Praėjusių metų pabaigoje Kinijos vyriausybė pristatė naują kibernetinio saugumo įstatymą, vadinamąją kelių lygių kibernetinio saugumo schemą.). Įstatymas, įsigaliojęs gruodį, iš esmės reiškia, kad vyriausybė turi neribotą prieigą prie visų duomenų šalyje, nepaisant to, ar jie saugomi Kinijos serveriuose, ar perduodami Kinijos tinklais.
Tai reiškia, kad nebus anoniminių VPN (ir daugelis populiarių VPN priklauso Kinijos įmonėms). Jokių privačių ar šifruotų pranešimų. Jokių anoniminių internetinių paskyrų ar neskelbtinų duomenų. Visi duomenys bus prieinami ir atviri Kinijos vyriausybei, įskaitant užsienio įmonių duomenis Kinijos serveriuose arba per Kiniją, advokatų kontora Reed Smith. Tam tikra prasme MLPS 2.0 ir jį lydintys įstatymai gali būti lyginami su Rusijos „Yarovaya įstatymo paketu“.
Viskas yra taip blogai, kaip atrodo, ir vis blogėja. MLPS 2.0 palaiko du papildomi teisės aktai, kurie abu pašalina bet kokias apsaugos priemones, apsaugos priemones ar spragas, kurios kažkada galėjo būti naudojamos siekiant išlaikyti įmonės duomenų vientisumą. Abu įsigaliojo anksčiau šį mėnesį. CSOnline.
Pirmasis – naujasis Užsienio investicijų įstatymas, kuriame užsienio investuotojai traktuojami taip pat, kaip ir Kinijos investuotojai. Nors tai buvo nurodyta kaip priemonė supaprastinti investavimo procesą, praktiškai tai atima iš užsienio investuotojų daug anksčiau turėtų teisių.
Antrasis nustato naujas šifravimo gaires. Vėlgi, iš pirmo žvilgsnio atrodo, kad jie buvo pasiūlyti turint omenyje bendrą gėrį. Įstatymus Viešojo saugumo ministerija priėmė formaliai, siekdama apsaugoti tinklo infrastruktūrą nuo „žalos“ ir išorinių grėsmių. Tik atidžiau pažiūrėjus, atsiranda šalutinis poveikis.
Pagal dabartinį MLPS, kuris galioja nuo 2008 m., tinklo operatoriai (labai plati sąvoka, apimanti visus prijungtus kompiuterius ar sistemas, siunčiančius ar apdorojančius duomenis) privalo klasifikuoti savo tinklus ir informacines sistemas į skirtingus sluoksnius ir taikyti atitinkamas saugumo priemones. Schemoje informacinių ir ryšių technologijų (IRT) sistemos reitinguojamos pagal jautrumo skalę: 1 – mažiausiai jautrios, 5 – jautriausios. Kuo aukštesnis įvertinimas, tuo griežtesnė sistema yra kontroliuojama Viešojo saugumo ministerijos (VPT). Trečiasis lygis yra taškas, kai savęs sertifikavimas virsta vyriausybės patvirtinimu. Šis lygis pasiekiamas tada, kai žala tinklui padarys „ypač rimtą žalą Kinijos piliečių, juridinių asmenų ir kitų suinteresuotų organizacijų teisėtoms teisėms ir interesams arba padarys didelę žalą viešajai tvarkai ir viešiesiems interesams arba pakenks nacionaliniam saugumui“.
Analitikos įmonė „NewAmerica“. kad MLPS 2.0 reiškia „perėjimą link didesnio patikrinimo“. Pagal MLPS 2.0 tikrinami tinklai išplečiami iš esmės į visas IT sistemas.
Duomenų lokalizavimo reikalavimai
Pagal naująjį kriptografijos įstatymą kriptografinių sistemų kūrimas, pardavimas ir naudojimas „neturi pakenkti nacionaliniam saugumui ir viešiesiems interesams“. Be to, kriptografinės sistemos, kurios nebuvo „patikrintos ir autentifikuotos“, taip pat yra uždraustos. Apskritai, jei jūsų verslas bando nuslėpti informaciją nuo valdžios, galite ir būsite nubausti.
Be to, jei jūsų duomenų centras naudoja, pavyzdžiui, Kinijos programinės įrangos paslaugą, visi šios paslaugos saugomi ir tvarkomi duomenys gali būti konfiskuoti. Tai apima komercines paslaptis, finansinę informaciją ir kt. Panašiai, jei laikote kokį nors turtą šalyje, visiškai jo nekontroliuojate; Vyriausybė juos gali konfiskuoti bet kuriuo metu ir minimaliai pagrįstai.
Į naujus teisės aktus įtraukti duomenų lokalizavimo reikalavimai taip pat labai kenkia debesų saugai. Ekspertai aiškina, kad duomenų saugojimo vieta yra mažiau svarbi nei vieta, kur jie saugomi. kaip jie saugomi. Taigi lokalizavimas labai mažai apsaugo jautrią informaciją ir sukuria lengvai tikslinamas duomenų saugojimo vietas, kurias lengva nulaužti.
Kinija niekada nesidrovėdavo nepaisyti privatumo ir duomenų saugumo. Šios naujos taisyklės yra tiesiog įforminimas to, kas jau seniai buvo įprasta šalyje. Tačiau tai nepalengvina įmonių darbo.
Problemos užsienio įmonėms
Amerikos ekspertų grupė Strateginių ir tarptautinių studijų centras (CSIS) teigia, kad Kinija paskelbė naujų nacionalinių standartų, susijusių su kibernetiniu saugumu. Vienas iš naujausių pakeitimų yra MLPS atnaujinimas.
Naujieji įstatymai ypač problemiški duomenų centrams, kurie priklauso užsienio įmonėms.
Tiesą sakant, jiems paliekamos dvi galimybės.
Pirmasis yra tiesiog nustoti vykdyti verslą Kinijoje, įskaitant partnerystę. Teoriškai, jei pakankamai įmonių eis šiuo keliu, tai gali padaryti spaudimą Kinijos vyriausybei panaikinti įstatymą.
Antrasis – pripažinti sumažintą privatumą ir saugumą kaip verslo Kinijoje kainą.
Galime pasakyti, kad užsienio įmonės Rusijoje vis dar turi tas pačias dvi galimybes.
Norėčiau manyti, kad bendromis pastangomis jie eis pirmuoju keliu. Deja, realiai labiau tikėtina, kad pasirenkamas antrasis variantas. Nes daugeliui tokia verslo kaina yra priimtina.
Šaltinis: www.habr.com
