USA vyšetřují známou čínskou firmu kvůli bezpečnostním hrozbám. Jejími routery se k internetu připojují i Češi

Situace přichází ve chvíli, kdy Kongres projednává návrh zákona ROUTERS Act, který by ministerstvu obchodu uložil prošetřit bezpečnostní hrozby v bezdrátové infrastruktuře USA, se zvláštním zaměřením na produkty vyráběné v Číně. Tento návrh by měl posílit ochranu federálních sítí, avšak experti varují, že obdobná rizika existují i na státní a místní úrovni, kde jsou levnější čínské výrobky, včetně TP-Link, hojně využívány kvůli nízké ceně a snadné dostupnosti.

TP-Link routery jsou podle odborníků výrazně zranitelné. Národní databáze zranitelností vedená americkým institutem NIST eviduje desítky technických slabin těchto zařízení. Kromě toho jsou čínské firmy jako TP-Link podle čínských zákonů povinny spolupracovat s armádou a zpravodajskými službami, což zvyšuje obavy, že tato zařízení mohou sloužit jako nástroje kybernetických útoků.

Tato hrozba už není jen teoretická – hackeři napojení na Komunistickou stranu Číny podle dostupných důkazů už TP-Link routery využili k několika útokům proti americkým subjektům. V jednom případě byla do routerů nainstalována škodlivá verze firmwaru, v jiném došlo ke zneužití zranitelnosti v routerech k vytvoření botnetu zaměřeného na americké organizace. Největší pozornost si získal útok z konce loňského roku, kdy byly TP-Link routery zneužity při útoku na společnost Microsoft.

Některé země už v reakci na tato rizika zakázaly používání TP-Link zařízení ve státní sféře – například Tchaj-wan. Přesto TP-Link routery nadále využívají i americké federální agentury, včetně ministerstva obrany nebo NASA.

Kongres reaguje dvěma klíčovými návrhy zákonů – ROUTERS Act a FACT Act. ROUTERS Act by nařídil analýzu rizik routerů a bezdrátové infrastruktury ze zemí představujících bezpečnostní hrozbu. FACT Act pak požaduje větší transparentnost v oblasti vlastnictví telekomunikačních společností, které mohou být napojené na nepřátelské státy.

Tyto snahy však primárně cílí na federální úroveň. Odborníci varují, že státní a místní úřady zůstávají zranitelné, přestože jejich zabezpečení je stejně důležité. Státní instituce často sáhnou po levnější technice, aniž by věnovaly pozornost jejímu původu nebo bezpečnostním rizikům.

Podle dostupných údajů z veřejných databází se TP-Link routery nakupují napříč Spojenými státy. V Kalifornii úřady od roku 2025 nakoupily routery této značky za minimálně 189 000 dolarů. Skutečné číslo však může být vyšší, protože u mnoha nákupů není značka zařízení uvedena. Vzhledem k ceně kolem 50 až 60 dolarů za kus lze odhadnout, že státní instituce využívají tisíce těchto routerů.

Podobná situace je ve Virginii, kde sice není konkrétní značka často uvedena, ale i zde existují záznamy o nákupech TP-Link zařízení. Dodavatelé, jako je CDW nebo GovConnection, kteří routery dodávají, jsou přitom schváleni organizací NASPO (National Association of State Procurement Officials), která vyjednává hromadné nákupy pro státy. TP-Link tak často končí ve státní správě prostřednictvím těchto smluv.

Autoři varují, že současné zákonodárné návrhy řeší jen část problému. ROUTERS Act by měl být rozšířen tak, aby zahrnoval i přehled o využívání routerů na státní a místní úrovni. Spolupráce mezi NASPO a federálními agenturami, jako jsou NIST nebo CISA, by se mohla rozšířit na posuzování bezpečnosti schválených dodavatelů. NASPO by také mohlo vyzvat své partnery, aby neprodávali IT produkty z rizikových zemí.

Již nyní některé státy zavádějí vlastní legislativu, například Tennessee navrhl zákon TN Critical Infrastructure Act, který by zakázal používání routerů od firem se sídlem v tzv. krytých zemích.

Ačkoli ROUTERS Act představuje důležitý krok směrem k posílení kybernetické bezpečnosti federálních systémů, experti varují, že bez rozšíření na státní a místní úroveň zůstává problém neřešen. Routery od firem jako TP-Link představují nejen technologické riziko, ale mohou být i nástrojem budoucích kybernetických útoků.

Spojené státy – na federální, státní i místní úrovni – by měly bezodkladně zlepšit standardy pro nákupy síťového vybavení, vyřadit výrobky z nepřátelských zemí z veřejného sektoru a zajistit, aby nebyla ohrožena národní bezpečnost levnými, ale zranitelnými technologiemi.