Nya avsättningar som gjorts till Kinas It-Rätten i November förra året ger statliga myndigheter juridisk befogenhet att på distans utföra penetrationstester på alla internet-relaterade företag som är verksamma i Kina, och även kopiera och senare att dela all data statliga tjänstemän hitta på inspekteras system.
Alla företag som erbjuder en internet-relaterade tjänster med mer än fem internet-anslutna datorer är känsliga för dessa inspektioner.
Den Kinesiska regeringen myndigheten i uppdrag att genomföra dessa penetrationstester är Ministeriet för Offentlig Säkerhet (MPS), samma byrå som upprätthåller också Kinas Bra Brandvägg och dess rikstäckande ansiktsigenkänning systemet och övervakningskameror nätverk.
MSP tjänstemän fått dessa nya befogenheter på November 1, 2018, i form av nya bestämmelser för att Kinas It-Lagen, som antogs i och med 2017.
Dessa nya bestämmelser, som heter “Regler för Internet-Säkerhet, Övervakning och Inspektion av den Allmänna Säkerheten Organ” (公安机关互联网安全监督检查规定) ge MSP följande befogenheter:
Genomföra person eller fjärrkontrollen för kontroll av nätverkssäkerhet försvar som vidtas av företag som är verksamma i Kina.Kontrollera för “förbjudet innehåll” förbjudna innanför Kinas gränser.Logga säkerhet svar planer under inspektioner på plats.Kopiera alla användare den information som finns på inspekteras system under på plats eller på distans inspektioner.Utför penetrationstester för att kontrollera sårbarheter.Utföra fjärr-kontroller utan att informera företag.Dela alla insamlade data med andra statliga myndigheter.Rätt att ha två ledamöter i Folkets Beväpnade Polis (PAP) närvarande vid inspektion på platsen för att upprätthålla förfaranden.
De nya bestämmelserna stärka en redan påträngande Cybersäkerhet Lagen som antogs i 2017, vilket gav Kinesiska myndigheterna rätt att analysera källkoden av den teknik som används av utländska företag i Kina, allt under sken av att identifiera sårbarheter under den “nationella säkerheten” för att garantera den nationella säkerheten.
Då USA-baserade hot intel fast Inspelade Framtid slog larm om att lagen skulle kunna missbrukas av Kinesiska statliga organ att identifiera noll-dagar och sårbarheter i källkoden av western teknik som vanligtvis skulle ha varit stängt för ögonen av Kinesiska myndigheter och statligt sponsrad av hackare.
Nu, Inspelade Framtida experter larm om de nya bestämmelserna också, med hänvisning till deras brett tillämpningsområde och vaga formuleringar.
Experter fruktar att de nya bestämmelserna kommer att hjälpa den Kinesiska staten mask sin datainsamling praxis. Det värsta är att företag riskerar att inte ens veta att ett intrång från Kinesiska myndigheter har hänt.
Inspelade Framtiden, säger den nya lagen inte tvingar den MPS att anmäla företag när det utför en avlägsen inspektion eller penetration test, inte heller tvinga den att dela en rapport om sina iakttagelser och vilka uppgifter som samlas in med “inspekterade” företag.
Detta innebär att MPS agenter kan hitta en sårbarhet i “inspekterade” företag, samla företagets uppgifter, och senare att dela det med andra organ, och det hela skulle vara helt lagligt enligt Kinesisk lagstiftning.
Vidare, nya lagstiftningen är också mycket vagt, om du inte anger vilka uppgifter som MPS tjänstemän har rätt att kopiera –data av Kinesiska medborgare, eller ett företags alla användare, inklusive utlänningar.
Inspektioner kan utföras när som helst utan föregående meddelande, och för något så enkelt som att kontrollera om företagen att lagra “olagligt innehåll” på deras servrar, innehåll som Kinesiska myndigheter har censurerat inom landet och kanske önskar att tvinga eller hota lokala eller utländska företag i också förbjuda.
“Nästan alla utländska företag kommer att bli föremål för att under-person anläggning sökningar, kopiering av företaget användardata, invasiva kontrollera för” olagligt publicerat material, ” och remote kontroll av företagets nätverk, säger Inspelade Framtida experter i en rapport som analyserar de nya it-säkerhet bestämmelser i dag.
“Kunder, data och system i den territoriella Kina är inte bara riskerar med sina uppgifter som innehas av den Kinesiska regeringen, men också har en ökad risk för att uppgifter från tredje part för brott och Kinesiska regeringen övervakning”, sade de.
Relaterade täckning:
De AMERIKANSKA Senatorerna be DHS att titta in till OSS statsanställda med utländsk VPNsPentesters brott 92 procent av företag, rapport claimsUS Senatorer rädsla Kinesiska metro rail bilar kan användas för övervakning
EU: s order minns av barns smartwatch under svåra personliga integriteten
Facebook bred insamling av data styrs olagligt enligt tysk anti-trust officeTwitter tog ner konton från Iran, Venezuela och Ryssland knuten till 2018 OSS midterms
Kaliforniens guvernör tecken landets första sakernas internet security law CNET
Den Japanska regeringen planerar att hacka sig in utan säkerhet IoT enheter TechRepublic
Relaterade Ämnen:
Regeringen – Asien
Säkerhet-TV
Hantering Av Data
CXO
Datacenter