A fines del año pasado, el gobierno chino introdujo una nueva ley de ciberseguridad, el llamado
Esquema de Protección Muti-Nivel de Ciberseguridad, MLPS 2.0 . La ley, que entró en vigencia en diciembre, significa que el gobierno tiene acceso ilimitado a todos los datos dentro del país, independientemente de si se almacenan en servidores chinos o si se transmiten a través de redes chinas.
Esto significa que no habrá VPN anónimas (y muchas VPN populares son propiedad de compañías chinas). No hay mensajes privados o encriptados. No cuentas anónimas en línea o datos confidenciales. Cualquier información será accesible y abierta al gobierno chino, incluidos los datos de compañías extranjeras en servidores chinos o que pasan por China,
explicaron en un comentario de la firma de abogados Reed Smith. En cierto sentido, MLPS 2.0 y las leyes relacionadas se pueden comparar con el "Paquete de la Ley de Primavera" de Rusia.
Todo es tan malo como parece, y está empeorando. MLPS 2.0 está respaldado por dos actos legislativos adicionales, los cuales eliminan cualquier protección, garantía y laguna que alguna vez se haya utilizado para mantener la integridad de los datos corporativos. Ambos entraron en vigencia a principios de este mes,
escribe CSOnline.
La primera es la nueva Ley de Inversión Extranjera, que trata a los inversores extranjeros de la misma manera que a los inversores chinos. Aunque esto se anunció como un medio de racionalizar el proceso de inversión, en la práctica, esto priva a los inversores extranjeros de muchos de los derechos que antes disfrutaban.
El segundo establece un nuevo conjunto de pautas para el cifrado. Nuevamente, a primera vista parece que se propusieron teniendo en cuenta el bien común. Leyes adoptadas por el Ministerio de Seguridad Pública formalmente para proteger la infraestructura de red de "daños" y amenazas externas. Solo después de un examen más detallado, los efectos secundarios comienzan a aparecer.
Según el MLPS actual, que existe desde 2008, los operadores de red (un término muy amplio que abarca cualquier computadora o sistema conectado que envíe o procese datos) deben clasificar sus redes y sistemas de información en diferentes niveles y aplicar las medidas de seguridad apropiadas. El esquema clasifica los sistemas de tecnología de la información y la comunicación (TIC) en una escala de sensibilidad: 1 - el menos sensible, 5 - el más sensible. Cuanto más alta sea la calificación, más estricto será el Ministerio de Seguridad Pública (IPS). El tercer nivel es el punto en el que la autocertificación se convierte en una auditoría gubernamental. Este nivel se alcanza cuando el daño a la red conduce a "daños especialmente graves a los derechos e intereses legítimos de los ciudadanos chinos, las entidades legales y otras organizaciones interesadas, o causará daños graves al orden público y los intereses públicos, o dañará la seguridad nacional".
La firma de analistas de NewAmerica
explica que MLPS 2.0 representa un "sesgo hacia más controles". Dentro de MLPS 2.0, las redes a probar se expanden esencialmente a todos y cada uno de los sistemas de TI.
Requisitos de localización de datos
Según la nueva ley sobre criptografía, el desarrollo, la venta y el uso de sistemas criptográficos "no deben perjudicar la seguridad del estado y el interés público". Además, los sistemas criptográficos que no han sido "verificados y autenticados" también se vuelven ilegales. En general, si su empresa está tratando de ocultar información del gobierno, puede y será castigado.
Además, si su centro de datos utiliza, por ejemplo, un servicio de software chino, todos los datos almacenados y gestionados por este servicio pueden eliminarse. Esto incluye secretos comerciales, información financiera y más. Del mismo modo, si almacena activos a nivel nacional, no tiene control total sobre ellos; pueden ser confiscados por el gobierno en cualquier momento y con una justificación mínima.
Los requisitos de localización de datos incluidos en la nueva legislación también afectan en gran medida la seguridad de la nube. Los expertos explican que el almacenamiento de datos es menos importante que
cómo se almacena. Por lo tanto, la localización ayuda muy poco a proteger la información confidencial, al mismo tiempo que crea ubicaciones de almacenamiento de datos fáciles de identificar que son convenientes para piratear.
China nunca ha sido tímida al descuidar la privacidad y la seguridad de los datos. Estas nuevas reglas son simplemente una formalización de lo que durante mucho tiempo ha sido la norma en el país. Pero esto lo hace más fácil para las empresas.
Problemas para empresas extranjeras
El grupo de expertos estadounidense, Centro de Estudios Estratégicos e Internacionales (CSIS), afirma que China ha publicado
unos 300 nuevos estándares nacionales de seguridad cibernética en los últimos años. Uno de los últimos cambios es la actualización de MLPS.
Las nuevas leyes son especialmente problemáticas para los centros de datos propiedad de empresas extranjeras.
De hecho, todavía tienen dos opciones.
El primero es simplemente dejar de hacer negocios en China, incluso a través de asociaciones. Teóricamente, si suficientes empresas siguen este camino, podría presionar al gobierno chino y obligarlo a derogar la ley.
El segundo es acordar reducir la privacidad y la seguridad como el precio de hacer negocios en China.
Podemos decir que las compañías extranjeras en Rusia tienen las mismas dos opciones.
Me gustaría pensar que juntos irán por el primer camino. Desafortunadamente, en realidad, es más probable que se elija la segunda opción. Porque para muchos, este precio de hacer negocios es aceptable.