В конце прошлого года китайское правительство представило новый закон о киберпезопасности, так называемую Многоуровневую схему кибебезопасности (Cybersecurity Muti-Level Protection Scheme, MLPS 2.0). Закон, вступивший в силу в декабре, фактически означает, что правительство имеет неограниченный доступ ко всем данным внутри страны, независимо от того, хранятся ли они на китайских серверах или передаются через китайские сети.
Это означает, что не будет никаких анонимных VPN (а многие популярные VPN принадлежат китайским компаниям). Никаких личных или зашифрованных сообщений. Никаких анонимных онлайн-аккаунтов и конфиденциальных данных. Любые данные будут доступны и открыты для китайского правительства, в том числе и данные иностранных компаний на китайских серверах или проходящие через Китай, поясняется в комментарии юридической фирмы Reed Smith. В каком-то смысле MLPS 2.0 и сопутствующие законы можно сравнить с российским «пакетом законов Яровой».
Всё именно так плохо, как кажется, и становится ещё хуже. MLPS 2.0 поддерживается двумя дополнительными законодательными актами, оба из которых устраняют любые средства защиты, гарантии и лазейки, которые могли бы когда-то использоваться для поддержания неприкосновенности корпоративных данных. Оба вступили в силу в начале этого месяца, пишет CSOnline.
Первый — это новый закон «Об иностранных инвестициях», который рассматривает иностранных инвесторов точно так же, как и китайских инвесторов. Хотя это было объявлено в качестве средства упрощения инвестиционного процесса, на практике это лишает иностранных инвесторов многих прав, которыми они ранее пользовались.
Второй устанавливает новый набор руководящих принципов, касающихся шифрования. Опять же, на первый взгляд кажется, что они были предложены с учётом общего блага. Законы приняты Министерством общественной безопасности формально для защиты сетевой инфраструктуры от «повреждения» и внешних угроз. Только при ближайшем рассмотрении начинают появляться побочные эффекты.
В соответствии с нынешним MLPS, который существует с 2008 года, сетевые операторы (очень широкий термин, который охватывает любые подключенные компьютеры или системы, отправляющие или обрабатывающие данные) обязаны классифицировать свои сети и информационные системы по различным уровням и применять соответствующие меры защиты. Схема ранжирует системы информационно-коммуникационных технологий (ИКТ) по шкале чувствительности: 1 — наименее чувствительные, 5 — наиболее чувствительные. Чем выше рейтинг, тем более строгому контролю со стороны Министерства общественной безопасности (МПС) подлежит эта система. Третий уровень — та точка, в которой самосертификация превращается в правительственную проверку. Этот уровень достигается, когда ущерб сети приведёт к «особенно серьёзному ущербу законным правам и интересам китайских граждан, юридических лиц и других заинтересованных организаций, или нанесет серьезный ущерб общественному порядку и общественным интересам, или нанесёт ущерб национальной безопасности».
Аналитическая компания NewAmerica поясняет, что MLPS 2.0 представляет собой «смещение в сторону большего количества проверок». В рамках MLPS 2.0 сети, подлежащие проверке, расширяются по существу до любых и всех IT-систем.
К сожалению, не доступен сервер mySQL