Czeski rząd zakazuje chińskiego DeepSeeka. Oto powód

Od 9 lipca br. w Czechach obowiązuje nowa rezolucja dotycząca produktów chińskiego DeepSeeka, która zakazuje ich używania podmiotom administracji publicznej.

Chińskie prawo budzi wątpliwości

W ostrzeżeniu wydanym przez Dyrektora NUKIB Lukáša Kintra, zwrócono uwagę, że Deepseek jako chińska firma podlega tamtejszym regulacjom prawnym, które są „problematyczne z punktu widzenia bezpieczeństwa Republiki Czeskiej”. 

Jednym  z aktów prawnych, które niepokoi Czechów jest ustawa o wywiadzie narodowym z 2017 roku, która zobowiązuje obywateli i organizacje do wspierania działań wywiadowczych państwa. Natomiast ustawa o szpiegostwie „nakłada obowiązek zapewnienia współpracy i informacji na temat zagranicznych klientów chińskich firm, jeśli są oni podejrzewani o działania szpiegowskie przez władze państwowe”.

NUKIB wskazuje, że niepokojące są również zapisy dotyczące zgłaszania podatności w produktach sieciowych. Firmy mają obowiązek ich zgłaszania w ciągu dwóch dni od wykrycia. Odpowiedni organ zajmujący się kwestiami technologicznymi przekazuje te informacje do Ministerstwa Bezpieczeństwa Państwowego Chińskiej Republiki Ludowej, a same firmy mają zakaz informowania zagranicznych organizacji o incydentach.

„Powstają z tego uzasadnione obawy, że interesy ChRL mogą być stawiane ponad interesy użytkowników technologii pochodzących od firm podlegających chińskiemu środowisku prawnemu, w tym DeepSeek, jako producenta Produktów Dotkniętych, poprzez aktywną presję ze strony rządu ChRL” - czytamy w oświadczeniu NUKIB.

Powiązania DeepSeeka z rządem ChRL

Kolejny powód zablokowania DeepSeeka, na który wskazują Czesi, dotyczy powiązań firmy z rządem ChRL.

Chińskie państwo ma możliwość wpływania na funkcjonowanie i strukturę wielu „prywatnych” przedsiębiorstw. Udziały własnościowe, a także narzucony przez prawo nadzór państwowy i wiele innych zapisów Ustawy o spółkach umożliwiają wpływanie na procesy decyzyjne.

Na powiązania DeepSeek’a z chińskim rządem - według NUKIB - wskazuje m.in:

• postać Lianga Wefenga, który jest założycielem firmy i jednocześnie spółki matki High Flyer Technology. Brał on udział w sympozjum organizowanym przez premiera Chin. Ponadto był zaangażowany w badania nad technologiami podwójnego zastosowania.
•  spółka High Flyer Technology oraz oddziały firmy DeepSeek znajdują się w korytarzu technologicznym w Hangzhou. Projekt jest finansowany przez chiński rząd. Umożliwia on lokalnym firmom prywatnym rozwój oraz prowadzenie badań w zakresie technologii oraz sztucznej inteligencji.
• DeepSeek została uznana za przedsiębiorstwo wysokich technologii i działa jako fundusz hedgingowy. W Chinach takie firmy nie mogą działać bez ścisłego nadzoru Komunistycznej Partii Chin.

DeepSeek zbiera ogromne ilości danych

NUKIB jako zagrożenie wskazuje także na ilość danych zbieranych przez produkty DeepSeek’a. Obejmuje to treść jaką użytkownik przekazuje chatbotowi i powiązanym usługą, ale również dane o użytkowniku oraz urządzeniu. Dane, jak wskazano w oświadczeniu, mają być przechowywane w Chinach. To oznacza, że tamtejsze władze mają do nich dostęp.  Aplikacja nie określa czasu przechowywania danych i kiedy one są usuwane, jeśli w ogóle.

„Mobilna aplikacja DeepSeek niesie wiele zagrożeń bezpieczeństwa w postaci niewystarczającego zabezpieczenia transmisji i przetwarzania danych, a także zbierania takich typów danych, które w dużych ilościach mogą prowadzić do deanonymizacji konkretnych użytkowników” - wskazano w oświadczeniu.

Aplikacja DeepSeek w wersji na Androida posiada słabą detekcje roota, co jak wskazuje Agencja, może ułatwić atakującym nieautoryzowany dostęp do całego urządzenia, który jest niemal niemożliwy do wykrycia.

Czesi zidentyfikowali kilka podatności, które obejmują wersję aplikacji na Androida:

• podatność StrandHogg, którą zidentyfikowano w tej wersji aplikacji pozwala m.in. wyświetlać fałszywe ekrany logowania i kraść dane użytkownika.
• podatność Janus „pozwala atakującym modyfikować plik APK aplikacji bez naruszania jej podpisu cyfrowego, co umożliwia wstawianie złośliwego oprogramowania".
• aplikacja jest podatna na metodę tapjacking, która „ma na celu oszukanie użytkowników do udzielania nadmiernych uprawnień przez nakładanie niewidocznych elementów interfejsu użytkownika na rzeczywiste elementy interfejsu".

Agencja ocenia ryzyko na wysokie

Czeska Krajowa Agencja Bezpieczeństwa Cybernetycznego i Informatycznego oceniła ryzyko związane z korzystaniem z aplikacji na wysokie. Ocena jest uargumentowana przede wszystkim problematyczną kwestią gromadzenia wrażliwych danych i informacji o użytkownikach, niskiego poziomu zabezpieczeń oraz regulacji prawnych, którym podlega Aplikacja.

Agencja wydała zalecenia dla osób, które są narażone na działania wywiadowcze, w tym osoby na wysokich stanowiskach publicznych, politycznych oraz decyzyjnych. Mają one rozważyć ograniczenie lub całkowity zakaz używania produktów DeepSeek’a.

Organy Administracji publicznej zostały zobowiązane do tego, że nie będą korzystać z jego produktów, aplikacji, rozwiązań, stron internetowych ani usług sieciowych.

Agencja również skierowała się do społeczeństwa. Zaleca obywatelom zwiększenie czujności i rozwagę w przekazywaniu danych do m.in. chatbota. Polecili sprawdzanie, jakie dane są zbierane przez aplikacje i w jaki sposób są one zarządzane.

Czechy zwracają uwagę na skalę ataków ze strony chin

Ostrzeżenie jest również powiązane z faktem, że Czechy są celem chińskich ataków cybernetycznych od wielu lat. Na naszych łamach również opisywaliśmy takie przypadki, a jednym z ostatnich był atak na czeskie ministerstwo spraw zagranicznych. Ta instytucja, jak wskazuje Agencja, jest atakowana przez grupę APT31 od 2022 roku. Grupa powiązana jest z chińskim wywiadem Ministerstwa Bezpieczeństwa Państwowego.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].