Sent i fjor introduserte den kinesiske regjeringen en ny cybersikkerhetslov, den såkalte Multi-Level Cybersecurity Scheme (). Loven, som trådte i kraft i desember, betyr i praksis at regjeringen har ubegrenset tilgang til all data i landet, uavhengig av om den er lagret på kinesiske servere eller overført gjennom kinesiske nettverk.
Dette betyr at det ikke vil være noen anonyme VPN-er (og mange populære VPN-er eies av kinesiske selskaper). Ingen private eller krypterte meldinger. Ingen anonyme nettkontoer eller sensitive data. Alle data vil være tilgjengelige og åpne for den kinesiske regjeringen, inkludert data fra utenlandske selskaper på kinesiske servere eller som passerer gjennom Kina, advokatfirmaet Reed Smith. På en måte kan MLPS 2.0 og tilhørende lover sammenlignes med den russiske "Yarovaya Law Package".
Alt er akkurat så ille som det ser ut til, og det blir verre. MLPS 2.0 støttes av ytterligere to deler av lovgivningen, som begge eliminerer enhver beskyttelse, sikkerhetstiltak eller smutthull som en gang kunne ha blitt brukt for å opprettholde integriteten til bedriftsdata. Begge trådte i kraft tidligere denne måneden. CSOonline.
Den første er den nye utenlandske investeringsloven, som behandler utenlandske investorer på samme måte som kinesiske investorer. Selv om dette ble fakturert som et middel for å forenkle investeringsprosessen, fratar det i praksis utenlandske investorer mange av rettighetene de tidligere hadde.
Den andre etablerer et nytt sett med retningslinjer angående kryptering. Igjen, ved første øyekast ser de ut til å ha blitt foreslått med tanke på felles beste. Lovene ble vedtatt av departementet for offentlig sikkerhet formelt for å beskytte nettverksinfrastruktur mot "skade" og eksterne trusler. Det er først ved nærmere ettersyn at bivirkninger begynner å dukke opp.
Under gjeldende MLPS, som har vært på plass siden 2008, er nettverksoperatører (et veldig bredt begrep som dekker alle tilkoblede datamaskiner eller systemer som sender eller behandler data) pålagt å klassifisere nettverkene og informasjonssystemene sine i forskjellige lag og anvende passende sikkerhetstiltak. Ordningen rangerer informasjons- og kommunikasjonsteknologi (IKT) systemer på en sensitivitetsskala: 1 - minst sensitive, 5 - mest sensitive. Jo høyere vurdering, desto strengere kontroll er systemet underlagt av departementet for offentlig sikkerhet (MPS). Det tredje nivået er punktet der selvsertifisering blir til myndighetsverifisering. Dette nivået nås når skade på nettverket vil resultere i "spesielt alvorlig skade på de legitime rettighetene og interessene til kinesiske borgere, juridiske enheter og andre interesserte organisasjoner, eller forårsake alvorlig skade på offentlig orden og offentlige interesser, eller skade nasjonal sikkerhet."
Analyseselskapet NewAmerica at MLPS 2.0 representerer et "skifte mot mer verifisering." Under MLPS 2.0 utvides nettverkene som er underlagt inspeksjon til i det vesentlige alle IT-systemer.
Krav til datalokalisering
I følge den nye kryptografiloven må utvikling, salg og bruk av kryptografiske systemer «ikke være skadelig for nasjonal sikkerhet og offentlige interesser». I tillegg er kryptografiske systemer som ikke er "verifisert og autentisert" også forbudt. Generelt, hvis bedriften din prøver å skjule informasjon fra myndighetene, kan og vil du bli straffet.
Dessuten, hvis datasenteret ditt bruker for eksempel en kinesisk programvaretjeneste, kan alle data som er lagret og administreres av denne tjenesten bli beslaglagt. Dette inkluderer forretningshemmeligheter, finansiell informasjon og mer. På samme måte, hvis du beholder noen eiendeler innenlands, har du ikke full kontroll over dem; de kan konfiskeres av myndighetene når som helst og med minimal begrunnelse.
Krav til datalokalisering inkludert i den nye lovgivningen skader også skysikkerheten i stor grad. Eksperter forklarer at hvor data lagres er mindre viktig enn hvor de lagres. som de er lagret. Dermed gjør lokalisering svært lite for å beskytte sensitiv informasjon samtidig som den skaper enkelt målrettede datalagringsplasseringer som er enkle å hacke.
Kina har aldri vært sjenert for å neglisjere personvern og datasikkerhet. Disse nye reglene er rett og slett en formalisering av det som lenge har vært normen i landet. Men dette gjør det ikke enklere for bedrifter.
Problemer for utenlandske selskaper
Den amerikanske tenketanken Center for Strategic and International Studies (CSIS) hevder at Kina har sluppet nye nasjonale standarder knyttet til cybersikkerhet. En av de siste endringene er MLPS-oppdateringen.
De nye lovene er spesielt problematiske for datasentre som eies av utenlandske selskaper.
Faktisk står de igjen med to alternativer.
Den første er å slutte å gjøre forretninger i Kina, inkludert gjennom partnerskap. I teorien, hvis nok selskaper følger denne veien, kan det legge press på den kinesiske regjeringen for å oppheve loven.
Den andre er å akseptere redusert personvern og sikkerhet som kostnaden ved å gjøre forretninger i Kina.
Vi kan si at utenlandske selskaper i Russland fortsatt har de samme to alternativene.
Jeg vil tro at de gjennom felles innsats vil følge den første veien. Dessverre er det i realiteten mer sannsynlig at det andre alternativet blir valgt. For for mange er denne prisen på å gjøre forretninger akseptabel.
Kilde: www.habr.com