Ende letzten Jahres hat die chinesische Regierung ein neues Cybersicherheitsgesetz eingeführt, das sogenannte Multi-Level Cybersecurity Scheme (). Das im Dezember in Kraft getretene Gesetz bedeutet faktisch, dass die Regierung uneingeschränkten Zugriff auf alle Daten im Land hat, unabhängig davon, ob diese auf chinesischen Servern gespeichert oder über chinesische Netzwerke übertragen werden.
Das bedeutet, dass es keine anonymen VPNs geben wird (und viele beliebte VPNs gehören chinesischen Unternehmen). Keine privaten oder verschlüsselten Nachrichten. Keine anonymen Online-Konten oder sensible Daten. Alle Daten werden für die chinesische Regierung zugänglich und offen sein, einschließlich Daten ausländischer Unternehmen auf chinesischen Servern oder auf dem Weg durch China. Anwaltskanzlei Reed Smith. In gewisser Weise können MLPS 2.0 und die dazugehörigen Gesetze mit dem russischen „Yarovaya Law Package“ verglichen werden.
Alles ist genauso schlimm, wie es scheint, und es wird immer schlimmer. MLPS 2.0 wird durch zwei zusätzliche Gesetze unterstützt, die beide alle Schutzmaßnahmen, Sicherheitsvorkehrungen oder Lücken beseitigen, die früher möglicherweise zur Wahrung der Integrität von Unternehmensdaten genutzt wurden. Beide traten Anfang dieses Monats in Kraft. CSOnline.
Das erste ist das neue Auslandsinvestitionsgesetz, das ausländische Investoren genauso behandelt wie chinesische Investoren. Während dies als eine Möglichkeit zur Vereinfachung des Investitionsprozesses angepriesen wurde, beraubt es in der Praxis ausländische Investoren vieler ihrer Rechte, die sie zuvor genossen.
Der zweite legt eine Reihe neuer Richtlinien zur Verschlüsselung fest. Auch hier scheinen sie auf den ersten Blick mit Blick auf das Gemeinwohl vorgeschlagen worden zu sein. Die Gesetze wurden vom Ministerium für öffentliche Sicherheit offiziell verabschiedet, um die Netzwerkinfrastruktur vor „Schäden“ und externen Bedrohungen zu schützen. Erst bei näherer Betrachtung zeigen sich Nebenwirkungen.
Nach dem aktuellen MLPS, das seit 2008 in Kraft ist, sind Netzwerkbetreiber (ein sehr weit gefasster Begriff, der alle angeschlossenen Computer oder Systeme umfasst, die Daten senden oder verarbeiten) verpflichtet, ihre Netzwerke und Informationssysteme in verschiedene Schichten zu klassifizieren und entsprechende Sicherheitsmaßnahmen anzuwenden. Das Schema ordnet Systeme der Informations- und Kommunikationstechnologie (IKT) auf einer Sensibilitätsskala ein: 1 – am wenigsten empfindlich, 5 – am empfindlichsten. Je höher die Bewertung, desto strenger unterliegt das System der Kontrolle durch das Ministerium für öffentliche Sicherheit (MPS). Die dritte Ebene ist der Punkt, an dem die Selbstzertifizierung in eine staatliche Überprüfung übergeht. Dieses Niveau wird erreicht, wenn Schäden am Netzwerk zu „besonders schwerwiegenden Schäden an den legitimen Rechten und Interessen chinesischer Bürger, juristischer Personen und anderer interessierter Organisationen oder zu schwerwiegenden Schäden an der öffentlichen Ordnung und öffentlichen Interessen oder zu einer Beeinträchtigung der nationalen Sicherheit“ führen.
Analyseunternehmen NewAmerica dass MLPS 2.0 eine „Verschiebung hin zu mehr Verifizierung“ darstellt. Mit MLPS 2.0 werden die prüfpflichtigen Netze auf grundsätzlich alle IT-Systeme ausgeweitet.
Anforderungen an die Datenlokalisierung
Nach dem neuen Kryptographiegesetz dürfen die Entwicklung, der Verkauf und die Nutzung kryptografischer Systeme „der nationalen Sicherheit und öffentlichen Interessen nicht schaden“. Darüber hinaus sind auch kryptografische Systeme verboten, die nicht „verifiziert und authentifiziert“ wurden. Wenn Ihr Unternehmen versucht, Informationen vor der Regierung zu verbergen, können und werden Sie im Allgemeinen bestraft.
Wenn Ihr Rechenzentrum außerdem beispielsweise einen chinesischen Softwaredienst nutzt, können alle von diesem Dienst gespeicherten und verwalteten Daten beschlagnahmt werden. Dazu gehören Geschäftsgeheimnisse, Finanzinformationen und mehr. Wenn Sie Vermögenswerte im Inland halten, haben Sie ebenfalls keine vollständige Kontrolle darüber; Sie können von der Regierung jederzeit und mit minimalem Grund eingezogen werden.
Auch die in der neuen Gesetzgebung enthaltenen Datenlokalisierungsanforderungen beeinträchtigen die Cloud-Sicherheit erheblich. Experten erklären, dass der Ort, an dem Daten gespeichert werden, weniger wichtig ist als der Ort, an dem sie gespeichert werden. als sie werden gespeichert. Daher trägt die Lokalisierung nur sehr wenig zum Schutz sensibler Informationen bei und schafft gleichzeitig leicht anvisierte Datenspeicherorte, die leicht gehackt werden können.
China hat sich nie davor gescheut, Privatsphäre und Datensicherheit zu vernachlässigen. Diese neuen Regeln sind lediglich eine Formalisierung dessen, was im Land seit langem die Norm ist. Doch das macht es für Unternehmen nicht einfacher.
Probleme für ausländische Unternehmen
Die amerikanische Denkfabrik Center for Strategic and International Studies (CSIS) behauptet, China habe freigelassen neue nationale Standards im Zusammenhang mit der Cybersicherheit. Eine der neuesten Änderungen ist das MLPS-Update.
Besonders problematisch sind die neuen Gesetze für Rechenzentren, die ausländischen Unternehmen gehören.
Tatsächlich bleiben ihnen zwei Möglichkeiten.
Die erste besteht darin, einfach keine Geschäfte mehr in China zu machen, auch durch Partnerschaften. Wenn genügend Unternehmen diesem Weg folgen, könnte dies theoretisch Druck auf die chinesische Regierung ausüben, das Gesetz aufzuheben.
Die zweite besteht darin, eine eingeschränkte Privatsphäre und Sicherheit als Kosten für Geschäfte in China hinzunehmen.
Wir können sagen, dass ausländische Unternehmen in Russland immer noch die gleichen zwei Optionen haben.
Ich würde gerne glauben, dass sie durch gemeinsame Anstrengungen den ersten Weg beschreiten werden. Leider wird in der Realität eher die zweite Option gewählt. Denn für viele ist dieser Geschäftspreis akzeptabel.
Source: habr.com