捷克近期發布資安警訊,提醒某些產品及服務正將資料傳輸至中國。此公告來自該國國家網路與資訊安全局(NÚKIB),警告「系統與使用者資料被傳輸至中華人民共和國、中國特別行政區,或總部位於中國及其特別行政區的實體」以及「這些單位對技術資產進行的遠端管理」所帶來的資安風險。
中國近年來積極展開各種網路攻擊活動,除了去年發現的「
鹽颱風」(Salt Typhoon)針對美國及全球電信業者的大規模攻擊行動外,中國也正在多種環境部署資源,為破壞性網路攻擊做準備。
延伸閱讀:中國駭客組織「鹽颱風」近期大規模攻擊思科設備,全球電信商成主要目標
2025 年年初,捷克政府指控中國透過
APT 31 駭客組織鎖定該國的關鍵基礎設施。儘管中國政府稱這些自 2022 年開始的攻擊「毫無根據」,但美國、歐盟和北約均譴責這些疑似網路入侵活動。
NUKIB 不僅對關鍵基礎設施發出警告,
也針對消費性裝置提出安全疑慮,包括智慧型手機、網路攝影機、電動車、大型語言模型、醫療設備和中國製太陽能變流器等。這些裝置均被列為高風險項目,可能將敏感資料傳輸至中國的資訊基礎設施。
而依據捷克《資安法》規範的所有單位,包括能源、交通運輸、醫療保健、政府機關、金融服務和其他關鍵產業,都必須採取資安防護措施來降低相關風險。
NUKIB 的警告並未完全禁止將資料傳輸至中國或允許來自中國的遠端管理,但關鍵基礎設施營運單位現在必須將此威脅納入風險評估,並決定適當的防護措施以減輕風險。此命令完整內容可在此查閱,對一般大眾並無法律約束力。
儘管如此,NUKIB 仍建議捷克國民審慎考慮此公告內容,並評估自身使用產品的資安風險。
中國資料外洩疑慮
民間企業將資料傳輸至中國的問題持續引起關注。儘管 TikTok 否認指控,TikTok 允許中國政府存取美國用戶資料的疑慮始終存在。此外,
上個月多個全球資安機構已將中國的網路威脅活動與該國境內三家私人網路公司建立關聯。
CrowdStrike 反威脅行動部門主管 Adam Meyers 向外媒表示,中國不僅在各處蒐集資料,還在「建立全球影響力的基礎」。CrowdStrike的《全球威脅報告》發現
中國入侵活動年增率達 150%,而最新的《威脅獵捕報告》顯示
針對雲端的中國攻擊行動增加了 40%。再加上中國的《國家安全法》要求企業與國家分享資料,風險已相當明確:將資訊回傳北京的產品和服務正在助長跨越國界的情報行動。這是中國成為全球霸權的長期策略一部分,更使日常科技成為間諜活動與控制的戰場。
捷克報告也提及中國其他法規,如《國家情報法》,該法規定所有公民和組織必須支援國家情報活動並對機密事項保密。此意味著中國政府實際上擁有完整法律權限,可通過多種管道存取進入中國境內的資料。
更廣泛的資安隱憂
康乃爾大學工程學助理教授 Gregory Falco 解釋,從情報蒐集角度來看,中國正透過大規模資料收集機制分析各種可能的情資模式。他們採用多元且不斷變化的資料收集方法,這正是此類警告值得重視的原因。
約翰霍普金斯大學的一項研究證實了中國執行此類行動的能力。研究發現,
當中國製造的無人機在防禦設施附近飛行時,收集的資料並非經由本地伺服器處理,而是被直接導向並傳輸至中國境內的伺服器。
NÚKIB 表示,可能成為境外勢力滲透目標的個人,應限制或禁止使用任何將資料傳輸至中國的產品與服務,同時所有民眾都應對自身使用的科技產品保持高度警覺。
資安廠商 Apollo Information Systems 的資安長 Andy Bennett 更指出,這些資料竊取疑慮是一項嚴重且長期存在的威脅,且這類問題並非近期才出現。更棘手的是,
即使你的環境中沒有這些系統或軟體,但你的第三方夥伴或客戶可能使用它們,即便這並非由你直接造成,但也因而讓資料和系統面臨風險。
本文轉載自 BleepingComputer、DarkReading。