Hacker v autě před vaším oknem, aneb proč na stínění záleží

Úvodem

Žijeme v době, kdy WiFi signál proudí zdmi jako vzduch, a právě to je problém. Každé bezdrátové zařízení vyzařuje elektromagnetické vlnění, které klidně projde oknem ven, kde na něj může čekat útočník s anténou. Technologie WAVETRAP na tento problém odpovídá elegantně: speciálně konstruovaná skla s filmy s vodivými vrstvami zabudovaná přímo do fasády, nebo jako vestavěná skleněná stíněná místnost v kancelářské budově selektivně tlumí signály WiFi, Bluetooth nebo 5G, a přitom vypadají jako normální okno.

Tato esej analyzuje, jak tato technologie přispívá k plnění povinností podle zákona č. 264/2025 Sb. o kybernetické bezpečnosti, zákonů č. 412/2005 Sb. a č. 266/2025 Sb. o ochraně utajovaných informací, nařízení DORA (EU) 2022/2554 a GDPR (EU) 2016/679.

Fyzikální principy elektromagnetického stínění

Okno z obyčejného skla je z hlediska elektromagnetického záření prakticky průhledné. WiFi signál na frekvenci 2,4 GHz je detekovatelný až 80–120 metrů od budovy, útočníkovi tedy stačí pohodlně usednout do auta nebo do kavárny před budovou a odposlouchávat.

Stínicí sklo pracuje s principem vícevrstvého skla, do nějž je integrována vodivá vrstva, typicky film nebo tenká kovová mřížka. Ta část elektromagnetické energie odráží a část absorbuje. Výsledkem je útlum signálu v rozsahu 30–60 dB v klíčových pásmech UHF (WiFi 2,4 GHz, Bluetooth, GSM/LTE) a SHF (WiFi 5 GHz, WiFi 6E, 5G NR). Podstatnou výhodou je pasivní charakter technologie, která po instalaci nevyžaduje napájení ani obsluhu, což eliminuje závislost na každodenní disciplíně obsluhy a přispívá k dlouhodobé spolehlivosti ochrany.

Ochrana před digitálním odposlechem

Kybernetický útočník dnes nemusí pronikat do sítě. Stačí mu stát za rohem se směrovou anténou a spektrálním analyzátorem a sledovat, co „teče" ven. Tzv. Van Eck phreaking dokáže dokonce rekonstruovat obraz z elektromagnetického vyzařování monitoru.

Stínicí sklo tuto hrozbu adresuje u zdroje. Fyzicky brání úniku signálu přes nejzranitelnější místo každé budovy, tedy přes skleněné plochy. Snižuje tzv. útočnou plochu organizace ještě předtím, než se útočník vůbec přiblíží k síti nebo se pokusí o aktivní průzkum bezdrátového prostředí.

Význam pro kybernetickou bezpečnost bezdrátových technologií

Klasická kybernetická ochrana se soustředí na logickou vrstvu: autentizaci, šifrování a segmentaci sítě. Pokud ale organizace zapomene na fyzickou vrstvu šíření signálu, nechává útočníkovi otevřená zadní vrátka, aniž by si toho musela být vůbec vědoma.

Stínicí sklo tato vrátka zavírá a stává se klíčovým prvkem konceptu defense-in-depth, čili vícevrstvé ochrany, kde fyzické omezení úniku elektromagnetického záření doplňuje firewally, IDS/IPS systémy, šifrování i školení zaměstnanců. Zvláštní relevanci má pro SOC/NOC pracoviště, serverovny, krizová centra a zasedací místnosti pro strategická jednání, kde i zdánlivě drobný únik signálu představuje nepřijatelnou zranitelnost.

Hrozby, před nimiž stínicí technologie chrání

Odposlech a únik dat představuje primární hrozbu. Útočník se směrovou anténou a spektrálním analyzátorem může zachytit provoz WiFi, Bluetooth nebo GSM sítí, rekonstruovat obsah komunikace, získat přístupové údaje nebo citlivá data. Fyzické blokování signálu za perimetrem tuto možnost přímo eliminuje.

Průmyslová špionáž a útoky na řídicí systémy tvoří druhou kategorii rizik. Únik elektromagnetického vyzařování (EMV) umožňuje získání know-how, plánů, technologických postupů nebo provozních dat, přičemž útočník může analyzovat provozní režimy řídicích prvků kritické infrastruktury a připravovat cílený útok. Omezení dosahu elektromagnetického vyzařování (EMV) ze SCADA a OT prostředí tento vektor útoku výrazně ztěžuje.

Třetí kategorii představují útoky typu rušení (jamming). Útočník může vysílat rušivé signály, které znemožní komunikaci v rámci chráněného objektu nebo způsobí výpadky řídicích systémů. Stínicí materiál instalovaný na obvodovém plášti budovy brání průniku takových signálů zvenčí dovnitř.

Čtvrtou hrozbou je laterální pohyb v síti (lateral movement). Pokud útočník získá přístup do vnitřní sítě přes nezabezpečený bezdrátový přístupový bod zachycený mimo objekt, může se dále pohybovat po infrastruktuře a získat vyšší oprávnění. Eliminací vzdáleného průzkumu bezdrátové infrastruktury se tato cesta do sítě stává prakticky nedostupnou.

Zákon o kybernetické bezpečnosti a jeho požadavky

Zákon č. 264/2025 Sb. o kybernetické bezpečnosti implementuje požadavky evropské směrnice NIS2 (EU 2022/2555) a nabyl účinnosti 1. listopadu 2025. Výrazně rozšiřuje okruh povinných subjektů a ukládá jim mj. provádět posouzení rizik včetně rizik EMV, zavádět technická a organizační opatření, hlásit incidenty do 24 hodin od jejich zjištění a zajistit fyzickou bezpečnost prostor.

Stínicí sklo instalované na oknech a fasádách objektů přímo naplňuje požadavky zákona jako technické opatření fyzické vrstvy: přerušuje jeden z hlavních vektorů kybernetických útoků, vzdálený odposlech bezdrátové komunikace. Zákon předpokládá přístup defense-in-depth, v němž fyzická vrstva spolupracuje se síťovou, aplikační a personální vrstvou, a stínicí sklo fyzickou vrstvu posiluje způsobem, který je architektonicky integrovaný, provozně pasivní a dlouhodobě spolehlivý.

Připravovaná prováděcí vyhláška k zákonu č. 264/2025 Sb. má standardizovat metodiky měření úniku EMV a stanovit požadavky na certifikované stínicí materiály s minimálním útlumem 30 dB v pásmu 2,4–5 GHz. Z pohledu compliance nestačí opatření jen provést. Zákon vyžaduje jeho zdokumentování, ověření a pravidelný přezkum, přičemž u stínicích materiálů to znamená měření účinnosti, evidenci technických parametrů a jejich začlenění do bezpečnostní dokumentace.

Zákony o ochraně utajovaných informací, odolnosti kritické infrastruktury a stínění EMV

Zákon č. 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti vyžaduje pro zpracování informací stupně „Tajné" a „Přísně tajné" tzv. zabezpečené oblasti chráněné před kompromitujícím vyzařováním. Tento princip, mezinárodně známý jako TEMPEST (Transient ElectroMagnetic Pulse Emanation Standard) dle standardů NATO SDIP-27 a SDIP-28, je prostřednictvím stínicího skla přímo adresován.

Zákon č. 266/2025 Sb. tyto požadavky aktualizuje v kontextu moderních bezdrátových technologií. Ukládá hodnotit rizika kompromitujícího vyzařování, implementovat technická opatření k zamezení úniku elektromagnetických signálů mimo chráněné prostory, pravidelně ověřovat účinnost stínicích opatření certifikovanými měřeními a dokumentovat vše pro potřeby bezpečnostních přezkumů Národního bezpečnostního úřadu (NBÚ).

Stínicí sklo umožňuje integrovat ochrannou funkci přímo do transparentních stavebních konstrukcí, aniž by bylo nutné budovat plně neprůhledná a architektonicky nevyhovující řešení. Pro prostory stupně „Přísně tajné" (požadovaný celkový útlum 60–80 dB) tvoří výchozí vrstvu vícevrstvého řešení. Pro nižší stupně utajení a pro ochranu citlivých, nikoliv utajovaných informací, je dosažení útlumu 35–45 dB zpravidla dostačující a samotné stínicí sklo jej zajistí.

Nařízení DORA a opatření řízení rizik

Nařízení DORA (EU) 2022/2554 o digitální provozní odolnosti finančního sektoru vstoupilo v účinnost v lednu 2025. Čl. 9 ukládá povinnost zajistit fyzická a logická kontrolní opatření pro přístup k ICT aktivům; čl. 10 vyžaduje detekci kybernetických hrozeb, přičemž neautorizovaný přístup přes zachycení elektromagnetického signálu mimo budovu přesně odpovídá typu hrozby, která musí být systematicky adresována.

Banky, pojišťovny, investiční společnosti a platební instituce zpracovávají transakční data, autentizační údaje i obchodní strategie, a to zpravidla v hustě zastavěných oblastech, kde je odposlech ze sousední budovy reálnou hrozbou. Stínicí sklo jako prvek fyzické vrstvy ICT bezpečnosti snižuje pravděpodobnost útoku přes bezdrátový vektor na úroveň akceptovatelného zbytkového rizika. Regulovaným institucím tím umožňuje prokázat proporcionalitu přijatých opatření při auditech ČNB nebo ESA.

GDPR, opatření dle čl. 25 a čl. 32

Čl. 32 GDPR (EU) 2016/679 vyžaduje technická opatření zajišťující trvalou důvěrnost, integritu a dostupnost systémů zpracování osobních údajů. Únik WiFi komunikace z nemocnic, call center nebo HR oddělení, pokud nese nešifrovaná nebo slabě šifrovaná osobní data, může být porušením zabezpečení dle čl. 4 odst. 12 GDPR, s povinností oznámení ÚOOÚ do 72 hodin od zjištění.

Čl. 25 GDPR (privacy by design) jde ještě dál: projektant prostor, který od počátku integruje stínicí technologie do návrhu prostoru, v němž budou zpracovávána osobní data, prokazuje záměrnou ochranu soukromí v souladu s čl. 25 odst. 1 GDPR. Pro zpracovatele zvláštních kategorií osobních údajů dle čl. 9 GDPR, tj. zdravotnická zařízení, advokátní kanceláře, soudy, orgány státní správy, je fyzická ochrana prostředí před odposlechem zvláště relevantní, neboť neoprávněné zpřístupnění takových informací by mohlo mít vážné důsledky pro práva a svobody fyzických osob.

Normativní rámec a technické standardy

Norma ČSN EN 50600 pro datová centra stanovuje požadavky na fyzickou bezpečnost, včetně stínění stěn a oken s útlumem minimálně 40 dB v pásmu 1–10 GHz, použití certifikovaných stínicích materiálů (sklo s vrstvou oxidu india a cínu) a uzemnění s odporem ≤ 1 Ω.

Mezinárodní standard IEEE Std. 299.1-2013 definuje metodiku měření účinnosti stínění elektromagnetického vlnění v budovách a zařízeních. Přední výrobce stínicích skel jako AGC Glass Europe, výrobce technologie WAVETRAP, dodává svá skla s certifikáty dle tohoto standardu, čímž garantuje ověřenou a prokazatelnou kvalitu stínění.

Normy ČSN EN 61000-4-3 a ČSN EN 55022/55024 stanovují metodiku imunitních testů a limity pro elektromagnetické vyzařování (emise ≤ 30 dBμV/m na vzdálenosti 10 m). Norma ISO/IEC 27001 vyžaduje implementaci fyzických kontrol jako součásti komplexního ISMS; stínicí sklo je přirozenou součástí fyzické a environmentální bezpečnostní domény dle přílohy A.11 této normy. Standardy NATO SDIP-27 a SDIP-28 (TEMPEST) specifikují požadavky na stínění pro zpracování utajovaných informací v mezinárodním bezpečnostním prostředí.

Bez technické dokumentace, protokolů o měření a pravidelných kontrol však nelze o žádném stínicím materiálu hovořit jako o compliance nástroji, a tato podmínka platí bez výjimky.

Implementace: od analýzy rizik k provozní validaci

Výchozím krokem je analýza rizik. Identifikace zdrojů EMV a možných míst úniku se provádí spektrálním analyzátorem (např. Rohde & Schwarz FSH) v reálných provozních podmínkách, v různých denních dobách a za různého provozního zatížení bezdrátových sítí, neboť intenzita signálu se dynamicky mění.

Návrh opatření zahrnuje výběr konkrétního stínicího řešení na základě požadovaného útlumu, estetických a architektonických omezení a finančních možností. Pro prostory zpracovávající utajované informace stupně „Přísně tajné" je zpravidla nutná kombinace stínicího skla s dalšími prvky, jako jsou stínicí fólie na stěnách a speciálně konstruované dveře. Pro prostory zpracovávající citlivé, nikoliv utajované informace, může samotné stínicí sklo postačovat.

Instalace a validace jsou kritickými fázemi, na nichž závisí skutečná účinnost celého opatření. Dosažení deklarovaného útlumu závisí nejen na kvalitě skla, ale zejména na preciznosti montáže: utěsnění rámů, správném propojení stínicích vrstev se stěnami objektu a uzemnění. Po instalaci je nezbytné provést verifikační měření dle IEEE 299.1 a jeho výsledky zdokumentovat.

Pravidelný přezkum je požadavkem jak technických norem (minimálně jednou ročně), tak právních předpisů. Poškozené stínicí vrstvy, například při výměně oken nebo stavebních úpravách, vedou ke vzniku slabých míst v ochraně, jež mohou zůstat dlouho neodhalena. Moderní přístup propojuje stínicí systém s Building Management System (BMS) a platformou SIEM, čímž je dosaženo komplexnější korelace bezpečnostních událostí a zvýšené schopnosti detekce anomálií.

Stínicí sklo v kontextu vícevrstvé ochrany a budoucích výzev

Stínicí sklo není a nemůže být jedinou vrstvou ochrany. Jeho síla spočívá v tom, že fyzicky eliminuje nebo výrazně oslabuje jeden z hlavních vektorů kybernetických útoků, vzdálený odposlech bezdrátové komunikace, a tím zvyšuje celkovou odolnost systému. V rámci přístupu defense-in-depth doplňuje síťovou vrstvu (segmentace sítě, firewally, IDS/IPS systémy), aplikační vrstvu (end-to-end šifrování, silná autentizace, správa certifikátů) a personální vrstvu (školení zaměstnanců, awareness programy, správa přístupových práv).

Budoucí výzvy jsou spojeny s rozvojem nových technologií. Nástup sítí 6G přinese využití frekvenčních pásem nad 24 GHz (mmWave), kde jsou vlastnosti šíření a stínění EMV odlišné — vlny se šíří přímočaře s vyšším útlumem v materiálech, ale vyžadují nové přístupy ke stínění. Výzkum se zaměřuje na grafenové vrstvy, metamateriály a adaptivní stínicí sklo umožňující dynamicky měnit útlum signálu podle aktuální potřeby. Proliferace IoT zařízení (typicky 868 MHz, LoRaWAN) dále rozšiřuje spektrum frekvenčních pásem, která musejí být adresována. Probíhající harmonizace norem CEN/CENELEC v oblasti elektromagnetické kompatibility (EMC) stínění si klade za cíl sjednotit požadavky napříč členskými státy EU a usnadnit přeshraniční implementaci certifikovaných řešení.

Limity a podmínky účinnosti

Přestože je stínicí sklo velmi účinné, nelze jej absolutizovat. Samo o sobě nezaručuje úplnou ochranu před všemi formami elektromagnetického útoku. Jeho účinnost závisí na kvalitě materiálu, odborné montáži, návaznosti na další stavební prvky a na tom, zda v prostoru neexistují jiná místa úniku signálu, například netěsnosti, nechráněné dveře nebo kabelové prostupy.

Dalším limitem je potřeba sladit stínění s provozními požadavky. Organizace musí pečlivě zvážit, které signály chce omezit a které potřebuje zachovat. U některých objektů může být žádoucí úplné odstínění, jinde spíše řízené oslabení. To potvrzuje, že správné nasazení musí vycházet z individuální analýzy prostředí.

Technologický vývoj bude přinášet nové frekvenční rozsahy a komunikační protokoly, a proto musí být stínicí řešení pravidelně přehodnocována z hlediska budoucí kompatibility. Skutečně bezpečná organizace nepovažuje jednorázovou instalaci za konečné řešení, ale za součást kontinuálního procesu řízení rizik.

Závěrem

WAVETRAP je moderní, architektonicky integrované a legislativně dobře obhajitelné řešení, které fyzicky eliminuje jednu z nejméně viditelných kybernetických hrozeb, vzdálený odposlech elektromagnetického vyzařování. Z hlediska compliance přispívá k plnění povinností podle zákona č. 264/2025 Sb. (technická opatření fyzické bezpečnosti, posouzení rizik EMV), zákonů č. 412/2005 Sb. a č. 266/2025 Sb. (prevence kompromitujícího vyzařování, soulad s TEMPEST standardy dle NATO SDIP-27/28), nařízení DORA (fyzická vrstva ochrany ICT aktiv, omezení vektoru bezdrátových útoků) a GDPR (technická opatření dle čl. 32, privacy by design dle čl. 25).

Klíčové je přistupovat k tomuto řešení jako k integrální součásti vícevrstvé bezpečnostní architektury, s analýzou rizik, spektrálním měřením, odbornou instalací s verifikací dle IEEE 299.1, průběžnou dokumentací a pravidelnou kontrolou. Teprve tehdy naplňuje stínicí sklo svůj plný potenciál a organizace dosahuje prokazatelného souladu s legislativními a normativními požadavky.