Өткен жылдың соңында Қытай үкіметі «Көп деңгейлі киберқауіпсіздік шеңбері» деп аталатын жаңа киберқауіпсіздік заңын енгізді (). Желтоқсан айында күшіне енген заң үкіметтің Қытай серверлерінде сақталғанына немесе қытай желілері арқылы тасымалданғанына қарамастан, ел ішіндегі барлық деректерге шектеусіз қол жеткізе алатынын білдіреді.
Бұл анонимді VPN жоқ дегенді білдіреді (және көптеген танымал VPN-лер қытайлық компанияларға тиесілі). Жеке немесе шифрланған байланыстар жоқ. Анонимді онлайн тіркелгілер немесе құпия деректер жоқ. Кез келген деректер Қытай үкіметі үшін қолжетімді және ашық болады, соның ішінде қытайлық серверлердегі немесе Қытай арқылы өтетін шетелдік компаниялардың деректері. Рид Смит заң фирмасы. Қандай да бір жолмен MLPS 2.0 және оған ілеспе заңдарды Ресейдің «Яровая заңдар пакетімен» салыстыруға болады.
Жағдайы көрінгендей нашар және олар нашарлайды. MLPS 2.0 екі қосымша заңнамамен қолдау көрсетеді, олардың екеуі де бір кездері корпоративтік деректердің тұтастығын сақтау үшін пайдаланылуы мүмкін кез келген қорғауларды, қорғауларды немесе бос орындарды жояды. Екеуі де осы айдың басында күшіне енді. CSOnline.
Біріншісі – шетелдік инвесторларды қытайлық инвесторлармен бірдей қарастыратын «Шетелдік инвестициялар туралы» жаңа заң. Бұл инвестициялық процесті жеңілдету құралы ретінде жарияланғанымен, іс жүзінде шетелдік инвесторларды бұрын пайдаланған көптеген құқықтарынан айырады.
Екіншісі шифрлауға қатысты жаңа нұсқаулар жинағын белгілейді. Қайтадан, бір қарағанда, олар ортақ игілікті ескере отырып ұсынылған сияқты. Заңдарды желілік инфрақұрылымды «зақымдан» және сыртқы қауіптерден қорғау үшін Қоғамдық қауіпсіздік министрлігі ресми түрде қабылдады. Тек мұқият тексеруден кейін жанама әсерлер пайда бола бастайды.
2008 жылдан бері қолданылып келе жатқан қазіргі MLPS бойынша желілік операторлар (кез келген қосылған компьютерлерді немесе деректерді жіберетін немесе өңдейтін жүйелерді қамтитын өте кең термин) өздерінің желілері мен ақпараттық жүйелерін әртүрлі деңгейлерге жіктеуге және тиісті қауіпсіздік шараларын енгізуге міндетті. Схема ақпараттық-коммуникациялық технологиялар (АКТ) жүйелерін сезімталдық шкаласы бойынша бағалайды: 1 - ең аз сезімтал, 5 - ең сезімтал. Рейтинг неғұрлым жоғары болса, Қоғамдық қауіпсіздік министрлігінің (MPS) жүйені қадағалауы соғұрлым қатаң болады. 3-деңгей - өзін-өзі сертификаттау мемлекеттік инспекцияға ауысатын нүкте. Бұл деңгейге желінің зақымдануы «Қытай азаматтарының, заңды тұлғаларының және басқа да тиісті ұйымдардың заңды құқықтары мен мүдделеріне ерекше ауыр зиян келтіретін немесе қоғамдық тәртіп пен қоғамдық мүдделерге елеулі зиян келтіретін немесе ұлттық қауіпсіздікке нұқсан келтіретін» жағдайда жетеді.
NewAmerica аналитикалық компаниясы , бұл MLPS 2.0 "көбірек аудиттерге ауысуды" білдіреді. MLPS 2.0 астында аудитке жататын желілер кез келген және барлық АТ жүйелеріне кеңейтілген.
Деректерді локализациялау талаптары
Криптография туралы жаңа заңға сәйкес, криптографиялық жүйелерді әзірлеу, сату және пайдалану «ұлттық қауіпсіздік пен қоғамдық мүдделерге зиян тигізбеуі керек». Сонымен қатар, «тексерілмеген және түпнұсқалығы расталмаған» криптографиялық жүйелер де заңсыз болып табылады. Жалпы, егер сіздің бизнесіңіз үкіметтен ақпаратты жасыруға әрекет жасаса, сіз жаза аласыз және жазаланасыз.
Оның үстіне, деректер орталығыңыз, мысалы, қытайлық бағдарламалық құрал қызметін пайдаланса, сол қызметте сақталған және басқарылатын барлық деректер басып алынуы мүмкін. Бұған коммерциялық құпиялар, қаржылық ақпарат және т.б. кіреді. Сол сияқты, егер сіз қандай да бір активтерді ел ішінде сақтасаңыз, сізде оларға толық бақылау болмайды; оларды үкімет кез келген уақытта және ең аз негіздемемен тәркілей алады.
Жаңа заңнамаға енгізілген деректерді локализациялау талаптары да бұлттық қауіпсіздікке айтарлықтай қауіп төндіреді. Сарапшылар деректердің қай жерде сақталатыны маңызды емес екенін түсіндіреді. қалай Олар сақталады. Осылайша, локализация құпия ақпаратты қорғау үшін аз жұмыс істейді, сонымен бірге бұзуға осал болатын оңай мақсатты деректерді сақтау орындарын жасайды.
Қытай деректердің құпиялылығы мен қауіпсіздігін елемеуден ешқашан ұялған емес. Бұл жаңа ережелер ел ішінде бұрыннан қалыптасқан норманы жай ғана рәсімдейді. Бірақ бұл компаниялар үшін жағдайды жеңілдетпейді.
Шетелдік компаниялар үшін проблемалар
Американдық стратегиялық және халықаралық зерттеулер орталығы (CSIS) Қытай жариялады деп мәлімдеді киберқауіпсіздікке қатысты жаңа ұлттық стандарттар. Соңғы өзгерістердің бірі - MLPS жаңартуы.
Жаңа заңдар әсіресе шетелдік компанияларға тиесілі деректер орталықтары үшін қиын.
Іс жүзінде олардың алдында екі нұсқа қалды.
Біріншісі - Қытайдағы бизнесті, соның ішінде серіктестік арқылы жай ғана тоқтату. Теориялық тұрғыдан алғанда, компания жеткілікті түрде осы жолмен жүрсе, ол Қытай үкіметіне заңның күшін жою үшін қысым көрсетуі мүмкін.
Екіншісі - Қытайда бизнес жүргізудің бағасы ретінде төмендетілген құпиялылық пен қауіпсіздікті қабылдау.
Ресейдегі шетелдік компаниялардың екі нұсқасы бірдей деп айтуға болады.
Бірлескен күш-жігер арқылы олар бірінші жолды алады деп ойлаған дұрыс. Өкінішке орай, шын мәнінде, екінші нұсқа таңдалуы мүмкін. Өйткені бұл көптеген адамдар үшін бизнесті жүргізу үшін төлеуге болатын қолайлы баға.
Ақпарат көзі: www.habr.com
