Çekya’nın ulusal siber güvenlik gözlemcisi, Çin ve Rusya’ya bağlı artan casusluk kampanyaları arasında savunmaları desteklemeye çağıran, Çin veri transferlerine ve uzaktan idareye odaklanan yabancı siber operasyonlar hakkında bir uyarı yayınladı.
Bu hafta Ulusal Siber ve Bilgi Güvenliği Ajansı (Núkib) tarafından yayınlanan uyarı, hükümet sistemleri, enerji sağlayıcıları, telekomlar ve diğer kritik altyapı operatörleri için devam eden riskleri belirtiyor. Núkib, bülteninde belirli olayları adlandırmasa da, ajans “seçilen yabancı devletlerin” stratejik sektörleri tehlikeye atmak, duyarlı bilgileri söndürmek ve kamu güvenini zayıflatmak için tasarlanmış uzun vadeli kampanyalarda giderek daha fazla meşgul olduklarını söyledi.
Temel Tehdit Değerlendirmesi
Núkib, tehdidi şöyle olarak sınıflandırdı. “Yüksek – muhtemelen çok muhtemel” iki temel kaygıyı kapsayan; Veri Çin Halk Cumhuriyeti’ne (PRC) ve özel idari bölgelere (Hong Kong ve Macau) ve bu bölgelerden teknik varlıkların uzaktan yönetimi. Bu değerlendirme, kritik altyapı operatörleri de dahil olmak üzere Çek siber güvenlik mevzuatı kapsamında düzenlenen tüm kuruluşlar için geçerlidir.
Ajansın bu uyarıyı yayınlama kararı, “Yerli ve yabancı ortaklardan elde edilen sınıflandırılmamış ve sınıflandırılmış bilgilerle desteklenen, yetkilerinin kullanılması sırasında belirlenen gerçekler” olarak tanımladığı şeyden kaynaklanmaktadır.
Núkib’in uyarısının merkezinde, ajansın veri güvenliğini temelden tehlikeye attığı Çin’in yasal ortamının ayrıntılı bir analizi yatıyor. Değerlendirme birkaç sorunlu düzenlemeyi tanımlar:
Ulusal Güvenlik Çerçevesi: 2015 Ulusal Güvenlik Yasası, Çin vatandaşlarına ve kuruluşlarına ulusal güvenlik konularında devlet yetkililerine yardımcı olmak için geniş yükümlülükler getirmektedir. Daha da önemlisi, 2017 Ulusal İstihbarat Yasası, istihbarat faaliyetlerini desteklemek ve gizliliği korumak için “her vatandaş ve organizasyon” ı gerektirir.
Kurumsal Kontrol Mekanizmaları: 2013 Şirket Hukuku, şirketler içindeki Çin Komünist Partisi (TBM) kuruluşlarını zorunlu kılar ve parti kurumsal operasyonlar üzerinde etkili bir şekilde etkilenmesine izin vermektedir. Bu, nominal olarak özel işletmelerde devlet müdahalesi için doğrudan bir kanal oluşturur.
Güvenlik Açığı Raporlama Gereksinimleri: 2021 Düzenlemeleri, teknoloji üreticilerinin Sektör Güvenliği Bakanlığı’na daha sonra rapor vermesiyle Endüstri Bakanlığı’na ve BT’ye güvenlik açıklarını bildirmelerini gerektirir. En önemlisi, üreticilerin bu güvenlik açıklarını yabancı kuruluşlara ifşa etmeleri yasaktır.
Karşı ihale yasası, özellikle 2023 değişikliğini takiben, casusluk tanımlarını Çin yetkilileri tarafından ulusal güvenlikle ilgili olarak kabul edilen neredeyse tüm belgeleri veya verileri kapsayacak şekilde genişletir. Bu, devletin özel verilere erişiminin sadece yasal değil, zorunlu olduğu bir ortam yaratır.
Özel idari bölgeler, genişletilmiş erişim anlamına gelir
Núkib’in analizi, Çin egemenliği altında kalırken ekonomik özerkliği koruyan bölgeler olan Hong Kong ve Macau’ya uzanıyor. Ajans, her iki bölgedeki mevzuatla ilgili olarak tanımlamaktadır
2024 Ulusal Güvenlik Yönetmeliğini Korumak, Çin’in ulusal güvenlik çerçevesini Hong Kong’un yasal sistemine entegre ederek ekonomik, sosyal, teknolojik veya bilimsel faaliyetleri kapsayabilecek belirsiz “devlet sırları” tanımları oluşturuyor.
Macau’da 2019 siber güvenlik yasası, siber güvenlik olay uyarısı ve müdahale merkezi (Karik) yetkisini, istismar önlemek için denetleyici mekanizma olmadan, kritik altyapı veri iletimlerinin gerçek zamanlı izlenmesini sağlama yetkisini verir.
Atıf ve Aktif Tehditler
Uyarı, son atıf faaliyetlerinden özel ağırlık kazanır. Mayıs ayında Çek hükümeti, Dışişleri Bakanlığı’na karşı siber saldırıları Çin Devlet Güvenliği Bakanlığı ile ilişkili bir grup olan APT31’e kamuoyuna bağladı. 2022’den beri aktif olan bu kampanya, kritik altyapıyı hedefledi ve sofistike, kalıcı yetenekler gösterdi.
Çek hükümeti “bu kötü niyetli siber kampanyayı eleştirel altyapısına karşı güçlü bir şekilde kınıyor” ve “bu tür davranışların Çin Cumhuriyeti’nin güvenilirliğini zayıflattığını ve kamusal beyanlarıyla çeliştiğini belirtti.
Bu ilişkilendirme tek başına yapılmadı. Núkib, “sorumlu aktör hakkında yüksek derecede kesinlik” olarak tanımladıkları şeyi başarmak için Güvenlik Bilgi Servisi, Askeri İstihbarat ve Dış İlişkiler ve Bilgi Ofisi ile birlikte çalıştı.
Çek uyarısı, Çin teknolojisi riskleri hakkındaki daha geniş uluslararası endişelerle uyumludur. Núkib, İtalya, Almanya, Hollanda ve Avustralya’nın belirli Çin ürün ve hizmetleri ile ilgili önlemler aldığını, Beş Göz İstihbarat İttifakı ise Çin siber casusluk grupları hakkında tavsiyelerde bulundu.
Ayrıca okuyun: Altı Avustralyalı Milletvekili, Çin’in APT31 Hacker’ları tarafından hedeflendiğini onaylayın
Ajans, Çin yasalarının temelde şeffaflık, orantılılık ve yasal koruma ilkeleriyle çelişen, Çin yasalarının “PRC devlet yetkililerinin yeterince bağımsız gözetim olmadan verilere geniş erişimine” izin verdiği sonucuna varan 2021 Avrupa Veri Koruma Kurulu çalışmasına atıfta bulunmaktadır.
Kritik altyapı sonuçları
Uyarı, kritik altyapı operatörleri için özel bir önem taşır. Núkib, omurga sistemlerinin mevcudiyetinin, gizliliğinin veya bütünlüğünün bozulmasının “Çek Cumhuriyeti bölgesindeki birçok insan üzerinde önemli bir etkisi olabileceğini” vurgulamaktadır.
Ajans, belirli teknoloji endişe kategorilerini tanımlar:
- Kişisel Cihazlar (Akıllı Telefonlar, Saatler, Elektrikli Araçlar)
- Bulut Hizmetleri
- Fotovoltaik invertörler
- IP kameralar
- Sağlık teknolojisi
- Akıllı sayaç
Firma duruşlarının bir modeli
Uyarı, Çek hükümeti tarafından yabancı dijital etkiye karşı geri dönmek için bir dizi adım izliyor. Bu yılın başlarında Prag, Deepseek gibi Çin tarafından geliştirilen AI platformlarının kullanımını kısıtlamak, veri açığa çıkma ve sistemik manipülasyon riskleri belirtmek için harekete geçti. Dışişleri Bakanlığı, o sırada ülkenin dijital altyapısına olan güvenin “yabancı güçler tarafından düzensiz kontrollere tabi başvurularla uyumlu olmadığını” söyledi.
Bu, teknoloji tedarik zincirleri konusunda yıllarca süren endişe üzerine kuruludur. Czechia, 2018’de Núkib tarafından desteklenen ve telekom güvenliğindeki transatlantik kampına sıkıca yerleştiren bir karar olan 5G sunumunda Huawei ve ZTE ekipmanlarını sınırlayan ilk AB üyelerinden biriydi. En son uyarı, hükümetin bu mantığı AI sistemlerine ve bulut tabanlı platformlara da genişletmeye hazır olduğunu gösteriyor.
Uyarı, gelişen jeopolitik gerçekleri yansıtır. Núkib, Çin’in Ukrayna çatışmasında Rusya’ya verdiği desteğin, artan siber casusluk faaliyetlerinde tezahür ederek Avrupa işlerine olan ilgisini yoğunlaştırdığını belirtiyor. Ajans, Çek devlet kurumlarını hedefleyen Çinli aktörleri giderek daha sofistike mızrak aktı saldırılarıyla gösteren istihbarat değerlendirmelerini belirtiyor.
Güvenlik Bilgi Servisi, özellikle Çin’in “G7 ülkelerine etkili bir denge yaratmak için küresel hırslarla otokratik rejimi” göz önüne alındığında, Çin’e teknolojik bağımlılığı stratejik bir kırılganlık olarak tekrar tekrar vurguladı.