Nesmíme se podceňovat jako potenciální cíl kyberútoků. Používání DeepSeek je rizikové, varuje ředitel NÚKIB

Proč váš úřad varoval před užíváním produktů firmy DeepSeek, která se zabývá rozvojem umělé inteligence?

To vydané varování a související doporučení je v souladu se zákonem o kybernetické bezpečnosti, který ukládá Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) mimo jiné zjišťovat prevenci v oblasti kybernetické bezpečnosti a monitorovat a vyhodnocovat hrozby v kyberprostoru. Obavy z možných bezpečnostních hrozeb v tomto případě, v případě jazykového modelu DeepSeek, vyplývají především z nedostatečného zabezpečení přenosu a nakládání s daty.

Čtěte také

Kybernetická bezpečnost je priorita. Pravomoc státu v posuzování dodavatelů ale nemůže být bezbřehá, myslí si zástupce mobilních operátorů

Potom také ze sběru takových typů dat, které ve větším rozsahu mohou vést k deanonymizaci uživatelů, to znamená, že poskytovatel toho jazykového modelu umělé inteligence je schopen ztotožnit uživatele s daty. A obecně potom také z bezpečnostní úrovně aplikací, které umožňují přístup k tomu modelu umělé inteligence, které jsou navíc v případě mobilní aplikace ještě umocněny dalším sběrem kontextových dat o uživateli.

V neposlední řadě obavy pramení z právního a politického prostředí Čínské lidové republiky, jemuž je společnost DeepSeek zcela podřízena. To varování se nevztahuje na nějaké bezpečnostní testování, výzkum, analýzu těch dotčených produktů ani modelů, které jsou provozovány odděleně od internetu.

Nás k tomu dovedla analýza, při které jsme vycházeli z kombinace vlastních zjištění a informací od našich zahraničních partnerů. A ty dotčené produkty společnosti DeepSeek prostě nakládají s daty způsobem, který může představovat bezpečnostní riziko pro subjekty, které spadají pod zákon o kybernetické bezpečnosti, a proto jsme ho vydali.

Čtěte také

iROZHLAS

Ministerstvo vnitra čelilo kyberútoku. ‚Žádné tajné informace nebyly ukradeny,‘ ujišťuje Rakušan

Co konkrétně vyplývá z toho, že NÚKIB hodnotí v tomto případě hrozbu jako vysokou?

Ukazuje to míru té hrozby. Je to druhý nejvyšší stupeň na čtyřstupňové stupnici a ukazuje to, že ta hrozba je reálná, pravděpodobná, je potřeba se jí opravdu zabývat.

Čína je připravena jednat v přímém rozporu se zájmy České republiky, a i proto vláda současně s naším varováním přijala usnesení, kterým reaguje na související hrozby.

Vláda zakázala používat ve státní správě jakékoli produkty společnosti DeepSeek. Není to příliš radikální opatření?

Já si to nemyslím na základě případů z minulosti. Mohu zmínit třeba nedávnou atribuci kybernetických útoků skupiny APT31, která je napojena na Čínskou lidovou republiku. A ten útok byl proti českému Ministerstvu zahraničních věcí. Vidíme, že Čína je připravena jednat v přímém rozporu se zájmy České republiky, a i proto vláda současně s naším varováním přijala usnesení, kterým takto reaguje na související hrozby.

Čtěte také

iROZHLAS

Kyberúřad varuje před čínskou firmou DeepSeek, jenž je známá svým chatbotem. Nevhodně nakládá s daty

Zákaz pro státní správu se týká všech produktů, tedy aplikací, řešení webových služeb, poskytovaných společností DeepSeek. Víme přesně, které to jsou? Jak snadno se dá zjistit, kdo je u těch konkrétních produktů původcem?

U té základní sady je to poměrně snadné, protože vy víte, jaký jazykový model chcete používat. V appstorech nebo v podobných databázích aplikací jsou zveřejňováni vydavatelé těchto aplikací, takže tam to identifikovat prostě lze. V některých případech to může být poněkud složité.

Na druhou stranu ta povinnost plyne pro instituce, které by měly mít kapacity se s tím vypořádat, případně se v nějakých nejasných případech obrátit na NÚKIB, kde jsme k dispozici a rádi pomůžeme vyřešit takovou kolizi.

Doporučujeme veřejnosti zvážit používání těchto produktů a to, jak vážně naše varování vezme.

A jak je dodržování tohoto zákazu vymahatelné? Dá se kontrolovat?

Přinejmenším u těch subjektů, které současně spadají pod zákon o kybernetické bezpečnosti, to bude bezesporu jedním z kontrolních bodů, na které se moji kolegové, kteří tyto kontroly provádí, budou zaměřovat. A samozřejmě vždycky to závisí na odpovědnosti vedení té dané instituce.

Vaše varování směřuje i k veřejnosti. Co konkrétně doporučujete?

My široké veřejnosti doporučujeme zvážit používání těch produktů. V podstatě je na veřejnosti, aby si vyhodnotila, jak vážně to naše varování vezme. Potom lze tu aplikaci s nějakými dodatečnými opatřeními používat, pokud je to nutné. A v těch případech lze postupovat obezřetným přístupem, člověk může filtrovat, co s tou aplikací sdílí a na co ji využívá.

Mělo by Česko následovat Itálii, která zablokovala stahování aplikace DeepSeek? A jaká je celková úroveň kybernetického zabezpečení v Česku? Poslechněte si celý rozhovor.