Tavaly év végén a kínai kormány új kiberbiztonsági törvényt, az úgynevezett többszintű kiberbiztonsági rendszert (Multi-Level Cybersecurity Scheme) vezetett be.). A decemberben hatályba lépett törvény gyakorlatilag azt jelenti, hogy a kormány korlátlan hozzáféréssel rendelkezik az országon belül minden adathoz, függetlenül attól, hogy azokat kínai szervereken tárolják, vagy kínai hálózatokon továbbítják.
Ez azt jelenti, hogy nem lesznek névtelen VPN-ek (és sok népszerű VPN kínai vállalatok tulajdonában van). Nincsenek privát vagy titkosított üzenetek. Nincsenek névtelen online fiókok vagy érzékeny adatok. Bármilyen adat hozzáférhető és nyitva áll a kínai kormány számára, beleértve a kínai szervereken vagy Kínán áthaladó külföldi cégek adatait is, Reed Smith ügyvédi iroda. Bizonyos értelemben az MLPS 2.0 és a kapcsolódó törvények az orosz „Yarovaya Law Package”-hez hasonlíthatók.
Minden pontosan olyan rossz, mint amilyennek látszik, és egyre rosszabb. Az MLPS 2.0-t két további jogszabály támogatja, amelyek mindegyike megszüntet minden olyan védelmet, biztosítékot vagy joghézagot, amelyet egykor a vállalati adatok integritásának megőrzésére használtak. Mindkettő a hónap elején lépett hatályba. CSOnline.
Az első az új külföldi befektetési törvény, amely ugyanúgy kezeli a külföldi befektetőket, mint a kínai befektetőket. Noha ezt a befektetési folyamat egyszerűsítésének eszközeként számlázták, a gyakorlatban megfosztja a külföldi befektetőket a korábban megszerzett jogoktól.
A második új irányelveket hoz létre a titkosítással kapcsolatban. Első pillantásra ismét úgy tűnik, hogy a közjót szem előtt tartva javasolták őket. A törvényeket a Közbiztonsági Minisztérium formálisan azért fogadta el, hogy megvédje a hálózati infrastruktúrát a „károktól” és a külső fenyegetésektől. Csak alapos vizsgálat után kezdenek megjelenni a mellékhatások.
A jelenlegi, 2008 óta érvényben lévő MLPS értelmében a hálózatüzemeltetőknek (ez egy nagyon tág fogalom, amely magában foglal minden csatlakoztatott számítógépet vagy adatot küldő vagy feldolgozó rendszert) köteles hálózataikat és információs rendszereiket különböző rétegekbe sorolni, és megfelelő biztonsági intézkedéseket alkalmazni. A rendszer az információs és kommunikációs technológiai (IKT) rendszereket egy érzékenységi skálán rangsorolja: 1 - legkevésbé érzékeny, 5 - legérzékenyebb. Minél magasabb a besorolás, annál szigorúbb ellenőrzés alá esik a rendszer a Közbiztonsági Minisztérium (MPS) részéről. A harmadik szint az a pont, ahol az öntanúsítás kormányzati ellenőrzéssé válik. Ezt a szintet akkor éri el, ha a hálózat károsodása „különösen súlyosan sérti a kínai állampolgárok, jogi személyek és más érdekelt szervezetek törvényes jogait és érdekeit, vagy súlyosan sérti a közrendet és a közérdeket, vagy sérti a nemzetbiztonságot”.
NewAmerica analitikai cég hogy az MLPS 2.0 "eltolódást jelent a több ellenőrzés felé". Az MLPS 2.0 alatt az ellenőrzött hálózatok lényegében minden informatikai rendszerre kiterjednek.
Adathonosítási követelmények
Az új kriptográfiai törvény szerint a kriptográfiai rendszerek fejlesztése, értékesítése és használata „nem sértheti a nemzetbiztonságot és a közérdeket”. Ezenkívül a nem „ellenőrzött és hitelesített” kriptográfiai rendszerek szintén törvényen kívüliek. Általánosságban elmondható, hogy ha vállalkozása információkat próbál eltitkolni a kormány elől, büntetést kaphat és meg is fog kapni.
Ezenkívül, ha az Ön adatközpontja például kínai szoftverszolgáltatást használ, akkor az e szolgáltatás által tárolt és kezelt összes adatot lefoglalhatják. Ez magában foglalja az üzleti titkokat, a pénzügyi információkat és egyebeket. Hasonlóképpen, ha bármilyen vagyont belföldön tart, nincs teljes ellenőrzése felette; a kormány bármikor és minimális indoklással elkobozhatja őket.
Az új jogszabályban foglalt adathonosítási követelmények is nagyban sértik a felhőbiztonságot. A szakértők kifejtik, hogy az adatok tárolási helye kevésbé fontos, mint az, hogy hol tárolják azokat. mint tárolják. Így a lokalizáció nagyon keveset védi az érzékeny információkat, miközben könnyen megcélozható, könnyen feltörhető adattároló helyeket hoz létre.
Kína soha nem szégyellte a magánélet és az adatbiztonság elhanyagolását. Ezek az új szabályok egyszerűen csak formalizálják azt, ami régóta bevett szokás az országban. Ez azonban nem könnyíti meg a cégek dolgát.
Külföldi cégek problémái
A Center for Strategic and International Studies (CSIS) amerikai agytröszt azt állítja, hogy Kína nyilvánosságra hozta a kiberbiztonsággal kapcsolatos új nemzeti szabványok. Az egyik legújabb változás az MLPS frissítés.
Az új törvények különösen a külföldi cégek tulajdonában lévő adatközpontok esetében jelentenek problémát.
Valójában két lehetőségük maradt.
Az első az, hogy egyszerűen hagyjuk abba az üzleti tevékenységet Kínában, beleértve a partnerkapcsolatokat is. Elméletileg, ha elegendő vállalat követi ezt az utat, az nyomást gyakorolhat a kínai kormányra a törvény visszavonására.
A második az, hogy elfogadjuk a csökkentett adatvédelmet és biztonságot a Kínában folytatott üzleti tevékenység költségeként.
Elmondhatjuk, hogy Oroszországban a külföldi cégeknek továbbra is ugyanaz a két lehetőségük van.
Szeretném azt hinni, hogy közös erőfeszítésekkel követik az első utat. Sajnos a valóságban valószínűbb, hogy a második lehetőséget választják. Mert sokak számára elfogadható az üzletkötésnek ez az ára.
Forrás: will.com