تبنت الصين "حزمة الربيع"

في أواخر العام الماضي ، أدخلت الحكومة الصينية قانون الأمن السيبراني الجديد ، ما يسمى مخطط حماية المعطي المستوى لحماية الإنترنت ، MLPS 2.0 . القانون ، الذي دخل حيز التنفيذ في ديسمبر ، يعني في الواقع أن الحكومة لديها وصول غير محدود لجميع البيانات داخل البلاد ، بغض النظر عما إذا كان يتم تخزينها على خوادم صينية أو يتم نقلها عبر الشبكات الصينية.

هذا يعني أنه لن يكون هناك شبكات VPN مجهول (والعديد من شبكات VPN الشهيرة مملوكة لشركات صينية). لا توجد رسائل خاصة أو مشفرة. لا توجد حسابات مجهولة عبر الإنترنت أو بيانات حساسة. أي بيانات ستكون متاحة ومفتوحة للحكومة الصينية ، بما في ذلك بيانات الشركات الأجنبية على الخوادم الصينية أو التي تمر عبر الصين ، كما أوضح في تعليق من شركة ريد سميث للمحاماة. بمعنى ما ، يمكن مقارنة MLPS 2.0 والقوانين ذات الصلة مع "حزمة قانون الربيع" الروسية.

كل شيء سيء كما يبدو ، ويزداد الأمر سوءًا. يدعم MLPS 2.0 تشريعان إضافيان ، كلاهما يلغي أي علاجات أو ضمانات أو ثغرات يمكن استخدامها ذات مرة للحفاظ على سلامة بيانات الشركة. كلاهما حيز التنفيذ في وقت سابق من هذا الشهر ، CSOnline يكتب .

الأول هو قانون الاستثمار الأجنبي الجديد ، الذي يعامل المستثمرين الأجانب بنفس طريقة معاملة المستثمرين الصينيين. على الرغم من أن هذا تم الإعلان عنه كوسيلة لتبسيط عملية الاستثمار ، إلا أنه في الممارسة العملية يحرم المستثمرين الأجانب من العديد من الحقوق التي كانوا يتمتعون بها سابقًا.

المجموعة الثانية مجموعة جديدة من المبادئ التوجيهية للتشفير. مرة أخرى ، يبدو للوهلة الأولى أنه تم اقتراحها مع مراعاة الصالح العام. القوانين التي اعتمدتها وزارة الأمن العام رسميا لحماية البنية التحتية للشبكة من "الضرر" والتهديدات الخارجية. فقط عند الفحص الدقيق ، تبدأ الأعراض الجانبية بالظهور.

وفقًا لـ MLPS الحالي ، الموجود منذ عام 2008 ، يُطلب من مشغلي الشبكات (مصطلح واسع جدًا يشمل أي أجهزة كمبيوتر أو أنظمة متصلة ترسل أو تعالج البيانات) تصنيف شبكاتهم وأنظمة المعلومات الخاصة بهم على مستويات مختلفة وتطبيق تدابير الأمان المناسبة. يصنف المخطط أنظمة تكنولوجيا المعلومات والاتصالات (ICT) على مقياس الحساسية: 1 - الأقل حساسية ، 5 - الأكثر حساسية. كلما زاد التصنيف ، زادت صرامة وزارة الأمن العام (IPS) في هذا النظام. المستوى الثالث هو النقطة التي يتحول عندها الاعتماد الذاتي إلى تدقيق حكومي. يتم تحقيق هذا المستوى عندما يؤدي الضرر الذي يلحق بالشبكة إلى "إلحاق أضرار جسيمة خاصة بالحقوق والمصالح المشروعة للمواطنين الصينيين والكيانات القانونية وغيرها من المنظمات المهتمة ، أو سيتسبب في أضرار جسيمة للنظام العام والمصالح العامة ، أو يضر بالأمن القومي".

تشرح شركة محلل NewAmerica أن MLPS 2.0 يمثل "تحيزًا لمزيد من الشيكات". ضمن MLPS 2.0 ، يتم توسيع الشبكات التي سيتم اختبارها بشكل أساسي لتشمل جميع أنظمة تكنولوجيا المعلومات.

متطلبات توطين البيانات

وفقًا لقانون التشفير الجديد ، فإن تطوير أنظمة التشفير وبيعها واستخدامها "يجب ألا يمس بأمن الدولة والمصلحة العامة". بالإضافة إلى ذلك ، أصبحت أنظمة التشفير التي لم يتم التحقق منها والمصادقة عليها غير قانونية. بشكل عام ، إذا كان عملك يحاول إخفاء المعلومات عن الحكومة ، فيمكنك معاقبة ذلك.

علاوة على ذلك ، إذا كان مركز البيانات الخاص بك يستخدم ، على سبيل المثال ، خدمة برمجية صينية ، فيمكن إزالة جميع البيانات المخزنة والمدارة بواسطة هذه الخدمة. وهذا يشمل الأسرار التجارية والمعلومات المالية وأكثر من ذلك. وبالمثل ، إذا قمت بتخزين أي أصول محليا ، فلن يكون لديك السيطرة الكاملة عليها ؛ يمكن مصادرتها من قبل الحكومة في أي وقت وبأقل تبرير.

تؤثر متطلبات توطين البيانات المدرجة في التشريع الجديد أيضًا بشكل كبير على أمان السحابة. يوضح الخبراء أن تخزين البيانات أقل أهمية من كيفية تخزينه. وبالتالي ، فإن الترجمة لا تساعد كثيرًا على حماية المعلومات السرية ، بينما تنشئ في الوقت نفسه مواقع تخزين بيانات سهلة الاستهداف ملائمة للقرصنة.

لم تخجل الصين من إهمال الخصوصية وأمن البيانات. هذه القواعد الجديدة هي ببساطة إضفاء الطابع الرسمي على ما كان منذ فترة طويلة القاعدة في البلاد. ولكن هذا يجعل الأمر أسهل بالنسبة للشركات.

مشاكل للشركات الأجنبية

يزعم مركز الدراسات الأمريكية ، مركز الدراسات الاستراتيجية والدولية (CSIS) ، أن الصين قد أصدرت حوالي 300 معيار وطني جديد للأمن السيبراني في السنوات الأخيرة. أحد آخر التغييرات هو تحديث MLPS.

تعد القوانين الجديدة مشكلة خاصة بالنسبة لمراكز البيانات المملوكة للشركات الأجنبية.

في الواقع ، لا يزال لديهم خياران.

الأول هو ببساطة التوقف عن ممارسة الأعمال التجارية في الصين ، بما في ذلك من خلال الشراكات. من الناحية النظرية ، إذا اتبعت عدد كاف من الشركات هذا المسار ، فقد تضغط على الحكومة الصينية وتجبرها على إلغاء القانون.

والثاني هو الموافقة على تقليل الخصوصية والأمان كسعر ممارسة الأعمال التجارية في الصين.

يمكننا القول أن الشركات الأجنبية في روسيا لديها نفس الخيارين.

أود أن أعتقد أنهم سوف يسيروا معًا على الطريق الأول. لسوء الحظ ، في الواقع ، فإن الخيار الثاني من المرجح أن يتم اختياره. لأنه بالنسبة للكثيرين ، فإن سعر ممارسة الأعمال التجارية مقبول.