Viime vuoden lopulla Kiinan hallitus otti käyttöön uuden kyberturvallisuuslain, niin sanotun monitasoisen kyberturvallisuusjärjestelmän (Multi-Level Cybersecurity Scheme).). Joulukuussa voimaan tullut laki tarkoittaa käytännössä sitä, että hallituksella on rajoittamaton pääsy kaikkeen maassa olevaan dataan riippumatta siitä, onko ne tallennettu kiinalaisille palvelimille vai välitetäänkö niitä kiinalaisten verkkojen kautta.
Tämä tarkoittaa, että nimettömiä VPN-verkkoja ei tule olemaan (ja monet suositut VPN:t ovat kiinalaisten yritysten omistamia). Ei yksityisiä tai salattuja viestejä. Ei anonyymejä online-tilejä tai arkaluonteisia tietoja. Kaikki tiedot ovat Kiinan hallituksen saatavilla ja avoinna, mukaan lukien ulkomaisten yritysten tiedot Kiinan palvelimilla tai Kiinan kautta, asianajotoimisto Reed Smith. Eräässä mielessä MLPS 2.0 ja siihen liittyvät lait voidaan verrata venäläiseen "Yarovaya lakipakettiin".
Kaikki on juuri niin huonosti kuin miltä näyttää, ja se pahenee. MLPS 2.0:aa tukee kaksi muuta lainsäädäntöä, jotka kumpikin poistavat kaikki suojat, suojatoimenpiteet tai porsaanreiät, joita on saatettu käyttää yrityksen tietojen eheyden ylläpitämiseen. Molemmat tulivat voimaan aiemmin tässä kuussa. CSOnline.
Ensimmäinen on uusi ulkomaisia investointeja koskeva laki, joka kohtelee ulkomaisia sijoittajia samalla tavalla kuin kiinalaisia sijoittajia. Vaikka tätä laskutettiin keinona yksinkertaistaa sijoitusprosessia, käytännössä se riistää ulkomaisilta sijoittajilta monet oikeudet, joita heillä oli aiemmin.
Toisessa luodaan uudet ohjeet salaukselle. Jälleen ensi silmäyksellä ne näyttävät olevan ehdotettu yhteistä hyvää ajatellen. Yleisen turvallisuuden ministeriö hyväksyi lait virallisesti suojellakseen verkkoinfrastruktuuria "vahingoilta" ja ulkoisilta uhilta. Vasta lähemmin tarkasteltuna sivuvaikutukset alkavat ilmaantua.
Nykyisen MLPS:n mukaan, joka on ollut käytössä vuodesta 2008, verkko-operaattoreiden (erittäin laaja käsite, joka kattaa kaikki tietokoneeseen liitetyt tietokoneet tai järjestelmät, jotka lähettävät tai käsittelevät tietoja) on luokiteltava verkkonsa ja tietojärjestelmänsä eri kerroksiin ja sovellettava asianmukaisia turvatoimia. Järjestelmä luokittelee tieto- ja viestintätekniikan (ICT) järjestelmät herkkyysasteikolla: 1 - vähiten herkkä, 5 - herkin. Mitä korkeampi luokitus, sitä tiukempaa valvontaa järjestelmää valvoo yleisen turvallisuuden ministeriö (MPS). Kolmas taso on piste, jossa itsesertifiointi muuttuu viranomaistodistukseksi. Tämä taso saavutetaan, kun verkon vahingoittuminen johtaa "erityisen vakavaan vahinkoon Kiinan kansalaisten, oikeushenkilöiden ja muiden kiinnostuneiden organisaatioiden laillisille oikeuksille ja eduille tai aiheuttaa vakavaa haittaa yleiselle järjestykselle ja yleisille eduille tai vahingoittaa kansallista turvallisuutta".
Analyysiyritys NewAmerica että MLPS 2.0 edustaa "siirtymää kohti lisää varmennusta". MLPS 2.0:ssa tarkastuksen alaiset verkot laajennetaan käytännössä kaikkiin IT-järjestelmiin.
Tietojen lokalisointivaatimukset
Uuden salauslain mukaan salausjärjestelmien kehittäminen, myynti ja käyttö "ei saa olla haitallista kansalliselle turvallisuudelle ja yleisille eduille". Lisäksi salausjärjestelmät, joita ei ole "varmennettu ja todennettu", ovat myös kiellettyjä. Yleisesti ottaen, jos yrityksesi yrittää salata tietoja hallitukselta, voit ja saat rangaistuksen.
Lisäksi, jos palvelinkeskuksesi käyttää esimerkiksi kiinalaista ohjelmistopalvelua, kaikki tämän palvelun tallentamat ja hallinnoimat tiedot voidaan takavarikoida. Tämä sisältää liikesalaisuuksia, taloudellisia tietoja ja paljon muuta. Vastaavasti, jos sinulla on omaisuutta kotimaassa, sinulla ei ole täydellistä hallintaa niihin; Hallitus voi takavarikoida ne milloin tahansa ja vähäisin perustein.
Myös uuteen lainsäädäntöön sisältyvät tietojen lokalisointivaatimukset haittaavat suuresti pilviturvallisuutta. Asiantuntijat selittävät, että tietojen säilytyspaikka on vähemmän tärkeä kuin sen tallennuspaikka. как ne tallennetaan. Siten lokalisointi suojaa hyvin vähän arkaluontoisia tietoja samalla, kun luodaan helposti kohdistettavia tietojen tallennuspaikkoja, jotka on helppo hakkeroida.
Kiina ei ole koskaan ujostunut laiminlyömään yksityisyyttä ja tietoturvaa. Nämä uudet säännöt ovat yksinkertaisesti virallistamista sille, mikä on pitkään ollut normaalia maassa. Mutta tämä ei helpota yritysten toimintaa.
Ongelmia ulkomaisille yrityksille
Amerikkalainen ajatushautomo Center for Strategic and International Studies (CSIS) väittää, että Kiina on julkaissut uudet kansalliset kyberturvallisuuteen liittyvät standardit. Yksi viimeisimmistä muutoksista on MLPS-päivitys.
Uudet lait ovat erityisen ongelmallisia ulkomaisten yritysten omistamille konesaleille.
Itse asiassa heillä on kaksi vaihtoehtoa.
Ensimmäinen on yksinkertaisesti lopettaa liiketoiminta Kiinassa, myös kumppanuuksien kautta. Teoriassa, jos tarpeeksi yrityksiä seuraa tätä polkua, se voi painostaa Kiinan hallitusta kumoamaan lain.
Toinen on hyväksyä yksityisyyden ja turvallisuuden heikkeneminen Kiinan liiketoiminnan kustannuksella.
Voimme sanoa, että ulkomaisilla yrityksillä Venäjällä on edelleen samat kaksi vaihtoehtoa.
Haluaisin ajatella, että yhteisillä ponnisteluilla he seuraavat ensimmäistä polkua. Valitettavasti todellisuudessa toinen vaihtoehto valitaan todennäköisemmin. Koska monille tämä liiketoiminnan hinta on hyväksyttävä.
Lähde: will.com