Eind vorig jaar introduceerde de Chinese overheid een nieuwe cyberbeveiligingswet, het zogenaamde Multi-Level Cybersecurity Scheme (
Dit betekent dat er geen anonieme VPN’s zullen zijn (en veel populaire VPN’s zijn eigendom van Chinese bedrijven). Geen privé of gecodeerde berichten. Geen anonieme online accounts of gevoelige gegevens. Alle gegevens zullen toegankelijk en open zijn voor de Chinese overheid, inclusief gegevens van buitenlandse bedrijven op Chinese servers of die via China gaan.
Alles is precies zo erg als het lijkt, en het wordt steeds erger. MLPS 2.0 wordt ondersteund door twee aanvullende wetten, die beide alle beschermingen, waarborgen of mazen in de wet elimineren die ooit gebruikt zouden kunnen worden om de integriteit van bedrijfsgegevens te behouden. Beide zijn eerder deze maand van kracht geworden.
De eerste is de nieuwe wet op buitenlandse investeringen, die buitenlandse investeerders op dezelfde manier behandelt als Chinese investeerders. Hoewel dit werd voorgesteld als een middel om het investeringsproces te vereenvoudigen, ontneemt het in de praktijk buitenlandse investeerders veel van de rechten die ze voorheen genoten.
De tweede bevat een nieuwe reeks richtlijnen met betrekking tot encryptie. Ook hier lijken ze op het eerste gezicht te zijn voorgesteld met het algemeen belang in gedachten. De wetten zijn formeel aangenomen door het Ministerie van Openbare Veiligheid om de netwerkinfrastructuur te beschermen tegen “schade” en externe bedreigingen. Pas bij nadere inspectie beginnen bijwerkingen te verschijnen.
Onder de huidige MLPS, die sinds 2008 van kracht is, zijn netwerkexploitanten (een zeer brede term die alle verbonden computers of systemen omvat die gegevens verzenden of verwerken) verplicht om hun netwerken en informatiesystemen in verschillende lagen in te delen en passende beveiligingsmaatregelen toe te passen. Het schema rangschikt systemen voor informatie- en communicatietechnologie (ICT) op een gevoeligheidsschaal: 1 - minst gevoelig, 5 - meest gevoelig. Hoe hoger de beoordeling, hoe strenger de controle op het systeem wordt uitgeoefend door het Ministerie van Openbare Veiligheid (MPS). Het derde niveau is het punt waarop zelfcertificering verandert in overheidsverificatie. Dit niveau wordt bereikt wanneer schade aan het netwerk zal resulteren in “bijzonder ernstige schade aan de legitieme rechten en belangen van Chinese burgers, rechtspersonen en andere geïnteresseerde organisaties, of ernstige schade zal toebrengen aan de openbare orde en publieke belangen, of de nationale veiligheid zal schaden.”
Analysebedrijf NewAmerica
Vereisten voor gegevenslokalisatie
Volgens de nieuwe cryptografiewet mag de ontwikkeling, verkoop en gebruik van cryptografische systemen “niet schadelijk zijn voor de nationale veiligheid en publieke belangen.” Bovendien zijn cryptografische systemen die niet ‘geverifieerd en geauthenticeerd’ zijn ook verboden. Over het algemeen kunt en zult u worden gestraft als uw bedrijf informatie voor de overheid probeert te verbergen.
Als uw datacenter bijvoorbeeld gebruik maakt van een Chinese softwaredienst, kan er bovendien beslag worden gelegd op alle gegevens die door deze dienst worden opgeslagen en beheerd. Dit omvat bedrijfsgeheimen, financiële informatie en meer. Ook als u bezittingen in het binnenland bewaart, heeft u daar geen volledige controle over; ze kunnen op elk moment en met minimale rechtvaardiging door de overheid worden geconfisqueerd.
De vereisten voor datalokalisatie die in de nieuwe wetgeving zijn opgenomen, brengen ook grote schade toe aan de cloudbeveiliging. Deskundigen leggen uit dat waar gegevens worden opgeslagen minder belangrijk is dan waar ze worden opgeslagen. hoe ze worden opgeslagen. Lokalisatie doet dus heel weinig om gevoelige informatie te beschermen en creëert tegelijkertijd gemakkelijk gerichte gegevensopslaglocaties die gemakkelijk te hacken zijn.
China is nooit verlegen geweest om privacy en gegevensbeveiliging te verwaarlozen. Deze nieuwe regels zijn eenvoudigweg een formalisering van wat lange tijd de norm is geweest in het land. Maar dit maakt het er voor bedrijven niet makkelijker op.
Problemen voor buitenlandse bedrijven
De Amerikaanse denktank Center for Strategic and International Studies (CSIS) beweert dat China dit heeft vrijgegeven
De nieuwe wetten zijn vooral problematisch voor datacenters die eigendom zijn van buitenlandse bedrijven.
In feite hebben ze twee opties.
De eerste is om eenvoudigweg te stoppen met zakendoen in China, ook via partnerschappen. Als genoeg bedrijven dit pad volgen, zou dit in theorie druk kunnen uitoefenen op de Chinese regering om de wet in te trekken.
De tweede is het accepteren van verminderde privacy en veiligheid als de kosten van zakendoen in China.
We kunnen zeggen dat buitenlandse bedrijven in Rusland nog steeds dezelfde twee opties hebben.
Ik zou graag willen denken dat zij door gezamenlijke inspanningen het eerste pad zullen volgen. Helaas zal in werkelijkheid eerder voor de tweede optie worden gekozen. Omdat voor velen deze prijs van zakendoen acceptabel is.
Bron: www.habr.com