Sa huling bahagi ng nakaraang taon, ipinakilala ng gobyerno ng China ang isang bagong batas sa cybersecurity, ang tinatawag na Multi-layered Cybersecurity Scheme (). Ang batas, na nagkabisa noong Disyembre, ay epektibong nangangahulugan na ang gobyerno ay may walang limitasyong pag-access sa lahat ng data sa loob ng bansa, hindi alintana kung ito ay naka-imbak sa mga server ng China o ipinadala sa pamamagitan ng mga network ng China.
Nangangahulugan ito na walang mga hindi kilalang VPN (at maraming sikat na VPN ang pag-aari ng mga kumpanyang Tsino). Walang pribado o naka-encrypt na komunikasyon. Walang anonymous na online na account o sensitibong data. Ang anumang data ay maa-access at bukas sa gobyerno ng China, kabilang ang data mula sa mga dayuhang kumpanya sa mga server ng China o dumadaan sa China. law firm na si Reed Smith. Sa ilang mga paraan, ang MLPS 2.0 at ang mga kasamang batas nito ay maihahambing sa "Yarovaya package of laws" ng Russia.
Ang mga bagay ay kasing sama ng tila, at sila ay lumalala. Ang MLPS 2.0 ay sinusuportahan ng dalawang karagdagang piraso ng batas, na parehong nag-aalis ng anumang mga proteksyon, pag-iingat, o butas na maaaring minsan ay ginamit upang mapanatili ang integridad ng data ng kumpanya. Parehong nagkabisa noong unang bahagi ng buwang ito. CSOnline.
Ang una ay ang bagong Foreign Investment Law, na tinatrato ang mga dayuhang mamumuhunan sa mga mamumuhunang Tsino. Bagama't inihayag ito bilang isang paraan ng pagpapasimple sa proseso ng pamumuhunan, sa pagsasagawa nito ay inaalis ang mga dayuhang mamumuhunan ng marami sa mga karapatan na dati nilang tinatamasa.
Ang pangalawa ay nagtatatag ng isang bagong hanay ng mga alituntunin tungkol sa pag-encrypt. Muli, sa unang tingin, lumilitaw na ang mga ito ay iminungkahi na nasa isip ang kabutihang panlahat. Ang mga batas ay pormal na ipinasa ng Ministri ng Pampublikong Seguridad upang protektahan ang imprastraktura ng network mula sa "pinsala" at panlabas na mga banta. Sa mas malapit na inspeksyon lamang nagsisimulang lumitaw ang mga side effect.
Sa ilalim ng kasalukuyang MLPS, na nasa lugar na mula noong 2008, ang mga network operator (isang napakalawak na termino na sumasaklaw sa anumang konektadong mga computer o system na nagpapadala o nagpoproseso ng data) ay kinakailangang uriin ang kanilang mga network at information system sa iba't ibang antas at magpatupad ng naaangkop na mga hakbang sa seguridad. Ang iskema ay nagraranggo ng mga sistema ng teknolohiya ng impormasyon at komunikasyon (ICT) sa isang sensitivity scale: 1 ang hindi gaanong sensitibo, 5 ang pinakasensitibo. Kung mas mataas ang rating, mas mahigpit ang pangangasiwa ng system ng Ministry of Public Security (MPS). Ang Level 3 ay ang punto kung saan ang self-certification ay nagiging inspeksyon ng gobyerno. Naabot ang antas na ito kapag ang pinsala sa network ay magdulot ng "partikular na malubhang pinsala sa mga lehitimong karapatan at interes ng mga mamamayang Tsino, legal na tao, at iba pang nauugnay na organisasyon, o seryosong makapinsala sa kaayusan ng publiko at pampublikong interes, o makapinsala sa pambansang seguridad."
NewAmerica, isang kumpanya ng analytics , na ang MLPS 2.0 ay kumakatawan sa isang "paglipat patungo sa higit pang mga pag-audit." Sa ilalim ng MLPS 2.0, ang mga network na napapailalim sa pag-audit ay pinalawak sa anumang at lahat ng IT system.
Mga kinakailangan sa lokalisasyon ng data
Ayon sa bagong batas sa cryptography, ang pagbuo, pagbebenta, at paggamit ng mga cryptographic system "ay hindi dapat makapinsala sa pambansang seguridad at pampublikong interes." Higit pa rito, ang mga cryptographic system na hindi pa "na-verify at napatotohanan" ay ipinagbabawal din. Sa pangkalahatan, kung sinubukan ng iyong negosyo na itago ang impormasyon mula sa gobyerno, maaari ka at mapaparusahan.
Higit pa rito, kung ang iyong data center ay gumagamit, halimbawa, ng isang Chinese software service, lahat ng data na nakaimbak at pinamamahalaan ng serbisyong iyon ay maaaring makuha. Kabilang dito ang mga lihim ng kalakalan, impormasyon sa pananalapi, at marami pang iba. Katulad nito, kung mag-iimbak ka ng anumang mga asset sa loob ng bansa, wala kang ganap na kontrol sa mga ito; maaari silang kumpiskahin ng gobyerno anumang oras at may kaunting katwiran.
Ang mga kinakailangan sa lokalisasyon ng data na kasama sa bagong batas ay nagdudulot din ng malaking banta sa seguridad ng ulap. Ipinaliwanag ng mga eksperto na kung saan nakaimbak ang data ay hindi gaanong mahalaga kaysa sa kung saan ito nakaimbak. bilang Sila ay nakaimbak. Kaya, ang lokalisasyon ay maliit na nagagawa upang maprotektahan ang sensitibong impormasyon, habang sabay-sabay na lumilikha ng madaling na-target na mga lokasyon ng imbakan ng data na mahina sa pag-hack.
Ang China ay hindi kailanman nahihiya tungkol sa pagwawalang-bahala sa privacy at seguridad ng data. Ang mga bagong alituntuning ito ay simpleng ginagawang pormal kung ano ang matagal nang naging pamantayan sa loob ng bansa. Ngunit hindi nito ginagawang mas madali ang mga bagay para sa mga kumpanya.
Mga problema para sa mga dayuhang kumpanya
Sinasabi ng American think tank na Center for Strategic and International Studies (CSIS) na naglabas na ang China bagong pambansang pamantayan na nauugnay sa cybersecurity. Isa sa mga pinakabagong pagbabago ay ang pag-update ng MLPS.
Ang mga bagong batas ay partikular na may problema para sa mga data center na pag-aari ng mga dayuhang kumpanya.
Sa katunayan, mayroon silang dalawang pagpipilian.
Ang una ay ang simpleng itigil ang pagnenegosyo sa China, kabilang ang sa pamamagitan ng mga partnership. Sa teorya, kung sapat na mga kumpanya ang sumusunod sa landas na ito, maaari itong maglagay ng presyon sa gobyerno ng China na pawalang-bisa ang batas.
Ang pangalawa ay ang pagtanggap ng pinababang privacy at seguridad bilang presyo ng paggawa ng negosyo sa China.
Masasabing ang mga dayuhang kumpanya sa Russia ay may parehong dalawang pagpipilian.
Masarap isipin na, sa pamamagitan ng magkasanib na pagsisikap, tatahakin nila ang unang landas. Sa kasamaang palad, sa katotohanan, ang pangalawang pagpipilian ay malamang na pipiliin. Dahil para sa marami, ito ay isang katanggap-tanggap na presyo na babayaran para sa paggawa ng negosyo.
Pinagmulan: www.habr.com
