Akhir tahun lalu, pemerintah Cina memperkenalkan undang-undang cybersecurity baru, yang disebut
Skema Perlindungan Tingkat Keamanan Cybersecurity Muti, MLPS 2.0 . Undang-undang, yang mulai berlaku pada bulan Desember, sebenarnya berarti bahwa pemerintah memiliki akses tanpa batas ke semua data di dalam negeri, terlepas dari apakah itu disimpan di server Cina atau dikirim melalui jaringan Cina.
Ini berarti bahwa tidak akan ada VPN anonim (dan banyak VPN populer dimiliki oleh perusahaan Cina). Tidak ada pesan pribadi atau terenkripsi. Tidak ada akun online anonim atau data sensitif. Setiap data akan dapat diakses dan terbuka untuk pemerintah Cina, termasuk data perusahaan asing di server Cina atau melewati China,
dijelaskan dalam komentar oleh firma hukum Reed Smith. Dalam arti tertentu, MLPS 2.0 dan hukum terkait dapat dibandingkan dengan "Paket Hukum Musim Semi" Rusia.
Segalanya sama buruknya seperti yang terlihat, dan semakin buruk. MLPS 2.0 didukung oleh dua tindakan legislatif tambahan, yang keduanya menghilangkan perlindungan, jaminan, dan celah yang mungkin pernah digunakan untuk menjaga integritas data perusahaan. Keduanya mulai berlaku awal bulan ini,
tulis CSOnline.
Yang pertama adalah Hukum Investasi Asing baru, yang memperlakukan investor asing dengan cara yang sama seperti investor Cina. Meskipun ini diumumkan sebagai cara merampingkan proses investasi, dalam praktiknya, ini menghalangi banyak investor asing dari hak-hak yang sebelumnya mereka nikmati.
Yang kedua menetapkan seperangkat pedoman baru untuk enkripsi. Sekali lagi, pada pandangan pertama tampaknya mereka diusulkan dengan mempertimbangkan kebaikan bersama. Hukum diadopsi oleh Kementerian Keamanan Publik secara formal untuk melindungi infrastruktur jaringan dari "kerusakan" dan ancaman eksternal. Hanya setelah pemeriksaan lebih dekat, efek samping mulai muncul.
Menurut MLPS saat ini, yang telah ada sejak 2008, operator jaringan (istilah yang sangat luas yang mencakup komputer atau sistem yang terhubung yang mengirim atau memproses data) diharuskan untuk mengklasifikasikan jaringan dan sistem informasi mereka di tingkat yang berbeda dan menerapkan langkah-langkah keamanan yang tepat. Skema ini memeringkat sistem teknologi informasi dan komunikasi (TIK) pada skala sensitivitas: 1 - yang paling tidak sensitif, 5 - yang paling sensitif. Semakin tinggi peringkatnya, semakin ketat Kementerian Keamanan Publik (IPS) adalah sistem ini. Tingkat ketiga adalah titik di mana sertifikasi diri berubah menjadi audit pemerintah. Tingkat ini dicapai ketika kerusakan pada jaringan mengarah pada "kerusakan serius pada hak dan kepentingan warga negara Tiongkok, badan hukum dan organisasi lain yang berkepentingan, atau akan menyebabkan kerusakan serius pada ketertiban umum dan kepentingan publik, atau merusak keamanan nasional."
Firma analis NewAmerica
menjelaskan bahwa MLPS 2.0 mewakili "bias terhadap lebih banyak pemeriksaan." Dalam MLPS 2.0, jaringan yang akan diuji pada dasarnya diperluas ke semua dan semua sistem TI.
Persyaratan Pelokalan Data
Menurut undang-undang baru tentang kriptografi, pengembangan, penjualan dan penggunaan sistem kriptografi "seharusnya tidak mengurangi keamanan negara dan kepentingan publik." Selain itu, sistem kriptografi yang belum "diverifikasi dan dikonfirmasi" juga menjadi ilegal. Secara umum, jika bisnis Anda berusaha menyembunyikan informasi dari pemerintah, Anda dapat dan akan dihukum.
Selain itu, jika pusat data Anda menggunakan, misalnya, layanan perangkat lunak China, maka semua data yang disimpan dan dikelola oleh layanan ini dapat dihapus. Ini termasuk rahasia dagang, informasi keuangan dan banyak lagi. Demikian pula, jika Anda menyimpan aset apa pun di dalam negeri, Anda tidak memiliki kendali penuh atas aset tersebut; mereka dapat disita oleh pemerintah kapan saja dan dengan justifikasi minimal.
Persyaratan lokalisasi data yang termasuk dalam undang-undang baru juga sangat memengaruhi keamanan cloud. Para ahli menjelaskan bahwa penyimpanan data tidak sepenting
cara penyimpanannya. Dengan demikian, pelokalan membantu sangat sedikit untuk melindungi informasi rahasia, sementara pada saat yang sama menciptakan lokasi penyimpanan data yang mudah ditargetkan yang nyaman untuk peretasan.
China tidak pernah malu mengabaikan privasi dan keamanan data. Aturan baru ini hanyalah formalisasi dari apa yang telah lama menjadi norma di negara ini. Tetapi ini membuatnya lebih mudah bagi perusahaan.
Masalah bagi perusahaan asing
Think tank Amerika, Pusat Studi Strategis dan Internasional (CSIS), mengklaim bahwa Cina telah merilis
sekitar 300 standar keamanan siber nasional baru dalam beberapa tahun terakhir. Salah satu perubahan terbaru adalah pembaruan MLPS.
Undang-undang baru khususnya bermasalah untuk pusat data yang dimiliki oleh perusahaan asing.
Bahkan, mereka masih memiliki dua opsi.
Yang pertama adalah berhenti berbisnis di Cina, termasuk melalui kemitraan. Secara teoritis, jika cukup banyak perusahaan mengikuti jalan ini, itu dapat menekan pemerintah Tiongkok dan memaksanya untuk mencabut undang-undang.
Yang kedua adalah setuju untuk mengurangi privasi dan keamanan sebagai harga berbisnis di Cina.
Kita dapat mengatakan bahwa perusahaan asing di Rusia memiliki dua opsi yang sama.
Saya ingin berpikir bahwa bersama-sama mereka akan menempuh jalan pertama. Sayangnya, pada kenyataannya, opsi kedua lebih mungkin untuk dipilih. Karena bagi banyak orang, harga berbisnis ini dapat diterima.