Fine de la pasinta jaro, la ĉina registaro enkondukis novan leĝon pri cibersekureco, la tiel nomata Skemo pri Cibersekureco de Plurnivela (). La leĝo, kiu ekvalidis en decembro, efektive signifas, ke la registaro havas senliman aliron al ĉiuj datumoj ene de la lando, sendepende de ĉu ĝi estas konservita en ĉinaj serviloj aŭ transdonita per ĉinaj retoj.
Ĉi tio signifas, ke ne estos anonimaj VPN-oj (kaj multaj popularaj VPN-oj estas posedataj de ĉinaj kompanioj). Neniuj privataj aŭ ĉifritaj mesaĝoj. Neniuj anonimaj interretaj kontoj aŭ sentemaj datumoj. Ĉiuj datumoj estos alireblaj kaj malfermitaj al la ĉina registaro, inkluzive de datumoj de eksterlandaj kompanioj sur ĉinaj serviloj aŭ trairantaj Ĉinion, advokatfirmao Reed Smith. Iasence, MLPS 2.0 kaj akompanaj leĝoj povas esti komparitaj kun la rusa "Yarovaya Law Package".
Ĉio estas ekzakte tiel malbona kiel ĝi ŝajnas, kaj ĝi plimalboniĝas. MLPS 2.0 estas subtenata de du pliaj leĝaroj, kiuj ambaŭ forigas ajnajn protektojn, sekurigilojn aŭ kaŝpasejojn, kiuj iam povus esti uzataj por konservi la integrecon de kompaniaj datumoj. Ambaŭ ekvalidis komence de ĉi tiu monato. CSOnline.
La unua estas la nova Leĝo pri Eksterlandaj Investoj, kiu traktas eksterlandajn investantojn same kiel ĉinajn investantojn. Dum tio estis proklamita rimedo por simpligi la investprocezon, en praktiko ĝi senigas eksterlandajn investantojn de multaj el la rajtoj kiujn ili antaŭe ĝuis.
La dua establas novan aron de gvidlinioj koncerne ĉifradon. Denove, unuavide ili ŝajnas esti proponitaj kun la komuna bono en menso. La leĝoj estis pasigitaj de la Ministerio de Publika Sekureco formale por protekti retan infrastrukturon kontraŭ "damaĝo" kaj eksteraj minacoj. Nur post pli proksima inspektado komencas aperi kromefikoj.
Sub la nuna MLPS, kiu ekzistas ekde 2008, retfunkciigistoj (tre larĝa esprimo kiu kovras iujn ajn konektitajn komputilojn aŭ sistemojn sendantajn aŭ prilaborante datenojn) estas postulataj por klasifiki siajn retojn kaj informsistemojn en malsamajn tavolojn kaj apliki taŭgajn sekureciniciatojn. La skemo vicigas informajn kaj komunikajn teknologiojn (ICT) sistemojn sur skalo de sentemo: 1 - malplej sentema, 5 - plej sentema. Ju pli alta la takso, des pli strikta kontrolo la sistemo estas submetita de la Ministerio de Publika Sekureco (MPS). La tria nivelo estas la punkto ĉe kiu mem-atestado fariĝas registara konfirmo. Ĉi tiu nivelo estas atingita kiam damaĝo al la reto rezultos en "aparte grava damaĝo al la legitimaj rajtoj kaj interesoj de ĉinaj civitanoj, juraj entoj kaj aliaj interesataj organizoj, aŭ kaŭzos gravan damaĝon al publika ordo kaj publikaj interesoj, aŭ damaĝos nacian sekurecon."
Analiza kompanio NewAmerica ke MLPS 2.0 reprezentas "ŝanĝon al pli da konfirmo." Sub MLPS 2.0, la retoj submetitaj al inspektado estas vastigitaj al esence iuj kaj ĉiuj IT-sistemoj.
Postuloj pri lokalizo de datumoj
Laŭ la nova kriptografia leĝo, la disvolviĝo, vendo kaj uzo de ĉifrikaj sistemoj "ne devas esti malutila al nacia sekureco kaj publikaj interesoj." Aldone, ĉifrikaj sistemoj kiuj ne estis "kontrolitaj kaj aŭtentikigitaj" ankaŭ estas malpermesitaj. Ĝenerale, se via komerco provas kaŝi informojn de la registaro, vi povas kaj estos punita.
Krome, se via datumcentro uzas, ekzemple, ĉinan programaran servon, tiam ĉiuj datumoj stokitaj kaj administritaj de ĉi tiu servo eble estos kaptitaj. Ĉi tio inkluzivas komercajn sekretojn, financajn informojn kaj pli. Same, se vi konservas ajnajn aktivojn enlande, vi ne havas kompletan kontrolon super ili; ili povas esti konfiskitaj de la registaro en ajna momento kaj kun minimuma pravigo.
Postuloj pri lokalizo de datumoj inkluzivitaj en la nova leĝaro ankaŭ multe damaĝas la nuban sekurecon. Fakuloj klarigas, ke kie datumoj estas konservitaj estas malpli grava ol kie ĝi estas konservita. kiom ili estas stokitaj. Tiel, lokalizo faras tre malmulte por protekti sentemajn informojn dum kreado de facile celitaj datumoj stokado lokoj kiuj estas facile pirati.
Ĉinio neniam estis timema pri neglektado de privateco kaj datuma sekureco. Ĉi tiuj novaj reguloj estas simple formaligo de tio, kio longe estis la normo ene de la lando. Sed ĉi tio ne plifaciligas ĝin por kompanioj.
Problemoj por eksterlandaj kompanioj
La usona pensfabriko Centro por Strategiaj kaj Internaciaj Studoj (CSIS) asertas, ke Ĉinio liberigis novaj naciaj normoj rilate al cibersekureco. Unu el la plej novaj ŝanĝoj estas la ĝisdatigo de MLPS.
La novaj leĝoj estas precipe problemaj por datumcentroj, kiuj estas posedataj de eksterlandaj kompanioj.
Fakte, ili restas kun du ebloj.
La unua estas simple ĉesi fari komercon en Ĉinio, inkluzive per partnerecoj. En teorio, se sufiĉe da kompanioj sekvas ĉi tiun vojon, ĝi povus fari premon al la ĉina registaro por nuligi la leĝon.
La dua estas akcepti reduktitan privatecon kaj sekurecon kiel la koston de komercado en Ĉinio.
Ni povas diri, ke eksterlandaj kompanioj en Rusio ankoraŭ havas la samajn du eblojn.
Mi ŝatus pensi, ke per komuna klopodo ili sekvos la unuan vojon. Bedaŭrinde, fakte la dua opcio estas pli verŝajne elektita. Ĉar por multaj, ĉi tiu prezo de komercado estas akceptebla.
fonto: www.habr.com