Möödunud aasta lõpus võttis Hiina valitsus kasutusele uue küberjulgeoleku seaduse, nn mitmetasandilise küberturvalisuse skeemi.). Detsembris jõustunud seadus tähendab sisuliselt seda, et valitsusel on piiramatu juurdepääs kõikidele andmetele riigis, olenemata sellest, kas neid hoitakse Hiina serverites või edastatakse Hiina võrkude kaudu.
See tähendab, et anonüümseid VPN-e ei ole (ja paljud populaarsed VPN-id kuuluvad Hiina ettevõtetele). Privaatseid ega krüpteeritud sõnumeid pole. Ei mingeid anonüümseid veebikontosid ega tundlikke andmeid. Kõik andmed on Hiina valitsusele juurdepääsetavad ja avatud, sealhulgas Hiina serverites või Hiinat läbivate välisettevõtete andmed, advokaadibüroo Reed Smith. Teatud mõttes võib MLPS 2.0 ja sellega kaasnevaid seadusi võrrelda Venemaa “Jarovaja seaduste paketiga”.
Kõik on täpselt nii hull, kui paistab, ja aina hullemaks läheb. MLPS 2.0 toetab kaks täiendavat õigusakti, mis mõlemad kõrvaldavad kõik kaitsed, kaitsemeetmed või lüngad, mida võidi kunagi kasutada ettevõtte andmete terviklikkuse säilitamiseks. Mõlemad jõustusid selle kuu alguses. CSOnline.
Esimene on uus välisinvesteeringute seadus, mis kohtleb välisinvestoreid samamoodi nagu Hiina investoreid. Kuigi seda käsitleti investeerimisprotsessi lihtsustamise vahendina, jätab see praktikas välisinvestorid ilma paljudest õigustest, mis neil varem olid.
Teine kehtestab uued juhised krüptimise kohta. Jällegi näib esmapilgul olevat need välja pakutud ühist hüve silmas pidades. Seadused võttis avaliku julgeoleku ministeerium vastu ametlikult, et kaitsta võrguinfrastruktuuri "kahjustuste" ja väliste ohtude eest. Alles lähemal uurimisel hakkavad ilmnema kõrvaltoimed.
Praeguse MLPS-i kohaselt, mis kehtib alates 2008. aastast, peavad võrguoperaatorid (väga lai mõiste, mis hõlmab kõiki ühendatud arvuteid või süsteeme, mis saadavad või töötlevad andmeid) klassifitseerima oma võrgud ja infosüsteemid erinevatesse kihtidesse ning rakendama asjakohaseid turvameetmeid. Skeem järjestab info- ja kommunikatsioonitehnoloogia (IKT) süsteemid tundlikkuse skaalal: 1 – kõige vähem tundlikud, 5 – kõige tundlikumad. Mida kõrgem on reiting, seda rangemale avaliku julgeoleku ministeeriumi (MPS) kontrollile süsteem allub. Kolmas tase on punkt, kus enesesertifitseerimine muutub riiklikuks kontrolliks. See tase saavutatakse siis, kui võrgu kahjustamine põhjustab "eriti tõsist kahju Hiina kodanike, juriidiliste isikute ja muude huvitatud organisatsioonide seaduslikele õigustele ja huvidele või tõsist kahju avalikule korrale ja avalikele huvidele või riigi julgeolekule."
Analüütikafirma NewAmerica et MLPS 2.0 kujutab endast "nihet suurema kontrolli poole". MLPS 2.0 alusel laienevad kontrollitavad võrgud sisuliselt kõikidele IT-süsteemidele.
Andmete lokaliseerimise nõuded
Uue krüptograafiaseaduse kohaselt ei tohi krüptosüsteemide arendamine, müük ja kasutamine kahjustada riigi julgeolekut ja avalikke huve. Lisaks on keelatud ka krüptosüsteemid, mida pole "kontrollitud ja autentitud". Üldiselt, kui teie ettevõte püüab valitsuse eest teavet varjata, saate ja saate karistada.
Veelgi enam, kui teie andmekeskus kasutab näiteks Hiina tarkvarateenust, võidakse arestida kõik selle teenuse salvestatud ja hallatavad andmed. See hõlmab ärisaladusi, finantsteavet ja palju muud. Samuti ei ole teil täielikku kontrolli nende üle, kui hoiate varasid riigis; valitsus võib need igal ajal ja minimaalse põhjendusega konfiskeerida.
Uutes õigusaktides sisalduvad andmete lokaliseerimise nõuded kahjustavad samuti pilveturvet. Eksperdid selgitavad, et andmete säilitamise koht on vähem oluline kui see, kus neid hoitakse. kui neid hoitakse. Seega aitab lokaliseerimine tundlikku teavet väga vähe kaitsta, luues samal ajal hõlpsasti sihitud andmesalvestuskohti, mida on lihtne häkkida.
Hiina pole kunagi olnud häbelik privaatsuse ja andmeturbe eiramise pärast. Need uued reeglid on lihtsalt riigis pikka aega tavaks olnud vormistamine. Kuid see ei tee ettevõtete jaoks lihtsamaks.
Probleemid välisfirmadele
Ameerika mõttekoda Center for Strategic and International Studies (CSIS) väidab, et Hiina on avaldanud uued küberturvalisusega seotud riiklikud standardid. Üks viimaseid muudatusi on MLPS-i värskendus.
Eriti problemaatilised on uued seadused andmekeskuste puhul, mis kuuluvad välismaistele ettevõtetele.
Tegelikult jääb neile kaks võimalust.
Esimene on lihtsalt lõpetada äritegevus Hiinas, sealhulgas partnerluste kaudu. Kui seda teed järgib piisavalt palju ettevõtteid, võib see teoreetiliselt avaldada Hiina valitsusele survet seaduse tühistamiseks.
Teine eesmärk on nõustuda väiksema privaatsuse ja turvalisusega Hiinas äritegevuse kuluna.
Võime öelda, et välismaistel ettevõtetel on Venemaal endiselt samad kaks võimalust.
Tahaks arvata, et ühiste jõupingutuste kaudu lähevad nad esimest teed. Kahjuks valitakse tegelikkuses pigem teine variant. Sest paljude jaoks on selline äritegemise hind vastuvõetav.
Allikas: www.habr.com