A finales del año pasado, el gobierno chino introdujo una nueva ley de ciberseguridad, el llamado Plan de Ciberseguridad Multinivel (). La ley, que entró en vigor en diciembre, significa efectivamente que el gobierno tiene acceso ilimitado a todos los datos dentro del país, independientemente de si están almacenados en servidores chinos o transmitidos a través de redes chinas.
Esto significa que no habrá VPN anónimas (y muchas VPN populares son propiedad de empresas chinas). No hay mensajes privados o cifrados. No hay cuentas en línea anónimas ni datos confidenciales. Cualquier dato será accesible y abierto al gobierno chino, incluidos los datos de empresas extranjeras en servidores chinos o que pasen por China. bufete de abogados Reed Smith. En cierto sentido, MLPS 2.0 y las leyes que lo acompañan pueden compararse con el “Paquete de Leyes Yarovaya” ruso.
Todo es tan malo como parece y está empeorando. MLPS 2.0 está respaldado por dos leyes adicionales, las cuales eliminan cualquier protección, salvaguarda o laguna que alguna vez podría haberse utilizado para mantener la integridad de los datos corporativos. Ambos entraron en vigor a principios de este mes. CSOnline.
La primera es la nueva Ley de Inversión Extranjera, que trata a los inversores extranjeros del mismo modo que a los inversores chinos. Si bien esto fue anunciado como un medio para simplificar el proceso de inversión, en la práctica priva a los inversores extranjeros de muchos de los derechos de los que disfrutaban anteriormente.
El segundo establece un nuevo conjunto de directrices en materia de cifrado. Una vez más, a primera vista parecen haber sido propuestas teniendo en mente el bien común. Las leyes fueron aprobadas formalmente por el Ministerio de Seguridad Pública para proteger la infraestructura de red de “daños” y amenazas externas. Sólo tras una inspección más cercana comienzan a aparecer los efectos secundarios.
Según el MLPS actual, que ha estado en vigor desde 2008, los operadores de redes (un término muy amplio que cubre cualquier computadora o sistema conectado que envíe o procese datos) deben clasificar sus redes y sistemas de información en diferentes capas y aplicar medidas de seguridad apropiadas. El esquema clasifica los sistemas de tecnologías de la información y las comunicaciones (TIC) en una escala de sensibilidad: 1 - menos sensible, 5 - más sensible. Cuanto mayor sea la calificación, más estricto control estará sujeto el sistema por parte del Ministerio de Seguridad Pública (MPS). El tercer nivel es el punto en el que la autocertificación se convierte en verificación gubernamental. Este nivel se alcanza cuando el daño a la red resultará en “un daño particularmente grave a los derechos e intereses legítimos de los ciudadanos chinos, entidades legales y otras organizaciones interesadas, o causará un daño grave al orden público y los intereses públicos, o dañará la seguridad nacional”.
Empresa de análisis NewAmerica que MLPS 2.0 representa un "cambio hacia una mayor verificación". Bajo MLPS 2.0, las redes sujetas a inspección se amplían a prácticamente todos y cada uno de los sistemas de TI.
Requisitos de localización de datos
Según la nueva ley de criptografía, el desarrollo, venta y uso de sistemas criptográficos “no deben ser perjudiciales para la seguridad nacional y los intereses públicos”. Además, también están prohibidos los sistemas criptográficos que no hayan sido “verificados y autenticados”. En general, si su empresa intenta ocultar información al gobierno, puede ser castigado y será castigado.
Además, si su centro de datos utiliza, por ejemplo, un servicio de software chino, es posible que se incauten todos los datos almacenados y gestionados por este servicio. Esto incluye secretos comerciales, información financiera y más. Del mismo modo, si mantiene algún activo en el país, no tiene control total sobre él; pueden ser confiscados por el gobierno en cualquier momento y con una justificación mínima.
Los requisitos de localización de datos incluidos en la nueva legislación también perjudican enormemente la seguridad de la nube. Los expertos explican que dónde se almacenan los datos es menos importante que dónde se almacenan. cómo están almacenados. Por lo tanto, la localización hace muy poco para proteger la información confidencial y al mismo tiempo crea ubicaciones de almacenamiento de datos fácilmente accesibles y fáciles de piratear.
China nunca ha tenido reparos en descuidar la privacidad y la seguridad de los datos. Estas nuevas reglas son simplemente una formalización de lo que durante mucho tiempo ha sido la norma dentro del país. Pero esto no lo hace más fácil para las empresas.
Problemas para las empresas extranjeras
El centro de estudios estadounidense Centro de Estudios Estratégicos e Internacionales (CSIS) afirma que China ha liberado nuevos estándares nacionales relacionados con la ciberseguridad. Uno de los últimos cambios es la actualización de MLPS.
Las nuevas leyes son especialmente problemáticas para los centros de datos que son propiedad de empresas extranjeras.
De hecho, les quedan dos opciones.
La primera es simplemente dejar de hacer negocios en China, incluso a través de asociaciones. En teoría, si suficientes empresas siguen este camino, se podría presionar al gobierno chino para que derogue la ley.
El segundo es aceptar una privacidad y seguridad reducidas como costo de hacer negocios en China.
Podemos decir que las empresas extranjeras en Rusia todavía tienen las mismas dos opciones.
Me gustaría pensar que mediante esfuerzos conjuntos seguirán el primer camino. Desafortunadamente, en realidad es más probable que se elija la segunda opción. Porque para muchos, este precio de hacer negocios es aceptable.
Fuente: habr.com