Úvodní stránka

Logo NÚKIB

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na hrozbu spojenou s používáním mobilní aplikace WeChat a její čínské verze Weixin (dále jen WeChat). Ta sbírá velký objem uživatelských dat, a právě to by – v kombinaci se způsobem jejich sběru – mohlo sloužit k přesnému zacílení kybernetických útoků. Za aplikací WeChat stojí společnost Tencent se sídlem v Čínské lidové republice (ČLR). Podle ověřených informací NÚKIB je úzce provázána s čínskou vládou a tamní komunistickou stranou.

Platformu WeChat ve světě využívá přibližně 1,3 miliardy aktivních uživatelů. Nejvíce oblíbená je v ČLR a v zemích s početnějšími čínskými komunitami. V České republice ji užívá zhruba 40 tisíc lidí, jde ale často o exponované osoby – např. diplomaté, obchodníci, akademici nebo čínští disidenti. Jejich citlivá data získaná prostřednictvím WeChat by tak mohla být v budoucnu zneužita např. k vydírání.

Hrozba související s aplikací WeChat připomíná hrozbu spojenou s používáním aplikace TikTok čínské společnosti ByteDance. Před ní NÚKIB varoval letos v březnu.

K vydání upozornění nás vedly nejen vlastní analýzy, ale i informace od tuzemských a zahraničních partnerů. Na rozdíl od TikToku je ale počet uživatelů u platformy WeChat výrazně nižší, a proto jsme přistoupili v tomto případě k upozornění, nikoli k vydání varování,“ vysvětluje ředitel NÚKIB Lukáš Kintr.

Aplikaci a sociální síť s řadou dalších funkcí WeChat vyvinula a provozuje společnost Tencent se sídlem v čínském Šen-Čenu. Řídí se tedy čínskou legislativou, která je v mnoha ohledech velmi striktní.  Například zákon o státní bezpečnosti, zákon o státní zpravodajské činnosti ale i zákon o obchodních společnostech či pravidla pro nahlašování zranitelností v síťových zařízeních, ukládají jednotlivým subjektům různými způsoby spolupracovat s čínskými bezpečnostními složkami.  A to i v případě, že to jde proti zájmu jejich zahraničních partnerů či zákazníků. Dle otevřených zdrojů i informací od partnerů NÚKIB je společnost Tencent provázaná se státní správou ČLR a Komunistickou stranou Číny. Vlivové působení ČLR v České republice vede k důvodné obavě ze zneužití dat, která aplikace shromažďuje.

WeChat byl už zakázán v Indii a stejně tak v některých státech USA. V Nizozemí letos vydali doporučení pro státní zaměstnance nepoužívat aplikace ze zemí, které proti státu vedou ofenzivní kybernetické operace. Stejně tak aplikaci v roce 2023 na vládních zařízeních zakázala Kanada.

Doporučení NÚKIB

Pokud potřebujete WeChat používat, doporučujeme, abyste měli aplikaci nainstalovanou na jiném zařízení než na tom, se kterým běžně pracujete a na kterém máte své účty a data. Pokud to není možné, doporučujeme, abyste WeChat ve svém zařízení měli jen na nezbytně nutnou dobu a povolovali jste aplikaci jen oprávnění, která potřebuje pro své fungování,“ říká ředitel NÚKIB Lukáš Kintr.

NÚKIB v případě aplikace WeChat přistoupil k vydání upozornění – nejedná se tedy o varování dle zákona o kybernetické bezpečnosti, jako tomu bylo v případě aplikace TikTok. I tak je ale podle Úřadu vhodné rizika spojená s používáním aplikace WeChat nepodceňovat a její případné další užívání přizpůsobit či výrazně omezit.

Celé upozornění naleznete na odkazu: Národní úřad pro kybernetickou a informační bezpečnost - NÚKIB upozorňuje na hrozbu spojenou s aplikací WeChat společnosti Tencent (nukib.cz)

 

FAQ k WeChat

  1. Co je to upozornění?

Upozornění je právně nezávazným poukázáním na hrozbu v oblasti kybernetické bezpečnosti, ze kterého neplynou žádné přímé povinnosti. Informace může být jedním ze vstupů do procesu řízení rizik v organizaci.

  1. Proč upozornění vydáváme nyní?

NÚKIB průběžně vyhodnocuje hrozby v oblasti kybernetické bezpečnosti na základě vlastní činnosti, informací od partnerů i z dalších zdrojů. Pokud se NÚKIB dozví o určité hrozbě v oblasti kybernetické bezpečnosti, která dosahuje určité intenzity nebo rozsahu, musí na takovou hrozbu reagovat. Při vyhodnocování hrozby se vyhodnocuje řada parametrů, například rozšíření dané technologie, její využití v regulovaných systémech, možnost jejího zneužití, výrobce technologie a podobně.

Bezpečnostní hrozbu spojenou s aplikací WeChat od společnosti Tencent NÚKIB sleduje a vyhodnocuje dlouhodobě. V minulém roce na ně již NÚKIB upozornil vybrané subjekty z okruhu adresátů zákona o kybernetické bezpečnosti a partnerů. V roce 2023 přibyla celá řada významných zjištění a analýz, které utvrdily a prohloubily podezření spojená s aplikací, což vedlo NÚKIB k vydání tohoto upozornění.

  • Tencent sám uvedl, že všechna uživatelská data ukládá v Hong Kongu (HK) a Singapuru. Vzhledem přijatému zákonu o národní bezpečnosti je umístění dat v HK ekvivalentní s umístěním dat v pevninské Číně. Vzhledem k čínské legislativě, která vyžaduje po fyzických i právnických osobách spolupráci při zajišťování národní bezpečnosti, existuje významné riziko zneužití těchto dat.
  • Čínský stát vlastní podíl (tzv. Special Management Shares) ve společnosti Tencent, který mu dává zvláštní pravomoci.
  • V rámci Tencentu funguje buňka Komunistické strany Číny (KSČ), která KSČ dává přehled a vliv na dění ve společnosti.
  1. Z jakého důvodu upozornění vydáváme?

NÚKIB vydává toto upozornění, protože aplikace sbírá řadu informací o uživateli a jeho chování i o zařízení, kde je nainstalována. Tato data a informace ukládá na serverech v ČLR a v Hong Kongu a není zřejmé, kdo k nim má přístup. WeChat je v ČR používán omezeným množstvím osob (dle tohoto webu jde o 40 000 uživatelů), ty jsou však často velmi exponované, jelikož WeChat slouží primárně ke komunikaci s osobami a organizacemi v ČLR. Tato komunikace může být předmětem monitorování či cenzurou soukromých zpráv. Provozovatel aplikace, společnost Tencent, zároveň funguje v čínském právním prostředí, které samo o sobě přináší rizika. Tyto závěry jsou podloženy analýzami z veřejných zdrojů i informacemi od tuzemských a zahraničních partnerů. 

V ČLR je navíc bez aplikace velmi těžké fungovat a lze říci, že kdokoli, kdo v zemi pobývá a působí, se její instalaci a užívání velmi pravděpodobně nevyhne. WeChat (resp. jeho čínská varianta WeiXin) během pandemie Covid-19 mj. sloužil autoritám k monitorování nakažených osob a regulaci jejich pohybu.

  1. Koho se upozornění týká? Je pro někoho závazné? Vyplývají z něj pro někoho nějaké povinnosti?

Orgány a osoby spadající do působnosti zákona o kybernetické bezpečnosti sice nemají zákonnou povinnost zohlednit upozornění v procesu řízení rizik, jako je tomu u varování, přesto však doporučujeme tak učinit a informací o hrozbě spojené s používáním aplikace WeChat se vážně zabývat. Zhodnocení rizikovosti používání aplikace doporučujeme jak ve vztahu k zařízením souvisejícím s regulovanými systémy, tak i ve vztahu k soukromým zařízením, neboť sběr informací popsaný v upozornění se netýká pouze pracovních telefonů a zařízení.

  1. Jaké kroky je případně potřeba podniknout v reakci na upozornění?

Z upozornění nevyplývají žádné povinnosti, nicméně doporučujeme rizika plynoucí z užívání aplikace WeChat zvážit a případně je omezit. Z pohledu veřejnosti je vhodné zvážit používání technologie a zamyslet se nad tím, co skrze aplikaci sdílí. U tzv. zájmových osob, tedy osob, které jsou například ve vysokých politických, veřejných či rozhodovacích funkcích, doporučujeme aplikaci nepoužívat, případně ji instalovat na separátní zařízení, kde se nenachází citlivé informace uživatele (účty, přihlašovací údaje apod.).

  1. Nejsou hrozbou také další sociální platformy podobného typu?

Mobilní aplikace a zejména sociální média o svých uživatelích sbírají velké množství informací. Obecně je tudíž vhodné pečlivě zvážit, jaké aplikace používat, jak se na nich chovat a jaké informace na nich sdílet. Pozornost je třeba věnovat i oprávněním, přes která se jednotlivým aplikacím povoluje přístup k datům, službám a funkcím v zařízení.

V případě WeChatu jsou hrozby markantnější než u většiny srovnatelně populárních aplikací. Aplikace o svých uživatelích sbírá velké množství dat, které bezprostředně nepotřebuje ke svému fungování. Dále je potřeba brát v potaz čínské právní prostředí, které ukládá povinnost čínským společnostem, a tudíž i provozovatelům aplikací jako je WeChat, spolupracovat a sdílet informace se státem, a to bez náležitých právních záruk.

Obecně doporučujeme věnovat pozornost tomu, kdo je původcem aplikací, se kterými sdílíte velké množství dat a informací, jaké informace sbírá a v jakém právním prostředí působí.

  1. Jak jsou ohroženi běžní uživatelé, pokud budou nadále používat aplikaci WeChat?  

V případě, že budou uživatelé nadále využívat aplikaci, bude o nich aplikace dále sbírat velké množství dat, která nejsou relevantní pro fungování samotné aplikace, ale mohou být v budoucnu zneužita. Také by měli mít na paměti, že obsah jejich konverzace může být sledován. Samotné rozhodnutí o používání je však věcí každého jednotlivce.