Στα τέλη του περασμένου έτους, η κινεζική κυβέρνηση εισήγαγε έναν νέο νόμο για την ασφάλεια στον κυβερνοχώρο, το λεγόμενο Σύστημα Κυβερνοασφάλειας πολλαπλών επιπέδων (). Ο νόμος, ο οποίος τέθηκε σε ισχύ τον Δεκέμβριο, σημαίνει ουσιαστικά ότι η κυβέρνηση έχει απεριόριστη πρόσβαση σε όλα τα δεδομένα εντός της χώρας, ανεξάρτητα από το αν είναι αποθηκευμένα σε κινεζικούς διακομιστές ή μεταδίδονται μέσω κινεζικών δικτύων.
Αυτό σημαίνει ότι δεν θα υπάρχουν ανώνυμα VPN (και πολλά δημοφιλή VPN ανήκουν σε κινεζικές εταιρείες). Χωρίς προσωπικά ή κρυπτογραφημένα μηνύματα. Χωρίς ανώνυμους διαδικτυακούς λογαριασμούς ή ευαίσθητα δεδομένα. Οποιαδήποτε δεδομένα θα είναι προσβάσιμα και ανοιχτά στην κινεζική κυβέρνηση, συμπεριλαμβανομένων των δεδομένων ξένων εταιρειών σε κινεζικούς διακομιστές ή που διέρχονται από την Κίνα, δικηγορικό γραφείο Reed Smith. Κατά μία έννοια, το MLPS 2.0 και οι συναφείς νόμοι μπορούν να συγκριθούν με το ρωσικό «Πακέτο νόμου Yarovaya».
Όλα είναι τόσο άσχημα όσο φαίνονται, και χειροτερεύουν. Το MLPS 2.0 υποστηρίζεται από δύο πρόσθετα νομοθετήματα, τα οποία εξαλείφουν τυχόν προστασίες, διασφαλίσεις ή κενά που θα μπορούσαν κάποτε να είχαν χρησιμοποιηθεί για τη διατήρηση της ακεραιότητας των εταιρικών δεδομένων. Και τα δύο τέθηκαν σε ισχύ νωρίτερα αυτόν τον μήνα. CSO σε απευθείας σύνδεση.
Το πρώτο είναι ο νέος νόμος για τις ξένες επενδύσεις, ο οποίος αντιμετωπίζει τους ξένους επενδυτές με τον ίδιο τρόπο με τους Κινέζους επενδυτές. Αν και αυτό θεωρήθηκε ως μέσο για την απλοποίηση της επενδυτικής διαδικασίας, στην πράξη στερεί από τους ξένους επενδυτές πολλά από τα δικαιώματα που απολάμβαναν προηγουμένως.
Το δεύτερο καθιερώνει ένα νέο σύνολο κατευθυντήριων γραμμών σχετικά με την κρυπτογράφηση. Και πάλι, με την πρώτη ματιά φαίνεται ότι έχουν προταθεί με γνώμονα το κοινό καλό. Οι νόμοι ψηφίστηκαν από το Υπουργείο Δημόσιας Ασφάλειας επίσημα για την προστασία της υποδομής του δικτύου από «φθορές» και εξωτερικές απειλές. Μόνο μετά από προσεκτικότερη εξέταση αρχίζουν να εμφανίζονται οι παρενέργειες.
Σύμφωνα με το τρέχον MLPS, το οποίο ισχύει από το 2008, οι φορείς εκμετάλλευσης δικτύων (ένας πολύ ευρύς όρος που καλύπτει όλους τους συνδεδεμένους υπολογιστές ή συστήματα που στέλνουν ή επεξεργάζονται δεδομένα) απαιτείται να ταξινομούν τα δίκτυα και τα συστήματα πληροφοριών τους σε διαφορετικά επίπεδα και να εφαρμόζουν τα κατάλληλα μέτρα ασφαλείας. Το σύστημα κατατάσσει τα συστήματα τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ) σε μια κλίμακα ευαισθησίας: 1 - λιγότερο ευαίσθητα, 5 - πιο ευαίσθητα. Όσο υψηλότερη είναι η βαθμολογία, τόσο πιο αυστηρός έλεγχος υπόκειται το σύστημα από το Υπουργείο Δημόσιας Ασφάλειας (MPS). Το τρίτο επίπεδο είναι το σημείο στο οποίο η αυτοπιστοποίηση μετατρέπεται σε κυβερνητική επαλήθευση. Αυτό το επίπεδο επιτυγχάνεται όταν η ζημιά στο δίκτυο θα έχει ως αποτέλεσμα «ιδιαίτερα σοβαρή βλάβη στα νόμιμα δικαιώματα και συμφέροντα των Κινέζων πολιτών, νομικών οντοτήτων και άλλων ενδιαφερόμενων οργανισμών ή προκαλεί σοβαρή βλάβη στη δημόσια τάξη και δημόσια συμφέροντα ή βλάπτει την εθνική ασφάλεια».
Η εταιρεία Analytics NewAmerica ότι το MLPS 2.0 αντιπροσωπεύει μια "στροφή προς περισσότερη επαλήθευση". Σύμφωνα με το MLPS 2.0, τα δίκτυα που υπόκεινται σε επιθεώρηση επεκτείνονται ουσιαστικά σε όλα τα συστήματα πληροφορικής.
Απαιτήσεις εντοπισμού δεδομένων
Σύμφωνα με το νέο νόμο για την κρυπτογραφία, η ανάπτυξη, η πώληση και η χρήση κρυπτογραφικών συστημάτων «δεν πρέπει να είναι επιζήμια για την εθνική ασφάλεια και τα δημόσια συμφέροντα». Επιπλέον, τα κρυπτογραφικά συστήματα που δεν έχουν «επαληθευτεί και πιστοποιηθεί» είναι επίσης εκτός νόμου. Γενικά, εάν η επιχείρησή σας προσπαθήσει να κρύψει πληροφορίες από την κυβέρνηση, μπορείτε και θα τιμωρηθείτε.
Επιπλέον, εάν το κέντρο δεδομένων σας χρησιμοποιεί, για παράδειγμα, μια κινεζική υπηρεσία λογισμικού, τότε όλα τα δεδομένα που αποθηκεύονται και διαχειρίζονται από αυτήν την υπηρεσία ενδέχεται να κατασχεθούν. Αυτό περιλαμβάνει εμπορικά μυστικά, οικονομικές πληροφορίες και άλλα. Ομοίως, εάν διατηρείτε περιουσιακά στοιχεία στο εσωτερικό, δεν έχετε τον πλήρη έλεγχο πάνω τους. μπορούν να κατασχεθούν από την κυβέρνηση ανά πάσα στιγμή και με ελάχιστη δικαιολογία.
Οι απαιτήσεις εντοπισμού δεδομένων που περιλαμβάνονται στη νέα νομοθεσία βλάπτουν επίσης σε μεγάλο βαθμό την ασφάλεια του cloud. Οι ειδικοί εξηγούν ότι το πού αποθηκεύονται τα δεδομένα είναι λιγότερο σημαντικό από το πού αποθηκεύονται. как αποθηκεύονται. Έτσι, η τοπική προσαρμογή προστατεύει ελάχιστα ευαίσθητες πληροφορίες, ενώ δημιουργεί εύκολα στοχευμένες τοποθεσίες αποθήκευσης δεδομένων που είναι εύκολο να παραβιαστούν.
Η Κίνα δεν ήταν ποτέ ντροπαλή να παραμελήσει το απόρρητο και την ασφάλεια των δεδομένων. Αυτοί οι νέοι κανόνες είναι απλώς μια επισημοποίηση αυτού που από καιρό ήταν ο κανόνας στη χώρα. Αλλά αυτό δεν διευκολύνει τις εταιρείες.
Προβλήματα για ξένες εταιρείες
Το αμερικανικό think tank Center for Strategic and International Studies (CSIS) ισχυρίζεται ότι η Κίνα κυκλοφόρησε νέα εθνικά πρότυπα που σχετίζονται με την ασφάλεια στον κυβερνοχώρο. Μία από τις τελευταίες αλλαγές είναι η ενημέρωση MLPS.
Οι νέοι νόμοι είναι ιδιαίτερα προβληματικοί για τα κέντρα δεδομένων που ανήκουν σε ξένες εταιρείες.
Μάλιστα, μένουν με δύο επιλογές.
Το πρώτο είναι απλώς να σταματήσουμε να δραστηριοποιούμαστε στην Κίνα, μεταξύ άλλων μέσω συνεργασιών. Θεωρητικά, εάν αρκετές εταιρείες ακολουθήσουν αυτόν τον δρόμο, θα μπορούσε να ασκήσει πίεση στην κινεζική κυβέρνηση να καταργήσει τον νόμο.
Το δεύτερο είναι να αποδεχτείτε το μειωμένο απόρρητο και την ασφάλεια ως το κόστος της επιχειρηματικής δραστηριότητας στην Κίνα.
Μπορούμε να πούμε ότι οι ξένες εταιρείες στη Ρωσία εξακολουθούν να έχουν τις ίδιες δύο επιλογές.
Θα ήθελα να πιστεύω ότι μέσα από κοινές προσπάθειες θα ακολουθήσουν τον πρώτο δρόμο. Δυστυχώς, στην πραγματικότητα είναι πιο πιθανό να επιλεγεί η δεύτερη επιλογή. Γιατί για πολλούς, αυτή η τιμή της επιχειρηματικής δραστηριότητας είναι αποδεκτή.
Πηγή: www.habr.com