Në fund të vitit të kaluar, qeveria kineze prezantoi një ligj të ri për sigurinë kibernetike, të ashtuquajturën Skema e Sigurisë Kibernetike me shumë nivele (). Ligji, i cili hyri në fuqi në dhjetor, do të thotë që qeveria ka akses të pakufizuar në të gjitha të dhënat brenda vendit, pavarësisht nëse ato ruhen në serverët kinezë apo transmetohen përmes rrjeteve kineze.
Kjo do të thotë që nuk do të ketë VPN anonime (dhe shumë VPN të njohura janë në pronësi të kompanive kineze). Asnjë mesazh privat ose i koduar. Nuk ka llogari anonime në internet ose të dhëna të ndjeshme. Çdo e dhënë do të jetë e aksesueshme dhe e hapur për qeverinë kineze, duke përfshirë të dhënat e kompanive të huaja në serverët kinezë ose që kalojnë nëpër Kinë, firma ligjore Reed Smith. Në një farë kuptimi, MLPS 2.0 dhe ligjet shoqëruese mund të krahasohen me "Paketën e Ligjit Yarovaya" ruse.
Gjithçka është aq e keqe sa duket, dhe po përkeqësohet. MLPS 2.0 mbështetet nga dy legjislacione shtesë, të cilat eliminojnë çdo mbrojtje, mbrojtje ose boshllëk që mund të ishte përdorur dikur për të ruajtur integritetin e të dhënave të korporatës. Të dyja hynë në fuqi në fillim të këtij muaji. CSO në linjë.
I pari është ligji i ri për Investimet e Huaja, i cili i trajton investitorët e huaj në të njëjtën mënyrë si investitorët kinezë. Ndonëse kjo u faturua si një mjet për të thjeshtuar procesin e investimit, në praktikë u privon investitorëve të huaj shumë nga të drejtat që ata gëzonin më parë.
E dyta vendos një grup të ri udhëzimesh në lidhje me enkriptimin. Përsëri, në shikim të parë duket se ato janë propozuar duke pasur parasysh të mirën e përbashkët. Ligjet u miratuan nga Ministria e Sigurisë Publike zyrtarisht për të mbrojtur infrastrukturën e rrjetit nga "dëmtimi" dhe kërcënimet e jashtme. Vetëm pas një kontrolli më të afërt fillojnë të shfaqen efektet anësore.
Sipas MLPS-së aktuale, e cila është në fuqi që nga viti 2008, operatorëve të rrjetit (një term shumë i gjerë që mbulon çdo kompjuter ose sistem të lidhur që dërgon ose përpunon të dhëna) kërkohet të klasifikojnë rrjetet dhe sistemet e tyre të informacionit në shtresa të ndryshme dhe të zbatojnë masat e duhura të sigurisë. Skema rendit sistemet e teknologjisë së informacionit dhe komunikimit (TIK) në një shkallë ndjeshmërie: 1 - më pak e ndjeshme, 5 - më e ndjeshme. Sa më i lartë të jetë vlerësimi, aq më i rreptë kontrollohet sistemi nga Ministria e Sigurisë Publike (MSHP). Niveli i tretë është pika në të cilën vetë-certifikimi kthehet në verifikim qeveritar. Ky nivel arrihet kur dëmtimi i rrjetit do të rezultojë në "dëm veçanërisht serioz të të drejtave dhe interesave legjitime të qytetarëve kinezë, subjekteve juridike dhe organizatave të tjera të interesuara, ose do të shkaktojë dëm serioz për rendin publik dhe interesat publike, ose do të dëmtojë sigurinë kombëtare".
Kompania analitike NewAmerica se MLPS 2.0 përfaqëson një "zhvendosje drejt më shumë verifikimit". Sipas MLPS 2.0, rrjetet që i nënshtrohen inspektimit janë zgjeruar në thelb në çdo sistem të TI-së.
Kërkesat për lokalizimin e të dhënave
Sipas ligjit të ri të kriptografisë, zhvillimi, shitja dhe përdorimi i sistemeve kriptografike "nuk duhet të jetë i dëmshëm për sigurinë kombëtare dhe interesat publike". Për më tepër, sistemet kriptografike që nuk janë "verifikuar dhe vërtetuar" janë gjithashtu të jashtëligjshme. Në përgjithësi, nëse biznesi juaj përpiqet të fshehë informacion nga qeveria, ju mund dhe do të ndëshkoheni.
Për më tepër, nëse qendra juaj e të dhënave përdor, për shembull, një shërbim softuerësh kinez, atëherë të gjitha të dhënat e ruajtura dhe të menaxhuara nga ky shërbim mund të konfiskohen. Kjo përfshin sekretet tregtare, informacionin financiar dhe më shumë. Po kështu, nëse mbani ndonjë pasuri brenda vendit, nuk keni kontroll të plotë mbi to; ato mund të konfiskohen nga qeveria në çdo kohë dhe me justifikim minimal.
Kërkesat për lokalizimin e të dhënave të përfshira në legjislacionin e ri gjithashtu dëmtojnë shumë sigurinë e cloud. Ekspertët shpjegojnë se vendi ku ruhen të dhënat është më pak i rëndësishëm se vendi ku ruhen. si ato ruhen. Kështu, lokalizimi bën shumë pak për të mbrojtur informacionin e ndjeshëm, ndërkohë që krijon vende të ruajtjes së të dhënave lehtësisht të synuara që janë të lehta për t'u hakuar.
Kina nuk ka qenë kurrë e trembur për neglizhimin e privatësisë dhe sigurisë së të dhënave. Këto rregulla të reja janë thjesht një zyrtarizim i asaj që prej kohësh ka qenë normë brenda vendit. Por kjo nuk e bën më të lehtë për kompanitë.
Probleme për kompanitë e huaja
Qendra amerikane e mendimit Qendra për Studime Strategjike dhe Ndërkombëtare (CSIS) pretendon se Kina ka lëshuar standardet e reja kombëtare në lidhje me sigurinë kibernetike. Një nga ndryshimet më të fundit është përditësimi i MLPS.
Ligjet e reja janë veçanërisht problematike për qendrat e të dhënave që janë në pronësi të kompanive të huaja.
Në fakt, atyre u mbeten dy mundësi.
E para është thjesht të ndaloni së bëri biznes në Kinë, duke përfshirë edhe partneritetet. Në teori, nëse mjaft kompani ndjekin këtë rrugë, mund të ushtrojë presion mbi qeverinë kineze për të shfuqizuar ligjin.
E dyta është pranimi i privatësisë dhe sigurisë së reduktuar si kosto e të bërit biznes në Kinë.
Mund të themi se kompanitë e huaja në Rusi kanë ende të njëjtat dy opsione.
Unë do të doja të mendoj se me përpjekje të përbashkëta ata do të ndjekin rrugën e parë. Fatkeqësisht, në realitet opsioni i dytë ka më shumë gjasa të zgjidhet. Sepse për shumë, ky çmim i të bërit biznes është i pranueshëm.
Burimi: www.habr.com