A finals de l'any passat, el govern xinès va introduir una nova llei de ciberseguretat, l'anomenat Esquema de ciberseguretat multinivell (Multi-Level Cybersecurity Scheme).). La llei, que va entrar en vigor el desembre, significa efectivament que el govern té accés il·limitat a totes les dades del país, independentment de si s'emmagatzemen en servidors xinesos o es transmeten a través de xarxes xineses.
Això vol dir que no hi haurà VPN anònimes (i moltes VPN populars són propietat d'empreses xineses). No hi ha missatges privats ni encriptats. No hi ha comptes en línia anònims ni dades sensibles. Qualsevol dada serà accessible i oberta al govern xinès, incloses les dades d'empreses estrangeres en servidors xinesos o que passen per la Xina. despatx d'advocats Reed Smith. En cert sentit, MLPS 2.0 i les lleis que l'acompanyen es poden comparar amb el "Paquet de lleis Yarovaya" rus.
Tot és exactament tan dolent com sembla, i empitjora. MLPS 2.0 està recolzat per dues lleis addicionals, ambdues que eliminen qualsevol protecció, salvaguarda o llacuna que abans s'hagués pogut utilitzar per mantenir la integritat de les dades corporatives. Tots dos van entrar en vigor a principis d'aquest mes. CSOnline.
La primera és la nova Llei d'Inversions Estrangeres, que tracta els inversors estrangers de la mateixa manera que els inversors xinesos. Tot i que es va presentar com un mitjà per simplificar el procés d'inversió, a la pràctica priva els inversors estrangers de molts dels drets dels quals gaudien anteriorment.
El segon estableix un nou conjunt de directrius pel que fa a l'encriptació. De nou, a primera vista sembla que s'han proposat tenint en compte el bé comú. Les lleis van ser aprovades formalment pel Ministeri de Seguretat Pública per protegir la infraestructura de la xarxa de "danys" i amenaces externes. Només després d'una inspecció més propera comencen a aparèixer els efectes secundaris.
En virtut de l'actual MLPS, que està en vigor des del 2008, els operadors de xarxa (un terme molt ampli que cobreix qualsevol ordinador o sistema connectat que enviï o processi dades) estan obligats a classificar les seves xarxes i sistemes d'informació en diferents capes i aplicar les mesures de seguretat adequades. L'esquema classifica els sistemes de tecnologia de la informació i les comunicacions (TIC) en una escala de sensibilitat: 1 - menys sensibles, 5 - més sensibles. Com més alta sigui la qualificació, més estricte serà el control del sistema per part del Ministeri de Seguretat Pública (MPS). El tercer nivell és el punt en què l'autocertificació es converteix en verificació governamental. Aquest nivell s'aconsegueix quan els danys a la xarxa provocaran "danys especialment greus als drets i interessos legítims dels ciutadans xinesos, persones jurídiques i altres organitzacions interessades, o causar danys greus a l'ordre públic i als interessos públics, o perjudicar la seguretat nacional".
Empresa d'anàlisi NewAmerica que MLPS 2.0 representa un "canvi cap a més verificació". Sota l'MLPS 2.0, les xarxes subjectes a inspecció s'amplien essencialment a tots els sistemes informàtics.
Requisits de localització de dades
Segons la nova llei de criptografia, el desenvolupament, la venda i l'ús de sistemes criptogràfics "no ha de ser perjudicial per a la seguretat nacional i els interessos públics". A més, els sistemes criptogràfics que no han estat "verificats i autenticats" també estan prohibits. En general, si la teva empresa intenta ocultar informació al govern, pots i seràs castigat.
A més, si el vostre centre de dades utilitza, per exemple, un servei de programari xinès, totes les dades emmagatzemades i gestionades per aquest servei poden ser confiscades. Això inclou secrets comercials, informació financera i molt més. De la mateixa manera, si manteniu algun actiu a nivell nacional, no teniu un control total sobre ells; poden ser confiscats pel govern en qualsevol moment i amb una justificació mínima.
Els requisits de localització de dades inclosos a la nova legislació també perjudiquen molt la seguretat del núvol. Els experts expliquen que on s'emmagatzemen les dades és menys important que on s'emmagatzemen. как s'emmagatzemen. Per tant, la localització fa molt poc per protegir la informació sensible alhora que crea ubicacions d'emmagatzematge de dades fàcilment orientades i fàcils de piratejar.
La Xina mai ha estat tímida a l'hora de descuidar la privadesa i la seguretat de les dades. Aquestes noves normes són simplement una formalització del que fa temps que és la norma al país. Però això no facilita les coses a les empreses.
Problemes per a les empreses estrangeres
El think tank nord-americà Center for Strategic and International Studies (CSIS) afirma que la Xina ha alliberat nous estàndards nacionals relacionats amb la ciberseguretat. Un dels darrers canvis és l'actualització de MLPS.
Les noves lleis són especialment problemàtiques per als centres de dades que són propietat d'empreses estrangeres.
De fet, els queden dues opcions.
El primer és simplement deixar de fer negocis a la Xina, fins i tot mitjançant associacions. En teoria, si suficients empreses segueixen aquest camí, podria pressionar el govern xinès perquè derogués la llei.
El segon és acceptar la privadesa i la seguretat reduïdes com el cost de fer negocis a la Xina.
Podem dir que les empreses estrangeres a Rússia encara tenen les mateixes dues opcions.
M'agradaria pensar que amb esforços conjunts seguiran el primer camí. Malauradament, en realitat és més probable que s'esculli la segona opció. Perquè per a molts, aquest preu de fer negocis és acceptable.
Font: www.habr.com
