Krajem prošle godine, kineska vlada je uvela novi zakon o sajber-sigurnosti, tzv.). Zakon, koji je stupio na snagu u decembru, zapravo znači da vlada ima neograničen pristup svim podacima unutar zemlje, bez obzira na to da li su pohranjeni na kineskim serverima ili se prenose putem kineskih mreža.
To znači da neće biti anonimnih VPN-ova (a mnogi popularni VPN-ovi su u vlasništvu kineskih kompanija). Nema privatnih ili šifriranih poruka. Nema anonimnih online naloga ili osjetljivih podataka. Svi podaci će biti dostupni i otvoreni kineskoj vladi, uključujući podatke stranih kompanija na kineskim serverima ili prolaze kroz Kinu, advokatska firma Reed Smith. U određenom smislu, MLPS 2.0 i prateći zakoni mogu se uporediti sa ruskim „Paketom zakona Yarovaya“.
Sve je tačno onako loše kako se čini, i sve je gore. MLPS 2.0 je podržan sa dva dodatna zakona, od kojih oba eliminišu bilo kakvu zaštitu, zaštitne mere ili rupe u zakonu koje su nekada mogle da se koriste za održavanje integriteta korporativnih podataka. Oba su stupila na snagu ranije ovog mjeseca. CSonline.
Prvi je novi Zakon o stranim ulaganjima, koji tretira strane investitore na isti način kao i kineske investitore. Iako je to najavljeno kao sredstvo za pojednostavljenje procesa investiranja, u praksi to stranim investitorima uskraćuje mnoga prava koja su ranije uživali.
Drugi uspostavlja novi skup smjernica u vezi sa šifriranjem. Opet, na prvi pogled izgleda da su predloženi imajući na umu opšte dobro. Zakone je formalno donijelo Ministarstvo javne sigurnosti kako bi zaštitilo mrežnu infrastrukturu od “oštećenja” i vanjskih prijetnji. Tek nakon detaljnijeg pregleda počinju se pojavljivati nuspojave.
Prema sadašnjem MLPS-u, koji je na snazi od 2008. godine, mrežni operateri (veoma širok pojam koji pokriva sve povezane računare ili sisteme koji šalju ili obrađuju podatke) moraju klasificirati svoje mreže i informacione sisteme u različite slojeve i primijeniti odgovarajuće sigurnosne mjere. Šema rangira sisteme informacione i komunikacione tehnologije (ICT) na skali osjetljivosti: 1 - najmanje osjetljivi, 5 - najosetljiviji. Što je viši rejting, to je sistem pod strožim nadzorom od strane Ministarstva javne bezbednosti (MJB). Treći nivo je tačka u kojoj se samocertifikacija pretvara u vladinu verifikaciju. Ovaj nivo se dostiže kada će šteta na mreži rezultirati „posebno ozbiljnom štetom po legitimna prava i interese kineskih građana, pravnih lica i drugih zainteresovanih organizacija, ili naneti ozbiljnu štetu javnom redu i javnim interesima, ili naneti štetu nacionalnoj bezbednosti“.
Analitička kompanija NewAmerica da MLPS 2.0 predstavlja "pomak ka više verifikacije." Pod MLPS 2.0, mreže koje podliježu inspekciji su proširene na u suštini sve IT sisteme.
Zahtjevi za lokalizaciju podataka
Prema novom zakonu o kriptografiji, razvoj, prodaja i upotreba kriptografskih sistema "ne smiju biti štetni po nacionalnu sigurnost i javne interese". Osim toga, kriptografski sistemi koji nisu "provjereni i autentificirani" također su zabranjeni. Općenito, ako vaše poslovanje pokuša sakriti informacije od vlade, možete i bit ćete kažnjeni.
Osim toga, ako vaš podatkovni centar koristi, na primjer, kinesku softversku uslugu, svi podaci koji se pohranjuju i kojima upravlja ova usluga mogu biti zaplijenjeni. Ovo uključuje poslovne tajne, finansijske informacije i još mnogo toga. Isto tako, ako držite bilo kakvu imovinu u zemlji, nemate potpunu kontrolu nad njima; Vlada ih može oduzeti u bilo koje vrijeme i uz minimalno opravdanje.
Zahtjevi za lokalizaciju podataka uključeni u novo zakonodavstvo također uvelike štete sigurnosti oblaka. Stručnjaci objašnjavaju da je manje važno gdje se podaci pohranjuju nego gdje su pohranjeni. kako oni su pohranjeni. Dakle, lokalizacija čini vrlo malo za zaštitu osjetljivih informacija dok stvara lako ciljane lokacije za pohranu podataka koje je lako hakirati.
Kina nikada nije bila stidljiva zbog zanemarivanja privatnosti i sigurnosti podataka. Ova nova pravila samo su formalizacija onoga što je dugo bila norma u zemlji. Ali to kompanijama ne olakšava posao.
Problemi za strane kompanije
Američki think tank Centar za strateške i međunarodne studije (CSIS) tvrdi da je Kina objavila novi nacionalni standardi koji se odnose na sajber sigurnost. Jedna od najnovijih promjena je ažuriranje MLPS-a.
Novi zakoni posebno su problematični za data centre koji su u vlasništvu stranih kompanija.
U stvari, preostale su im dvije opcije.
Prvi je jednostavno prestati poslovati u Kini, uključujući i partnerstva. U teoriji, ako dovoljno kompanija krene ovim putem, to bi moglo izvršiti pritisak na kinesku vladu da ukine zakon.
Drugi je prihvatanje smanjene privatnosti i sigurnosti kao troška poslovanja u Kini.
Možemo reći da strane kompanije u Rusiji i dalje imaju iste dvije opcije.
Volio bih da mislim da će zajedničkim snagama krenuti prvim putem. Nažalost, u stvarnosti je veća vjerovatnoća da će se izabrati druga opcija. Jer za mnoge je ova cijena poslovanja prihvatljiva.
izvor: www.habr.com
