Koncem loňského roku představila čínská vláda nový zákon o kybernetické bezpečnosti, takzvaný víceúrovňový systém kybernetické bezpečnosti (). Zákon, který vstoupil v platnost v prosinci, fakticky znamená, že vláda má neomezený přístup ke všem datům v zemi, bez ohledu na to, zda jsou uložena na čínských serverech nebo přenášena prostřednictvím čínských sítí.
To znamená, že nebudou existovat žádné anonymní VPN (a mnoho populárních VPN je vlastněno čínskými společnostmi). Žádné soukromé nebo šifrované zprávy. Žádné anonymní online účty ani citlivá data. Veškerá data budou přístupná a otevřená čínské vládě, včetně dat zahraničních společností na čínských serverech nebo procházejících Čínou, advokátní kancelář Reed Smith. V jistém smyslu lze MLPS 2.0 a související zákony přirovnat k ruskému „balíčku zákonů Yarovaya“.
Všechno je přesně tak špatné, jak se zdá, a je to čím dál horší. MLPS 2.0 je podporován dvěma dalšími právními předpisy, z nichž oba eliminují jakékoli ochrany, zabezpečení nebo mezery, které mohly být kdysi použity k zachování integrity podnikových dat. Obě vstoupily v platnost začátkem tohoto měsíce. CSOnline.
Prvním je nový zákon o zahraničních investicích, který se zahraničními investory zachází stejně jako s čínskými investory. Ačkoli to bylo účtováno jako prostředek ke zjednodušení investičního procesu, v praxi to zahraniční investory zbavuje mnoha práv, kterých se dříve těšili.
Druhá zavádí nový soubor pokynů týkajících se šifrování. Opět se na první pohled zdá, že byly navrženy s ohledem na obecné dobro. Zákony byly schváleny ministerstvem veřejné bezpečnosti formálně na ochranu síťové infrastruktury před „poškozením“ a vnějšími hrozbami. Teprve při bližším zkoumání se začnou objevovat vedlejší účinky.
Podle současného MLPS, který je zaveden od roku 2008, jsou provozovatelé sítí (velmi široký pojem, který zahrnuje jakékoli připojené počítače nebo systémy odesílající nebo zpracovávající data) povinni klasifikovat své sítě a informační systémy do různých vrstev a uplatňovat vhodná bezpečnostní opatření. Schéma řadí systémy informačních a komunikačních technologií (ICT) na stupnici citlivosti: 1 – nejméně citlivé, 5 – nejcitlivější. Čím vyšší hodnocení, tím přísnější kontrola systému ze strany Ministerstva veřejné bezpečnosti (MPS). Třetí úroveň je bod, kdy se vlastní certifikace mění ve vládní ověření. Této úrovně je dosaženo, když poškození sítě povede k „obzvláště vážnému poškození legitimních práv a zájmů čínských občanů, právnických osob a dalších zainteresovaných organizací nebo způsobí vážné poškození veřejného pořádku a veřejných zájmů nebo k poškození národní bezpečnosti“.
Analytická společnost NewAmerica že MLPS 2.0 představuje „posun směrem k většímu ověřování“. V rámci MLPS 2.0 jsou kontrolované sítě rozšířeny na v podstatě všechny IT systémy.
Požadavky na lokalizaci dat
Podle nového zákona o kryptografii vývoj, prodej a používání kryptografických systémů „nesmí být škodlivé pro národní bezpečnost a veřejné zájmy“. Kromě toho jsou mimo zákon také kryptografické systémy, které nebyly „ověřeny a ověřeny“. Obecně platí, že pokud se vaše firma pokusí skrýt informace před vládou, můžete a budete potrestáni.
Kromě toho, pokud vaše datové centrum používá například čínskou softwarovou službu, mohou být zabavena všechna data uložená a spravovaná touto službou. To zahrnuje obchodní tajemství, finanční informace a další. Podobně, pokud máte nějaká aktiva doma, nemáte nad nimi úplnou kontrolu; mohou být vládou kdykoli a s minimálním odůvodněním zabaveny.
Požadavky na lokalizaci dat zahrnuté v nové legislativě také značně poškozují zabezpečení cloudu. Odborníci vysvětlují, že kde jsou data uložena, je méně důležité než kde jsou uložena. как jsou uloženy. Lokalizace tedy dělá velmi málo pro ochranu citlivých informací a zároveň vytváří snadno cílená úložiště dat, která lze snadno nabourat.
Čína se nikdy neostýchala zanedbávat soukromí a bezpečnost dat. Tato nová pravidla jsou pouze formalizací toho, co je v zemi již dlouho normou. To to ale firmám nijak neusnadňuje.
Problémy pro zahraniční firmy
Americký think tank Center for Strategic and International Studies (CSIS) tvrdí, že Čína vydala nové národní standardy týkající se kybernetické bezpečnosti. Jednou z posledních změn je aktualizace MLPS.
Nové zákony jsou problematické zejména pro datová centra, která jsou ve vlastnictví zahraničních společností.
Ve skutečnosti jim zbývají dvě možnosti.
Prvním je prostě přestat v Číně podnikat, a to i prostřednictvím partnerství. Teoreticky, pokud se touto cestou vydá dostatek společností, mohlo by to vyvinout tlak na čínskou vládu, aby zákon zrušila.
Druhým je přijmout omezení soukromí a bezpečnosti jako cenu podnikání v Číně.
Můžeme říci, že zahraniční společnosti v Rusku mají stále stejné dvě možnosti.
Rád bych si myslel, že společným úsilím půjdou první cestou. Bohužel ve skutečnosti je pravděpodobnější zvolit druhou možnost. Protože pro mnohé je tato cena podnikání přijatelná.
Zdroj: www.habr.com