No final do ano passado, o governo chinês introduziu uma nova lei de segurança cibernética, o chamado
Esquema de Proteção em Nível Múltiplo de Segurança Cibernética, MLPS 2.0 . A lei, que entrou em vigor em dezembro, na verdade significa que o governo tem acesso ilimitado a todos os dados dentro do país, independentemente de serem armazenados em servidores chineses ou transmitidos através de redes chinesas.
Isso significa que não haverá VPNs anônimas (e muitas VPNs populares pertencem a empresas chinesas). Nenhuma mensagem privada ou criptografada. Nenhuma conta on-line anônima ou dados confidenciais. Quaisquer dados estarão acessíveis e abertos ao governo chinês, incluindo dados de empresas estrangeiras em servidores chineses ou de passagem pela China,
explicados em um comentário do escritório de advocacia Reed Smith. Em certo sentido, o MLPS 2.0 e leis relacionadas podem ser comparadas com o "Pacote de Leis da Primavera" da Rússia.
Tudo é tão ruim quanto parece e está piorando. O MLPS 2.0 é suportado por dois atos legislativos adicionais, os quais eliminam proteções, garantias e brechas que antes poderiam ser usadas para manter a integridade dos dados corporativos. Ambos entraram em vigor no início deste mês,
escreve o CSOnline.
A primeira é a nova Lei de Investimentos Estrangeiros, que trata os investidores estrangeiros da mesma maneira que os investidores chineses. Embora isso tenha sido anunciado como um meio de otimizar o processo de investimento, na prática, isso priva os investidores estrangeiros de muitos dos direitos que gozavam anteriormente.
O segundo define um novo conjunto de diretrizes para criptografia. Novamente, à primeira vista, parece que eles foram propostos levando em consideração o bem comum. Leis adotadas pelo Ministério da Segurança Pública formalmente para proteger a infraestrutura de rede contra “danos” e ameaças externas. Somente após um exame mais atento, os efeitos colaterais começam a aparecer.
De acordo com o atual MLPS, que existe desde 2008, os operadores de rede (um termo muito amplo que abrange computadores ou sistemas conectados que enviam ou processam dados) são obrigados a classificar suas redes e sistemas de informação em diferentes níveis e aplicar medidas de segurança apropriadas. O esquema classifica os sistemas de tecnologia da informação e comunicação (TIC) em uma escala de sensibilidade: 1 - o menos sensível, 5 - o mais sensível. Quanto maior a classificação, mais rigoroso é o sistema de Ministério da Segurança Pública (IPS). O terceiro nível é o ponto em que a autocertificação se transforma em uma auditoria do governo. Esse nível é alcançado quando os danos à rede levam a "danos especialmente graves aos direitos e interesses legítimos dos cidadãos chineses, entidades legais e outras organizações interessadas, ou causarão sérios danos à ordem pública e aos interesses públicos ou à segurança nacional".
A empresa de analistas da NewAmerica
explica que o MLPS 2.0 representa um "viés para mais verificações". No MLPS 2.0, as redes a serem testadas são expandidas essencialmente para todo e qualquer sistema de TI.
Requisitos de localização de dados
De acordo com a nova lei sobre criptografia, o desenvolvimento, a venda e o uso de sistemas criptográficos "não devem prejudicar a segurança do Estado e o interesse público". Além disso, sistemas criptográficos que não foram "verificados e autenticados" também se tornam ilegais. Em geral, se sua empresa estiver tentando ocultar informações do governo, você poderá e será punido.
Além disso, se o seu datacenter usar, por exemplo, um serviço de software chinês, todos os dados armazenados e gerenciados por esse serviço poderão ser removidos. Isso inclui segredos comerciais, informações financeiras e muito mais. Da mesma forma, se você armazena quaisquer ativos no mercado interno, não tem controle total sobre eles; eles podem ser confiscados pelo governo a qualquer momento e com justificativa mínima.
Os requisitos de localização de dados incluídos na nova legislação também afetam bastante a segurança da nuvem. Especialistas explicam que o armazenamento de dados é menos importante do que
como é armazenado. Portanto, a localização ajuda muito pouco a proteger informações confidenciais e, ao mesmo tempo, cria locais de armazenamento de dados fáceis de segmentar, convenientes para hackers.
A China nunca teve vergonha de negligenciar a privacidade e a segurança dos dados. Essas novas regras são simplesmente uma formalização do que há muito tempo é a norma no país. Mas isso facilita as empresas.
Problemas para empresas estrangeiras
O think tank americano, Centro de Estudos Estratégicos e Internacionais (CSIS), afirma que a China lançou
cerca de 300 novos padrões nacionais de segurança cibernética nos últimos anos. Uma das alterações mais recentes é a atualização do MLPS.
Novas leis são especialmente problemáticas para data centers pertencentes a empresas estrangeiras.
Na verdade, eles ainda têm duas opções.
O primeiro é simplesmente parar de fazer negócios na China, inclusive através de parcerias. Teoricamente, se empresas suficientes seguirem esse caminho, isso poderá pressionar o governo chinês e forçá-lo a revogar a lei.
O segundo é concordar em reduzir a privacidade e a segurança como o preço de fazer negócios na China.
Podemos dizer que as empresas estrangeiras na Rússia têm as mesmas duas opções.
Eu gostaria de pensar que juntos eles seguirão o primeiro caminho. Infelizmente, na realidade, é mais provável que a segunda opção seja escolhida. Porque para muitos, esse preço de fazer negócios é aceitável.