Eind vorig jaar introduceerde de Chinese overheid een nieuwe cyberbeveiligingswet, het zogenaamde Multi-Level Cybersecurity Scheme (). De wet, die in december van kracht werd, betekent feitelijk dat de overheid onbeperkte toegang heeft tot alle gegevens in het land, ongeacht of deze op Chinese servers zijn opgeslagen of via Chinese netwerken worden verzonden.
Dit betekent dat er geen anonieme VPN’s zullen zijn (en veel populaire VPN’s zijn eigendom van Chinese bedrijven). Geen privé of gecodeerde berichten. Geen anonieme online accounts of gevoelige gegevens. Alle gegevens zullen toegankelijk en open zijn voor de Chinese overheid, inclusief gegevens van buitenlandse bedrijven op Chinese servers of die via China gaan. advocatenkantoor Reed Smith. In zekere zin kunnen MLPS 2.0 en bijbehorende wetten worden vergeleken met het Russische “Yarovaya Law Package”.
Alles is precies zo erg als het lijkt, en het wordt steeds erger. MLPS 2.0 wordt ondersteund door twee aanvullende wetten, die beide alle beschermingen, waarborgen of mazen in de wet elimineren die ooit gebruikt zouden kunnen worden om de integriteit van bedrijfsgegevens te behouden. Beide zijn eerder deze maand van kracht geworden. COnline.
De eerste is de nieuwe wet op buitenlandse investeringen, die buitenlandse investeerders op dezelfde manier behandelt als Chinese investeerders. Hoewel dit werd voorgesteld als een middel om het investeringsproces te vereenvoudigen, ontneemt het in de praktijk buitenlandse investeerders veel van de rechten die ze voorheen genoten.
De tweede bevat een nieuwe reeks richtlijnen met betrekking tot encryptie. Ook hier lijken ze op het eerste gezicht te zijn voorgesteld met het algemeen belang in gedachten. De wetten zijn formeel aangenomen door het Ministerie van Openbare Veiligheid om de netwerkinfrastructuur te beschermen tegen “schade” en externe bedreigingen. Pas bij nadere inspectie beginnen bijwerkingen te verschijnen.
Onder de huidige MLPS, die sinds 2008 van kracht is, zijn netwerkexploitanten (een zeer brede term die alle verbonden computers of systemen omvat die gegevens verzenden of verwerken) verplicht om hun netwerken en informatiesystemen in verschillende lagen in te delen en passende beveiligingsmaatregelen toe te passen. Het schema rangschikt systemen voor informatie- en communicatietechnologie (ICT) op een gevoeligheidsschaal: 1 - minst gevoelig, 5 - meest gevoelig. Hoe hoger de beoordeling, hoe strenger de controle op het systeem wordt uitgeoefend door het Ministerie van Openbare Veiligheid (MPS). Het derde niveau is het punt waarop zelfcertificering verandert in overheidsverificatie. Dit niveau wordt bereikt wanneer schade aan het netwerk zal resulteren in “bijzonder ernstige schade aan de legitieme rechten en belangen van Chinese burgers, rechtspersonen en andere geïnteresseerde organisaties, of ernstige schade zal toebrengen aan de openbare orde en publieke belangen, of de nationale veiligheid zal schaden.”
Analysebedrijf NewAmerica dat MLPS 2.0 een ‘verschuiving naar meer verificatie’ vertegenwoordigt. Onder MLPS 2.0 worden de aan inspectie onderworpen netwerken uitgebreid tot vrijwel alle IT-systemen.
Vereisten voor gegevenslokalisatie
Volgens de nieuwe cryptografiewet mag de ontwikkeling, verkoop en gebruik van cryptografische systemen “niet schadelijk zijn voor de nationale veiligheid en publieke belangen.” Bovendien zijn cryptografische systemen die niet ‘geverifieerd en geauthenticeerd’ zijn ook verboden. Over het algemeen kunt en zult u worden gestraft als uw bedrijf informatie voor de overheid probeert te verbergen.
Als uw datacenter bijvoorbeeld gebruik maakt van een Chinese softwaredienst, kan er bovendien beslag worden gelegd op alle gegevens die door deze dienst worden opgeslagen en beheerd. Dit omvat bedrijfsgeheimen, financiële informatie en meer. Ook als u bezittingen in het binnenland bewaart, heeft u daar geen volledige controle over; ze kunnen op elk moment en met minimale rechtvaardiging door de overheid worden geconfisqueerd.
De vereisten voor datalokalisatie die in de nieuwe wetgeving zijn opgenomen, brengen ook grote schade toe aan de cloudbeveiliging. Deskundigen leggen uit dat waar gegevens worden opgeslagen minder belangrijk is dan waar ze worden opgeslagen. hoe ze worden opgeslagen. Lokalisatie doet dus heel weinig om gevoelige informatie te beschermen en creëert tegelijkertijd gemakkelijk gerichte gegevensopslaglocaties die gemakkelijk te hacken zijn.
China is nooit verlegen geweest om privacy en gegevensbeveiliging te verwaarlozen. Deze nieuwe regels zijn eenvoudigweg een formalisering van wat lange tijd de norm is geweest in het land. Maar dit maakt het er voor bedrijven niet makkelijker op.
Problemen voor buitenlandse bedrijven
De Amerikaanse denktank Center for Strategic and International Studies (CSIS) beweert dat China dit heeft vrijgegeven nieuwe nationale normen met betrekking tot cyberbeveiliging. Een van de laatste wijzigingen is de MLPS-update.
De nieuwe wetten zijn vooral problematisch voor datacenters die eigendom zijn van buitenlandse bedrijven.
In feite hebben ze twee opties.
De eerste is om eenvoudigweg te stoppen met zakendoen in China, ook via partnerschappen. Als genoeg bedrijven dit pad volgen, zou dit in theorie druk kunnen uitoefenen op de Chinese regering om de wet in te trekken.
De tweede is het accepteren van verminderde privacy en veiligheid als de kosten van zakendoen in China.
We kunnen zeggen dat buitenlandse bedrijven in Rusland nog steeds dezelfde twee opties hebben.
Ik zou graag willen denken dat zij door gezamenlijke inspanningen het eerste pad zullen volgen. Helaas zal in werkelijkheid eerder voor de tweede optie worden gekozen. Omdat voor velen deze prijs van zakendoen acceptabel is.
Bron: www.habr.com