Akhir tahun lalu, pemerintah Tiongkok memperkenalkan undang-undang keamanan siber baru, yang disebut Skema Keamanan Siber Multi-Level (). Undang-undang tersebut, yang mulai berlaku pada bulan Desember, secara efektif berarti pemerintah memiliki akses tak terbatas terhadap semua data di dalam negeri, terlepas dari apakah data tersebut disimpan di server Tiongkok atau dikirimkan melalui jaringan Tiongkok.
Artinya, tidak akan ada VPN anonim (dan banyak VPN populer dimiliki oleh perusahaan Tiongkok). Tidak ada pesan pribadi atau terenkripsi. Tidak ada akun online anonim atau data sensitif. Data apa pun akan dapat diakses dan terbuka bagi pemerintah Tiongkok, termasuk data perusahaan asing di server Tiongkok atau melewati Tiongkok, firma hukum Reed Smith. Dalam arti tertentu, MLPS 2.0 dan undang-undang yang menyertainya dapat dibandingkan dengan “Paket Hukum Yarovaya” Rusia.
Semuanya seburuk kelihatannya, dan semakin buruk. MLPS 2.0 didukung oleh dua undang-undang tambahan, yang keduanya menghilangkan segala perlindungan, pengamanan, atau celah yang mungkin pernah digunakan untuk menjaga integritas data perusahaan. Keduanya mulai berlaku awal bulan ini. CSOnline.
Yang pertama adalah UU Penanaman Modal Asing yang baru, yang memperlakukan investor asing sama seperti investor Tiongkok. Meskipun hal ini dianggap sebagai cara untuk menyederhanakan proses investasi, dalam praktiknya hal ini menghilangkan banyak hak yang sebelumnya dinikmati investor asing.
Yang kedua menetapkan seperangkat pedoman baru mengenai enkripsi. Sekali lagi, sekilas usulan tersebut tampaknya diajukan dengan mempertimbangkan kepentingan bersama. Undang-undang tersebut disahkan oleh Kementerian Keamanan Publik secara resmi untuk melindungi infrastruktur jaringan dari “kerusakan” dan ancaman eksternal. Hanya setelah diperiksa lebih dekat barulah efek samping mulai terlihat.
Berdasarkan MLPS saat ini, yang telah berlaku sejak tahun 2008, operator jaringan (istilah yang sangat luas yang mencakup komputer atau sistem yang terhubung yang mengirim atau memproses data) diharuskan untuk mengklasifikasikan jaringan dan sistem informasi mereka ke dalam lapisan yang berbeda dan menerapkan langkah-langkah keamanan yang sesuai. Skema ini memberi peringkat pada sistem teknologi informasi dan komunikasi (TIK) berdasarkan skala sensitivitas: 1 - paling tidak sensitif, 5 - paling sensitif. Semakin tinggi peringkatnya, semakin ketat kontrol yang dilakukan Kementerian Keamanan Publik (MPS) terhadap sistem tersebut. Tingkat ketiga adalah titik di mana sertifikasi mandiri berubah menjadi verifikasi pemerintah. Tingkat ini dicapai ketika kerusakan pada jaringan akan mengakibatkan “kerusakan yang sangat serius terhadap hak dan kepentingan sah warga negara Tiongkok, badan hukum, dan organisasi lain yang berkepentingan, atau menyebabkan kerugian serius terhadap ketertiban umum dan kepentingan publik, atau membahayakan keamanan nasional.”
Perusahaan analitik NewAmerica bahwa MLPS 2.0 mewakili "pergeseran menuju lebih banyak verifikasi". Di bawah MLPS 2.0, jaringan yang harus diperiksa diperluas ke semua sistem TI.
Persyaratan lokalisasi data
Menurut undang-undang kriptografi yang baru, pengembangan, penjualan, dan penggunaan sistem kriptografi “tidak boleh merugikan keamanan nasional dan kepentingan publik.” Selain itu, sistem kriptografi yang belum “diverifikasi dan diautentikasi” juga dilarang. Secara umum, jika bisnis Anda mencoba menyembunyikan informasi dari pemerintah, Anda dapat dan akan dihukum.
Selain itu, jika pusat data Anda menggunakan, misalnya, layanan perangkat lunak Tiongkok, maka semua data yang disimpan dan dikelola oleh layanan ini dapat disita. Ini termasuk rahasia dagang, informasi keuangan dan banyak lagi. Demikian pula, jika Anda menyimpan aset apa pun di dalam negeri, Anda tidak memiliki kendali penuh atas aset tersebut; barang-barang tersebut dapat disita oleh pemerintah kapan saja dan dengan alasan yang minimal.
Persyaratan lokalisasi data yang termasuk dalam undang-undang baru juga sangat merugikan keamanan cloud. Para ahli menjelaskan bahwa tempat data disimpan kurang penting dibandingkan tempat penyimpanannya. sebagai mereka disimpan. Oleh karena itu, lokalisasi tidak banyak melindungi informasi sensitif sekaligus menciptakan lokasi penyimpanan data yang mudah ditargetkan dan mudah diretas.
Tiongkok tidak pernah segan-segan mengabaikan privasi dan keamanan data. Aturan-aturan baru ini hanyalah formalisasi dari apa yang telah lama menjadi norma di negara ini. Namun hal ini tidak membuat segalanya menjadi lebih mudah bagi perusahaan.
Masalah bagi perusahaan asing
Lembaga pemikir Amerika, Center for Strategic and International Studies (CSIS) mengklaim bahwa Tiongkok telah melepaskannya standar nasional baru terkait keamanan siber. Salah satu perubahan terbaru adalah update MLPS.
Undang-undang baru ini khususnya menimbulkan masalah bagi pusat data yang dimiliki oleh perusahaan asing.
Faktanya, mereka hanya punya dua pilihan.
Yang pertama adalah berhenti melakukan bisnis di Tiongkok, termasuk melalui kemitraan. Secara teori, jika cukup banyak perusahaan yang mengikuti jalur ini, hal ini dapat memberikan tekanan pada pemerintah Tiongkok untuk mencabut undang-undang tersebut.
Kedua, menerima berkurangnya privasi dan keamanan sebagai konsekuensi dalam berbisnis di Tiongkok.
Dapat dikatakan bahwa perusahaan asing di Rusia masih memiliki dua pilihan yang sama.
Saya ingin berpikir bahwa melalui upaya bersama mereka akan mengikuti jalur pertama. Sayangnya, pada kenyataannya opsi kedua lebih berpeluang dipilih. Karena bagi banyak orang, harga berbisnis ini dapat diterima.
Sumber: www.habr.com