Nieuwe voorzieningen om China ‘ s Cybersecurity Wet vorig November geeft de overheid de wettelijke bevoegdheid om op afstand uit te voeren penetratie testen op een internet-gerelateerd bedrijf die actief zijn in China, en zelfs kopiëren en waar dan later het delen van gegevens ambtenaren vinden op gecontroleerd systemen.
Elk bedrijf dat beschikt over een internet-gerelateerde diensten met meer dan vijf computers met een internetverbinding is gevoelig voor deze inspecties.
De Chinese overheidsinstantie die belast is met de uitvoering van deze penetratie testen is het Ministerie van Openbare Veiligheid (MPS), hetzelfde bureau dat ook onderhoudt China ‘s Great Firewall en haar landelijke gezichtsherkenning systeem en bewakingscamera’ s netwerk.
MSP ambtenaren ontvangen deze nieuwe krachten op November 1, 2018, in de vorm van nieuwe bepalingen voor China ‘ s Cybersecurity Wet, voor het eerst aangenomen in 2017.
Deze nieuwe bepalingen, met de naam “Reglement op Internet Security controle en Inspectie door de Openbare Veiligheid Organen” (公安机关互联网安全监督检查规定) geven de MSP de volgende bevoegdheden:
Gedrag in persoon of externe inspecties van de veiligheid van het netwerk defensie genomen door bedrijven die actief zijn in China.Controleer voor “verboden inhoud” verboden in China de grens.Log security response plannen tijdens de on-site inspecties.Kopieer geen informatie van de gebruiker gevonden op gecontroleerd systemen tijdens de on-site of remote inspecties.Penetratie tests om te controleren op kwetsbaarheden.Het uitvoeren van externe controles zonder medeweten van de bedrijven.Het delen van de verzamelde gegevens met andere overheidsinstellingen.Het recht om twee leden van de People ‘ s Armed Police (PAP) aanwezig zijn tijdens de inspectie ter plaatse af te dwingen procedures.
De nieuwe bepalingen versterken van een al te opdringerig Cybersecurity Wet aangenomen in 2017, die gaf de Chinese autoriteiten het recht om het analyseren van de bron code van technologieën die worden gebruikt door buitenlandse bedrijven in China, allemaal onder het mom van het identificeren van kwetsbaarheden tijdens de “nationale veiligheid beoordelingen” om te zorgen voor de nationale veiligheid.
Toen de AMERIKAANSE dreiging intel firma Opgenomen Toekomst klonk het alarm dat door de wet misbruikt zouden kunnen worden door de Chinese overheid te identificeren zero-dagen en kwetsbaarheden in de bron code van de westerse technologieën die normaliter zijn afgesloten voor de ogen van de Chinese autoriteiten en de staat gesponsorde hackers.
Nu, Opgenomen Toekomst experts zijn het verhogen van het alarm op de nieuwe bepalingen ook, onder vermelding van hun brede scope en vage taal.
Deskundigen vrezen dat de nieuwe bepalingen zal de hulp van de Chinese staat masker voor het verzamelen van gegevens praktijken. Het ergste is dat bedrijven geconfronteerd met het risico van niet eens te weten dat een inbraak van de Chinese autoriteiten gebeurd.
Geregistreerd Toekomst zegt de nieuwe wet verbiedt de kracht van de MPS te melden bedrijven bij het uitvoeren van een externe inspectie of penetration test, noch kracht om een verslag van zijn bevindingen en wat gegevens verzameld met de “geïnspecteerd” bedrijven.
Dit betekent dat MPS agenten konden vinden van een beveiligingslek in “geïnspecteerd” bedrijven, het verzamelen van de gegevens van het bedrijf, en later te delen met andere instanties, en het zou allemaal volkomen legaal volgens de Chinese wetgeving.
Verder, de nieuwe bepalingen in de wet zijn ook erg vaag, niet te specificeren welke gegevens MPS-ambtenaren het recht om te kopiëren –gegevens van Chinese burgers alleen of een bedrijf de gebruikers, met inbegrip van buitenlanders.
Inspecties kunnen worden uitgevoerd op elk moment, zonder voorafgaande kennisgeving, en voor iets wat zo eenvoudig te controleren of bedrijven slaan “illegale inhoud” op hun servers, content dat de Chinese autoriteiten hebben gecensureerd in het land wenst te dwingen of te intimideren lokale of buitenlandse bedrijven in de ook te verbieden.
“Bijna alle buitenlandse bedrijven zullen worden onderworpen aan in-persoon faciliteit van zoekopdrachten, het kopiëren van het bedrijf gegevens van de gebruiker, invasieve controleren voor ‘illegaal gepubliceerde materialen,’ en externe inspectie van bedrijfsnetwerken,” zei Geregistreerd Toekomst experts in een rapport analyseren van de nieuwe cybersecurity bepalingen van vandaag.
“De klanten, gegevens en systemen in de territoriale China zijn niet alleen het risico dat hun gegevens die door de Chinese overheid, maar ook een verhoogd risico voor derden datalekken en de Chinese overheid toezicht”, zeiden ze.
Verwante dekking:
De AMERIKAANSE Senatoren vragen DHS om te kijken naar de AMERIKAANSE overheid werknemers met een buitenlandse VPNsPentesters schending 92 procent van de bedrijven, rapport claimsUS Senatoren vrezen Chinese-en-klare metro rail auto ‘ s kunnen worden gebruikt voor surveillance
EU bestellingen oproepen van kinderen smartwatch over ernstige privacy
Facebook brede verzameling van gegevens onrechtmatig door de duitse anti-trust officeTwitter werden de rekeningen van Iran, Venezuela en Rusland gebonden aan 2018 AMERIKAANSE tussentijdse verkiezingen
De gouverneur van californië tekenen land de eerste IoT veiligheid wet CNET
De Japanse overheid is van plan om hack in ongedekte IoT apparaten TechRepublic
Verwante Onderwerpen:
De Regering – Azië
Beveiliging TV
Data Management
CXO
Datacenters