

Podle serveru Seznam Zprávy měly být cílem e-mailové schránky. 

Podle ředitele NÚKIBu Lukáše Kintra šlo o jeden z nejzásadnějších kybernetických útoků v tuzemsku. Situaci by ale neoznačil za selhání, jelikož i při vysoké míře odpovědnosti a zabezpečení je prý možné stát se obětí takového kyberútoku. Pravděpodobnost opakování obdobného útoku je ale nyní podle Kintra výrazně nižší.

V souvislosti se zákonem, který by zakázal používání čínských technologií v klíčových sítích a který se nyní nachází v Senátu, šéf NÚKIBu sdělil, že „jestliže budeme investovat do všech bezpečnostních mechanismů a budeme se snažit zodolnit naši klíčovou infrastrukturu, tak by bylo velmi naivní do ní pouštět čínské technologie, které často vyžadují pro servisní zákroky přístup do infrastruktury jako takové“.

Expert: Útočníci často proniknou přímo do e-mailu

Odborník na kyberbezpečnost Jan Kopřiva ze společností Alef Nula a Nettles Consulting uvedl, že útočníci často proniknou přímo do e-mailové schránky. „Čili připojí se k ní,jako by byli jejími legitimními vlastníky. A následně z ní sbírají e-maily, přijímané či odesílané,“ nastínil. Zmínil i druhou variantu, k níž by se v tomto případě spíše přikláněl. „Vytvoří si v rámci schránky automatické pravidlo, které zajišťuje přeposílání veškeré přijímané nebo vybrané odesílané pošty do jiné schránky, která už je pod kontrolou útočníka.“

Předpokládá, že ministerstvo po odhalení zavedlo úplně jiné komunikační mechanismy. Například místo e-mailů používá mobilní či jinou aplikaci, jejíž komunikace je šifrovaná. „Obecně platí, že jakýkoliv komunikační systém lze zabezpečit na několika místech. Tedy buď na úrovni jeho administrace, nebo na úrovni zařízení konkrétního příjemce zpráv.“

Předseda poslaneckého výboru pro bezpečnost Pavel Žáček (ODS) řekl, že poslanci z výboru průběžně dostávali v nezbytně omezené míře informace o vývoji případu. „Šlo o velmi složitou záležitost, bylo nutné provést nejen tu atribuci, ale i eliminovat snahy kybernetické a špionážní skupiny z Číny. Bylo nutné také vyčistit komunikační infrastrukturu ministerstva zahraničních věcí a zajistit, že (čínská skupina) nebude zasahovat do dalších systémů.“

Ocenil spolupráci s partnery z NATO, zejména z USA. Žáček předpokládá, že si poslanci z výboru pro bezpečnost pozvou zástupce tuzemské zpravodajské komunity, aby od nich dostali bližší informace.

Použít případ jako odstrašení

Podpořil také reakci vlády a ministerstva. Považuje za důležité, že se ozvaly čínské straně a použily tento případ jako „odstrašení, aby nepokračovali v těchto aktivitách, protože jsme schopni je – jak sami, tak ve spolupráci se zahraničními partnery – odhalovat a bránit se jim.“ 

Člen sněmovního výboru pro bezpečnost Radek Koten (SPD) uvedl, že na ministerstvu zahraničí šlo o „evergreen, který se vždy po několika letech vrací. Toto je v podstatě už třetí nebo čtvrtý incident od roku 2015, 2016“.

Věří, že na základě těchto informací to do budoucna přispěje k zabezpečení serverů dostatečným způsobem. „Bylo by zajímavé zjistit, zda probíhalo pravidelné školení na ministerstvu zahraničí a zda uživatelé jsou seznámeni s bezpečností komunikace prostřednictvím e-mailové pošty,“ podotkl. Tedy zda existují protokoly o proškolení. I na to se budou zákonodárci ptát.

Budou další podobné případy?

Obává se podobných případů, že se vždy najdou nějaká zadní vrátka, ale „obvykle tomu musí jít uživatel naproti, například tím, že klikl na nějakou přílohu“. Bojí se také, že jednou z dalších napadených může být Správa sociálního zabezpečení, popřípadě některé zdravotní pojišťovny. „Domnívám se, že NÚKIB bude mít poměrně dost práce, aby se stihly udělat audity ve všech těchto organizacích,“ míní Koten.

Reakce vlády je dostatečně razantní

Místopředseda výboru pro bezpečnost Šimon Heller (KDU-ČSL) řekl, že vláda se zveřejněním incidentu zachovala odpovědně. Soudí, že její reakce není zbrklá a je dostatečně razantní. „Ve chvíli, kdy na vás cizí stát dlouhodobě útočí, incident je velmi závažný, je třeba se připravit na reakci s chladnou hlavou.“

Soudí, že jde o jasný vzkaz, že kybernetická bezpečnost musí být posilována. „A bohužel Čínská lidová republika patří mezi špičku.“ Za důležité považuje posílit finančně NÚKIB a definovat úkoly, které musí v nejkratším čase udělat.

Důležité je posilovat odolnost republiky

Členka zahraničního výboru Helena Langšádlová (TOP 09) řekla, že již v roce 2018 iniciovala akce proti ruskému a čínskému hybridnímu vlivu. Ocenila, že byl přijat nový zákon o kybernetické bezpečnosti, který posiluje zejména kritickou infrastrukturu.

Reakci české strany, tedy povolání čínského velvyslance na ministerstvo a zveřejnění celého případu, považuje za adekvátní. Podtrhla také koordinaci s Evropskou unií či NATO. „Naším úkolem je posilovat odolnosti České republiky, například právě v kybernetické či informační bezpečnosti.“ Jako negativní zmínila také závislost Česka, například ve farmacii či polovodičích. 

Ostražitost na ministerstvu pominula

Předseda Pirátů Zdeněk Hřib řekl, že je překvapen, že po varováních z roku 2019 například před využíváním systémů čínských firem Huawei a ZTE ostražitost pominula. „Najednou vyplave, že už několik let tady dochází k takovéto špionáži.“

Očekává tedy analýzu, proč k tomu nyní došlo. „Dovolím si tvrdit, že nakonec se dojde k tomu, že kořenovou příčinou těchto záležitostí je neschopnost státu, respektive veřejné správy si najmout do svých řad kvalitní odborníky. A to se musí vyřešit úpravou legislativy.“