La sfârșitul anului trecut, guvernul chinez a introdus o nouă lege privind securitatea cibernetică, așa-numita Schemă de securitate cibernetică pe mai multe niveluri (). Legea, care a intrat în vigoare în decembrie, înseamnă efectiv că guvernul are acces nelimitat la toate datele din țară, indiferent dacă acestea sunt stocate pe servere chineze sau transmise prin rețele chineze.
Aceasta înseamnă că nu vor exista VPN-uri anonime (și multe VPN-uri populare sunt deținute de companii chineze). Fără mesaje private sau criptate. Fără conturi online anonime sau date sensibile. Orice date vor fi accesibile și deschise guvernului chinez, inclusiv datele companiilor străine de pe servere chineze sau care trec prin China, firma de avocatura Reed Smith. Într-un fel, MLPS 2.0 și legile aferente pot fi comparate cu „Pachetul de legi Yarovaya” rusesc.
Totul este exact la fel de rău pe cât pare și se înrăutățește. MLPS 2.0 este susținut de două acte legislative suplimentare, ambele eliminând orice protecții, garanții sau lacune care ar fi putut fi folosite cândva pentru a menține integritatea datelor corporative. Ambele au intrat în vigoare la începutul acestei luni. CSOnline.
Prima este noua lege a investițiilor străine, care tratează investitorii străini în același mod ca și investitorii chinezi. Deși acest lucru a fost prezentat ca un mijloc de simplificare a procesului de investiții, în practică îi privează pe investitorii străini de multe dintre drepturile de care se bucurau anterior.
Al doilea stabilește un nou set de linii directoare privind criptarea. Din nou, la prima vedere, acestea par să fi fost propuse având în vedere binele comun. Legile au fost adoptate oficial de Ministerul Securității Publice pentru a proteja infrastructura rețelei de „daune” și amenințări externe. Numai după o inspecție mai atentă încep să apară efectele secundare.
Conform actualului MLPS, care este în vigoare din 2008, operatorii de rețea (un termen foarte larg care acoperă orice computere conectate sau sisteme care trimit sau procesează date) sunt obligați să-și clasifice rețelele și sistemele de informații în diferite straturi și să aplice măsuri de securitate adecvate. Schema clasifică sistemele de tehnologia informației și comunicațiilor (TIC) pe o scară de sensibilitate: 1 - cel mai puțin sensibil, 5 - cel mai sensibil. Cu cât ratingul este mai mare, cu atât este mai strict controlul la care este supus sistemul de către Ministerul Securității Publice (MPS). Al treilea nivel este punctul în care auto-certificarea se transformă în verificare guvernamentală. Acest nivel este atins atunci când daunele aduse rețelei vor duce la „vătămări deosebit de grave ale drepturilor și intereselor legitime ale cetățenilor chinezi, ale persoanelor juridice și ale altor organizații interesate, sau vor cauza prejudicii serioase ordinii publice și intereselor publice sau vor afecta securitatea națională”.
Compania de analiză NewAmerica că MLPS 2.0 reprezintă o „trecere către mai multă verificare”. În conformitate cu MLPS 2.0, rețelele supuse inspecției sunt extinse în mod esențial la toate sistemele IT.
Cerințe de localizare a datelor
Conform noii legi privind criptografia, dezvoltarea, vânzarea și utilizarea sistemelor criptografice „nu trebuie să dăuneze securității naționale și intereselor publice”. În plus, sistemele criptografice care nu au fost „verificate și autentificate” sunt, de asemenea, interzise. În general, dacă afacerea ta încearcă să ascundă informații de la guvern, poți și vei fi pedepsit.
În plus, dacă centrul dvs. de date utilizează, de exemplu, un serviciu software chinezesc, atunci toate datele stocate și gestionate de acest serviciu pot fi confiscate. Acestea includ secrete comerciale, informații financiare și multe altele. De asemenea, dacă păstrați bunuri pe plan intern, nu aveți control complet asupra acestora; pot fi confiscate de guvern oricând și cu o justificare minimă.
Cerințele de localizare a datelor incluse în noua legislație dăunează, de asemenea, în mare măsură securității în cloud. Experții explică că locul în care sunt stocate datele este mai puțin important decât locul în care sunt stocate. ca sunt depozitate. Astfel, localizarea face foarte puțin pentru a proteja informațiile sensibile, creând în același timp locații de stocare a datelor ușor de direcționat, care sunt ușor de piratat.
China nu a fost niciodată sfioasă să neglijeze confidențialitatea și securitatea datelor. Aceste noi reguli sunt pur și simplu o formalizare a ceea ce a fost de multă vreme norma în țară. Dar acest lucru nu face totul mai ușor pentru companii.
Probleme pentru companiile străine
Centrul de gândire american Center for Strategic and International Studies (CSIS) susține că China a eliberat noi standarde naționale legate de securitatea cibernetică. Una dintre cele mai recente modificări este actualizarea MLPS.
Noile legi sunt deosebit de problematice pentru centrele de date care sunt deținute de companii străine.
De fapt, au rămas cu două variante.
Primul este pur și simplu să nu mai faceți afaceri în China, inclusiv prin parteneriate. În teorie, dacă suficiente companii urmează această cale, ar putea face presiuni asupra guvernului chinez pentru a abroga legea.
Al doilea este de a accepta confidențialitatea și securitatea reduse ca costuri pentru a face afaceri în China.
Putem spune că companiile străine din Rusia au încă aceleași două opțiuni.
Aș vrea să cred că prin eforturi comune vor urma primul drum. Din păcate, în realitate, a doua opțiune este mai probabil să fie aleasă. Pentru că pentru mulți, acest preț de a face afaceri este acceptabil.
Sursa: www.habr.com