В конце прошлого года китайское правительство представило новый закон о киберпезопасности, так называемую Многоуровневую схему кибебезопасности (Cybersecurity Muti-Level Protection Scheme, MLPS 2.0). Закон, вступивший в силу в декабре, фактически означает, что правительство имеет неограниченный доступ ко всем данным внутри страны, независимо от того, хранятся ли они на китайских серверах или передаются через китайские сети.
Это означает, что не будет никаких анонимных VPN (а многие популярные VPN принадлежат китайским компаниям). Никаких личных или зашифрованных сообщений. Никаких анонимных онлайн-аккаунтов и конфиденциальных данных. Любые данные будут доступны и открыты для китайского правительства, в том числе и данные иностранных компаний на китайских серверах или проходящие через Китай, поясняется в комментарии юридической фирмы Reed Smith. В каком-то смысле MLPS 2.0 и сопутствующие законы можно сравнить с российским «пакетом законов Яровой».
Всё именно так плохо, как кажется, и становится ещё хуже. MLPS 2.0 поддерживается двумя дополнительными законодательными актами, оба из которых устраняют любые средства защиты, гарантии и лазейки, которые могли бы когда-то использоваться для поддержания неприкосновенности корпоративных данных. Оба вступили в силу в начале этого месяца, пишет CSOnline.
Первый — это новый закон «Об иностранных инвестициях», который рассматривает иностранных инвесторов точно так же, как и китайских инвесторов. Хотя это было объявлено в качестве средства упрощения инвестиционного процесса, на практике это лишает иностранных инвесторов многих прав, которыми они ранее пользовались.
Второй устанавливает новый набор руководящих принципов, касающихся шифрования. Опять же, на первый взгляд кажется, что они были предложены с учётом общего блага. Законы приняты Министерством общественной безопасности формально для защиты сетевой инфраструктуры от «повреждения» и внешних угроз. Только при ближайшем рассмотрении начинают появляться побочные эффекты.
В соответствии с нынешним MLPS, который существует с 2008 года, сетевые операторы (очень широкий термин, который охватывает любые подключенные компьютеры или системы, отправляющие или обрабатывающие данные) обязаны классифицировать свои сети и информационные системы по различным уровням и применять соответствующие меры защиты. Схема ранжирует системы информационно-коммуникационных технологий (ИКТ) по шкале чувствительности: 1 — наименее чувствительные, 5 — наиболее чувствительные. Чем выше рейтинг, тем более строгому контролю со стороны Министерства общественной безопасности (МПС) подлежит эта система. Третий уровень — та точка, в которой самосертификация превращается в правительственную проверку. Этот уровень достигается, когда ущерб сети приведёт к «особенно серьёзному ущербу законным правам и интересам китайских граждан, юридических лиц и других заинтересованных организаций, или нанесет серьезный ущерб общественному порядку и общественным интересам, или нанесёт ущерб национальной безопасности».
Аналитическая компания NewAmerica поясняет, что MLPS 2.0 представляет собой «смещение в сторону большего количества проверок». В рамках MLPS 2.0 сети, подлежащие проверке, расширяются по существу до любых и всех IT-систем.
Требования к локализации данных
Согласно новому закону о криптографии, разработка, продажа и использование криптографических систем «не должны наносить ущерба государственной безопасности и общественным интересам». Кроме того, криптографические системы, которые не были «проверены и аутентифицированы», также становятся вне закона. В целом, если ваш бизнес пытается скрыть информацию от правительства, вы можете и будете наказаны.
Более того, если ваш дата-центр использует, например, китайский программный сервис, то все данные, хранящиеся и управляемые этим сервисом, могут быть изъяты. Это включает в себя коммерческую тайну, финансовую информацию и многое другое. Точно так же, если вы храните какие-либо активы внутри страны, вы не имеете полного контроля над ними; они могут быть конфискованы правительством в любое время и с минимальным обоснованием.
Требования к локализации данных, включённые в новое законодательство, также сильно вредят облачной безопасности. Специалисты объясняют, что место хранения данных менее важно, чем то, как они хранятся. Таким образом, локализация очень мало помогает защите конфиденциальной информации, одновременно создавая легко поддающиеся таргетированию места хранения данных, удобные для взлома.
Китай никогда не стеснялся пренебрегать конфиденциальностью и безопасностью данных. Эти новые правила являются просто формализацией того, что уже давно стало нормой внутри страны. Но от этого компаниям не легче.
Проблемы для иностранных компаний
Американский аналитический центр Центр стратегических и международных исследований (CSIS) утверждает, что Китай в последние годы выпустил около 300 новых национальных стандартов, связанных с кибербезопасностью. Одним из последних изменений является обновление MLPS.
Новые законы особенно проблематичны для дата-центров, которые принадлежат иностранным компаниям.
Фактически, у них остаётся два варианта.
Первый — просто прекратить вести бизнес в Китае, в том числе через партнёрские отношения. Теоретически, если достаточное количество компаний последует по этому пути, это может оказать давление на китайское правительство и заставить его отменить закон.
Второй — согласиться на снижение конфиденциальности и безопасности как цену ведения бизнеса в Китае.
Можно сказать, что у иностранных компаний в России остаются те же два варианта.
Хотелось бы думать, что совместными усилиями они пойдут по первому пути. К сожалению, в реальности скорее будет выбран второй вариант. Потому что для многих эта цена ведения бизнеса приемлема.
panvartan
У кого что болит, тот то и запрещает. Анонимность никак не угрожает режимам — она продлевает их существование. Но по человечески страшно — что где-то плетутся еще более коварные планы чем у тебя.
zxosa
А мне вот кажется, что мы чего-то не знаем, законы приняты почти одновременно, пара лет разницы — это ничто.
NotThatEasy
Мне представляется, по тому, как вырубают всяческие леса, можно заключить, что Китай определённое влияние на Россию имеет, из чего делаются уже такие выводы, которые озвучивать не хочется
bormanman
Чего ж тут может быть непонятного.
Фактически, это узаконенный шпионаж в коммуникационных сетях за коммерческими фирмами и за собственными гражданами, в пользу олигархического клана, который имеет сильное лобби во власти. Информация — новый прикольный ресурс, который очень хочется монетизировать.
Сказочки для пожилых дядей (в запущенных случаях, типа нашего, даже не всегда пользующимися компьютерами) в погоне за большими деньгами в большой бигдате.
willyd
Я не поддерживаю направление движения Китая и России. Но мне почему-то кажется, что ученый опять изнасиловал журналиста.
Да. Такой же как и в россии, даже жестче, потому, что в Китае вроде как существует централизованная подмена сертификатов.Очень сомневаюсь. Под описание подпадают владельцы ресурсов, которые обрабатывают олайн данные, и датацентры. Конечно, можно натянуть на какие-то компании, но как-то не верится мне, что всем представительствам коммерческих компаний или банков, запретять использовать их ВПН или шифрование данных на их серверах. С одной стороны, компании работающие в Китае дистанцируются от политики и стараются избегать схем работы, которые могут заинтересовать правительство или органы. Уж больно большой профит… С другой стороны, Китай и сам не хочет сильно вредить инвестиционному климату.