I slutet av förra året införde den kinesiska regeringen en ny cybersäkerhetslag, det så kallade Multi-Level Cybersecurity Scheme (). Lagen, som trädde i kraft i december, innebär i praktiken att regeringen har obegränsad tillgång till all data inom landet, oavsett om den lagras på kinesiska servrar eller överförs via kinesiska nätverk.
Detta innebär att det inte kommer att finnas några anonyma VPN:er (och många populära VPN:n ägs av kinesiska företag). Inga privata eller krypterade meddelanden. Inga anonyma onlinekonton eller känsliga uppgifter. All data kommer att vara tillgänglig och öppen för den kinesiska regeringen, inklusive data från utländska företag på kinesiska servrar eller passerar genom Kina, advokatfirman Reed Smith. På sätt och vis kan MLPS 2.0 och medföljande lagar jämföras med det ryska "Yarovaya Law Package".
Allt är exakt så illa som det verkar, och det blir värre. MLPS 2.0 stöds av ytterligare två lagar, som båda eliminerar alla skydd, säkerhetsåtgärder eller kryphål som en gång kan ha använts för att upprätthålla integriteten hos företagsdata. Båda trädde i kraft tidigare denna månad. CSOonline.
Den första är den nya lagen om utländska investeringar, som behandlar utländska investerare på samma sätt som kinesiska investerare. Även om detta ansågs vara ett sätt att förenkla investeringsprocessen, berövar det i praktiken utländska investerare många av de rättigheter de tidigare åtnjutit.
Den andra fastställer en ny uppsättning riktlinjer för kryptering. Återigen, vid första anblicken verkar de ha föreslagits med det allmänna bästa i åtanke. Lagarna antogs av ministeriet för offentlig säkerhet formellt för att skydda nätverksinfrastruktur från "skador" och externa hot. Det är först vid närmare granskning som biverkningar börjar dyka upp.
Enligt nuvarande MLPS, som har funnits sedan 2008, måste nätverksoperatörer (en mycket bred term som täcker alla anslutna datorer eller system som skickar eller behandlar data) klassificera sina nätverk och informationssystem i olika lager och tillämpa lämpliga säkerhetsåtgärder. Systemet rangordnar informations- och kommunikationstekniksystem (IKT) på en känslighetsskala: 1 - minst känsligt, 5 - mest känsligt. Ju högre betyg, desto strängare kontroll är systemet föremål för av ministeriet för offentlig säkerhet (MPS). Den tredje nivån är den punkt då självcertifiering förvandlas till statlig verifiering. Denna nivå uppnås när skada på nätverket kommer att resultera i "särskilt allvarlig skada på de legitima rättigheterna och intressena för kinesiska medborgare, juridiska personer och andra intresserade organisationer, eller orsaka allvarlig skada på allmän ordning och allmänna intressen, eller skada nationell säkerhet."
Analysföretaget NewAmerica att MLPS 2.0 representerar ett "skifte mot mer verifiering." Under MLPS 2.0 utökas de nätverk som är föremål för inspektion till i princip alla IT-system.
Krav på datalokalisering
Enligt den nya kryptografilagen får utveckling, försäljning och användning av kryptografiska system "inte vara skadligt för nationell säkerhet och allmänna intressen." Dessutom är kryptosystem som inte har "verifierats och autentiserades" också förbjudna. I allmänhet, om ditt företag försöker dölja information från regeringen, kan och kommer du att bli straffad.
Dessutom, om ditt datacenter använder till exempel en kinesisk mjukvarutjänst, kan all data som lagras och hanteras av denna tjänst komma att beslagtas. Detta inkluderar affärshemligheter, finansiell information med mera. På samma sätt, om du behåller några tillgångar inhemskt, har du inte fullständig kontroll över dem; de kan konfiskeras av regeringen när som helst och med minimal motivering.
Krav på datalokalisering som ingår i den nya lagstiftningen skadar också molnsäkerheten i hög grad. Experter förklarar att var data lagras är mindre viktigt än var den lagras. как de lagras. Sålunda gör lokalisering väldigt lite för att skydda känslig information samtidigt som man skapar lättriktade datalagringsplatser som är lätta att hacka.
Kina har aldrig varit blyg för att försumma integritet och datasäkerhet. Dessa nya regler är helt enkelt en formalisering av vad som länge varit normen inom landet. Men detta gör det inte lättare för företagen.
Problem för utländska företag
Den amerikanska tankesmedjan Center for Strategic and International Studies (CSIS) hävdar att Kina har släppt nya nationella standarder relaterade till cybersäkerhet. En av de senaste ändringarna är MLPS-uppdateringen.
De nya lagarna är särskilt problematiska för datacenter som ägs av utländska företag.
Faktum är att de har två alternativ.
Den första är att helt enkelt sluta göra affärer i Kina, inklusive genom partnerskap. I teorin, om tillräckligt många företag följer denna väg, kan det sätta press på den kinesiska regeringen att upphäva lagen.
Det andra är att acceptera minskad integritet och säkerhet som kostnaden för att göra affärer i Kina.
Vi kan säga att utländska företag i Ryssland fortfarande har samma två alternativ.
Jag skulle vilja tro att de genom gemensamma ansträngningar kommer att gå den första vägen. Tyvärr är det i verkligheten mer sannolikt att det andra alternativet kommer att väljas. För för många är detta pris för att göra affärer acceptabelt.
Källa: will.com