I slutet av förra Äret införde den kinesiska regeringen en ny cybersÀkerhetslag, det sÄ kallade Multi-Level Cybersecurity Scheme (). Lagen, som trÀdde i kraft i december, innebÀr i praktiken att regeringen har obegrÀnsad tillgÄng till all data inom landet, oavsett om den lagras pÄ kinesiska servrar eller överförs via kinesiska nÀtverk.
Detta innebÀr att det inte kommer att finnas nÄgra anonyma VPN:er (och mÄnga populÀra VPN:n Àgs av kinesiska företag). Inga privata eller krypterade meddelanden. Inga anonyma onlinekonton eller kÀnsliga uppgifter. All data kommer att vara tillgÀnglig och öppen för den kinesiska regeringen, inklusive data frÄn utlÀndska företag pÄ kinesiska servrar eller passerar genom Kina, advokatfirman Reed Smith. PÄ sÀtt och vis kan MLPS 2.0 och medföljande lagar jÀmföras med det ryska "Yarovaya Law Package".
Allt Àr exakt sÄ illa som det verkar, och det blir vÀrre. MLPS 2.0 stöds av ytterligare tvÄ delar av lagstiftningen, som bÄda eliminerar alla skydd, sÀkerhetsÄtgÀrder eller kryphÄl som en gÄng kan ha anvÀnts för att upprÀtthÄlla integriteten hos företagsdata. BÄda trÀdde i kraft tidigare denna mÄnad. CSOonline.
Den första Ă€r den nya lagen om utlĂ€ndska investeringar, som behandlar utlĂ€ndska investerare pĂ„ samma sĂ€tt som kinesiska investerare. Ăven om detta ansĂ„gs vara ett sĂ€tt att förenkla investeringsprocessen, berövar det i praktiken utlĂ€ndska investerare mĂ„nga av de rĂ€ttigheter de tidigare Ă„tnjutit.
Den andra faststÀller en ny uppsÀttning riktlinjer för kryptering. à terigen, vid första anblicken verkar de ha föreslagits med det allmÀnna bÀsta i Ätanke. Lagarna antogs av ministeriet för offentlig sÀkerhet formellt för att skydda nÀtverksinfrastruktur frÄn "skador" och externa hot. Det Àr först vid nÀrmare granskning som biverkningar börjar dyka upp.
Enligt nuvarande MLPS, som har funnits sedan 2008, mÄste nÀtverksoperatörer (en mycket bred term som tÀcker alla anslutna datorer eller system som skickar eller behandlar data) klassificera sina nÀtverk och informationssystem i olika lager och tillÀmpa lÀmpliga sÀkerhetsÄtgÀrder. Systemet rangordnar informations- och kommunikationstekniksystem (IKT) pÄ en kÀnslighetsskala: 1 - minst kÀnsligt, 5 - mest kÀnsligt. Ju högre betyg, desto strÀngare kontroll Àr systemet föremÄl för av ministeriet för offentlig sÀkerhet (MPS). Den tredje nivÄn Àr den punkt dÄ sjÀlvcertifiering förvandlas till statlig verifiering. Denna nivÄ nÄs nÀr skada pÄ nÀtverket kommer att resultera i "sÀrskilt allvarlig skada pÄ de legitima rÀttigheterna och intressena för kinesiska medborgare, juridiska personer och andra intresserade organisationer, eller orsaka allvarlig skada pÄ allmÀn ordning och allmÀnna intressen, eller skada nationell sÀkerhet."
Analysföretaget NewAmerica att MLPS 2.0 representerar ett "skifte mot mer verifiering." Under MLPS 2.0 utökas de nÀtverk som Àr föremÄl för inspektion till i princip alla IT-system.
Krav pÄ datalokalisering
Enligt den nya kryptografilagen fÄr utveckling, försÀljning och anvÀndning av kryptografiska system "inte vara skadligt för nationell sÀkerhet och allmÀnna intressen." Dessutom Àr kryptosystem som inte har "verifierats och autentiserades" ocksÄ förbjudna. I allmÀnhet, om ditt företag försöker dölja information frÄn regeringen, kan och kommer du att bli straffad.
Dessutom, om ditt datacenter anvÀnder till exempel en kinesisk mjukvarutjÀnst, kan all data som lagras och hanteras av denna tjÀnst komma att beslagtas. Detta inkluderar affÀrshemligheter, finansiell information med mera. PÄ samma sÀtt, om du behÄller nÄgra tillgÄngar inhemskt, har du inte fullstÀndig kontroll över dem; de kan konfiskeras av regeringen nÀr som helst och med minimal motivering.
Krav pĂ„ datalokalisering som ingĂ„r i den nya lagstiftningen skadar ocksĂ„ molnsĂ€kerheten i hög grad. Experter förklarar att var data lagras Ă€r mindre viktigt Ă€n var den lagras. ĐșĐ°Đș de lagras. Lokalisering gör alltsĂ„ vĂ€ldigt lite för att skydda kĂ€nslig information samtidigt som man skapar lĂ€ttriktade datalagringsplatser som Ă€r lĂ€tta att hacka.
Kina har aldrig varit blyg för att försumma integritet och datasÀkerhet. Dessa nya regler Àr helt enkelt en formalisering av vad som lÀnge varit normen inom landet. Men detta gör det inte lÀttare för företagen.
Problem för utlÀndska företag
Den amerikanska tankesmedjan Center for Strategic and International Studies (CSIS) hÀvdar att Kina har slÀppt nya nationella standarder relaterade till cybersÀkerhet. En av de senaste Àndringarna Àr MLPS-uppdateringen.
De nya lagarna Àr sÀrskilt problematiska för datacenter som Àgs av utlÀndska företag.
Faktum Àr att de har tvÄ alternativ.
Den första Àr att helt enkelt sluta göra affÀrer i Kina, inklusive genom partnerskap. I teorin, om tillrÀckligt mÄnga företag följer denna vÀg, kan det sÀtta press pÄ den kinesiska regeringen att upphÀva lagen.
Det andra Àr att acceptera minskad integritet och sÀkerhet som kostnaden för att göra affÀrer i Kina.
Vi kan sÀga att utlÀndska företag i Ryssland fortfarande har samma tvÄ alternativ.
Jag skulle vilja tro att de genom gemensamma anstrÀngningar kommer att gÄ den första vÀgen. TyvÀrr Àr det i verkligheten mer sannolikt att det andra alternativet kommer att vÀljas. För för mÄnga Àr detta pris för att göra affÀrer acceptabelt.
KĂ€lla: will.com
