I slutningen af sidste år indførte den kinesiske regering en ny cybersikkerhedslov, den såkaldte Multi-Level Cybersecurity Scheme (). Loven, der trådte i kraft i december, betyder reelt, at regeringen har ubegrænset adgang til alle data i landet, uanset om de er gemt på kinesiske servere eller transmitteret gennem kinesiske netværk.
Det betyder, at der ikke vil være nogen anonyme VPN'er (og mange populære VPN'er ejes af kinesiske virksomheder). Ingen private eller krypterede beskeder. Ingen anonyme onlinekonti eller følsomme data. Alle data vil være tilgængelige og åbne for den kinesiske regering, herunder data fra udenlandske virksomheder på kinesiske servere eller passerer gennem Kina, advokatfirmaet Reed Smith. På en måde kan MLPS 2.0 og tilhørende love sammenlignes med den russiske "Yarovaya Law Package".
Alt er præcis så slemt, som det ser ud til, og det bliver værre. MLPS 2.0 understøttes af yderligere to stykker lovgivning, som begge fjerner enhver beskyttelse, sikkerhedsforanstaltninger eller smuthuller, der engang kunne være blevet brugt til at opretholde integriteten af virksomhedsdata. Begge trådte i kraft tidligere på måneden. CSOonline.
Den første er den nye udenlandske investeringslov, som behandler udenlandske investorer på samme måde som kinesiske investorer. Selvom dette blev faktureret som et middel til at forenkle investeringsprocessen, fratager det i praksis udenlandske investorer mange af de rettigheder, de tidligere havde.
Den anden etablerer et nyt sæt retningslinjer vedrørende kryptering. Igen, ved første øjekast ser de ud til at være blevet foreslået med almenvellet for øje. Lovene blev vedtaget af Ministeriet for Offentlig Sikkerhed formelt for at beskytte netværksinfrastrukturen mod "skade" og eksterne trusler. Det er først ved nærmere eftersyn, at bivirkninger begynder at vise sig.
Under den nuværende MLPS, som har været på plads siden 2008, er netværksoperatører (en meget bred betegnelse, der dækker alle tilsluttede computere eller systemer, der sender eller behandler data) forpligtet til at klassificere deres netværk og informationssystemer i forskellige lag og anvende passende sikkerhedsforanstaltninger. Ordningen rangerer informations- og kommunikationsteknologisystemer (IKT) på en følsomhedsskala: 1 - mindst følsomme, 5 - mest følsomme. Jo højere vurdering, desto strengere kontrol er systemet underlagt af Ministeriet for Offentlig Sikkerhed (MPS). Det tredje niveau er det punkt, hvor selvcertificering bliver til regeringsbekræftelse. Dette niveau nås, når skade på netværket vil resultere i "særlig alvorlig skade på kinesiske borgeres legitime rettigheder og interesser, juridiske enheder og andre interesserede organisationer eller forårsage alvorlig skade på den offentlige orden og offentlige interesser eller skade den nationale sikkerhed."
Analysefirmaet NewAmerica at MLPS 2.0 repræsenterer et "skifte mod mere verifikation." Under MLPS 2.0 udvides de netværk, der er underlagt inspektion, til stort set alle it-systemer.
Krav til datalokalisering
Ifølge den nye kryptografilov må udvikling, salg og brug af kryptografiske systemer "ikke være til skade for den nationale sikkerhed og offentlige interesser." Derudover er kryptografiske systemer, der ikke er blevet "verificeret og autentificeret", også forbudt. Generelt, hvis din virksomhed forsøger at skjule oplysninger fra regeringen, kan og vil du blive straffet.
Desuden, hvis dit datacenter f.eks. bruger en kinesisk softwaretjeneste, kan alle data, der er gemt og administreres af denne tjeneste, blive beslaglagt. Dette omfatter forretningshemmeligheder, finansielle oplysninger og mere. Ligeledes, hvis du beholder aktiver indenlandsk, har du ikke fuldstændig kontrol over dem; de kan konfiskeres af regeringen til enhver tid og med minimal begrundelse.
Krav til datalokalisering inkluderet i den nye lovgivning skader også skysikkerheden i høj grad. Eksperter forklarer, at det er mindre vigtigt, hvor data gemmes, end hvor de opbevares. som de opbevares. Lokalisering gør således meget lidt for at beskytte følsomme oplysninger, mens de skaber let målrettede datalagringssteder, der er nemme at hacke.
Kina har aldrig været bleg for at forsømme privatlivets fred og datasikkerhed. Disse nye regler er blot en formalisering af, hvad der længe har været normen i landet. Men det gør det ikke nemmere for virksomhederne.
Problemer for udenlandske virksomheder
Den amerikanske tænketank Center for Strategic and International Studies (CSIS) hævder, at Kina har frigivet nye nationale standarder relateret til cybersikkerhed. En af de seneste ændringer er MLPS-opdateringen.
De nye love er især problematiske for datacentre, der er ejet af udenlandske virksomheder.
Faktisk står de tilbage med to muligheder.
Den første er simpelthen at stoppe med at drive forretning i Kina, herunder gennem partnerskaber. I teorien, hvis nok virksomheder følger denne vej, kan det lægge pres på den kinesiske regering for at ophæve loven.
Den anden er at acceptere reduceret privatliv og sikkerhed som omkostningerne ved at drive forretning i Kina.
Vi kan sige, at udenlandske virksomheder i Rusland stadig har de samme to muligheder.
Jeg vil gerne tro, at de gennem fælles indsats vil følge den første vej. Desværre er det i virkeligheden mere sandsynligt, at den anden mulighed bliver valgt. For for mange er denne pris for at drive forretning acceptabel.
Kilde: www.habr.com