Nye bestemmelser gør at Kinas Cybersecurity Lov i November sidste år giver statslige organer med ansvar for den juridiske myndighed til at fjernstyre adfærd penetration test på en internet-relaterede virksomheder, der opererer i Kina, og endda kopiere og senere dele data embedsmænd finde på inspiceret systemer.
Enhver virksomhed, der leverer en internet-relaterede tjenester med mere end fem internet-forbundne computere, der er modtagelige for disse inspektioner.
Den Kinesiske regering agenturet har til opgave at udføre disse penetration tests er Ministeriet for Offentlig Sikkerhed (MPS), det samme organ, der også fastholder, Kinas Store Firewall og sin landsdækkende facial recognition system og overvågningskameraer netværk.
MSP embedsmænd modtog disse nye beføjelser på November 1, 2018, i form af nye bestemmelser, at Kinas Cybersecurity-Lov, der blev vedtaget første gang i 2017.
Disse nye bestemmelser, der kaldes “Forordninger om Internet Sikkerhed, Tilsyn og Kontrol af den Offentlige Sikkerhed Organer” (公安机关互联网安全监督检查规定) give MSP følgende nye beføjelser:
Foretage en person eller en ekstern kontrol af netværk, sikkerhed, forsvar, der er truffet af virksomheder, der opererer i Kina.Check for “forbudt indhold” forbudt inden for Kinas grænser.Log security response planer i løbet af inspektioner på stedet.Kopi enhver bruger oplysninger, der findes på inspiceret-systemer i løbet on-site eller internet inspektioner.Udfører penetration test for at tjekke for sårbarheder.Udføre eksterne inspektioner, uden at informere virksomheder.Dele de indsamlede data med andre offentlige myndigheder.Retten til at have to medlemmer af folkets Væbnede Politi (PAP) til stede under kontrol på stedet for at håndhæve procedurer.
De nye bestemmelser styrke et allerede påtrængende Cybersecurity Lovgivning, der er vedtaget i 2017, hvilket gav Kinesiske myndigheder ret til at analysere kildekoden af teknologier, der anvendes af udenlandske virksomheder i Kina, alt sammen under dække af at identificere sårbarheder i “den nationale sikkerhed anmeldelser” for at sikre den nationale sikkerhed.
Dengang, USA-baserede trussel intel firma Registreret Fremtidige lød alarmen, at loven vil kunne blive misbrugt af Kinesiske statslige organer til at identificere nul-dage og sårbarheder i koden vestlige teknologier, der normalt ville have været lukket for øjnene af de Kinesiske myndigheder, og dets stats-sponsoreret hackere.
Nu Registreret Fremtidige eksperter alarmering om de nye bestemmelser samt, citerer deres brede anvendelsesområde og uklare sprog.
Eksperter frygter, at de nye bestemmelser, der vil hjælpe den Kinesiske stat maske sin dataindsamling praksis. Den værste del er, at virksomhederne risikerer ikke engang at vide, at en indtrængen fra de Kinesiske myndigheder, der er sket.
Registreret Fremtiden, siger den nye lov ikke tvinge FOLKETINGSMEDLEMMER til at anmelde virksomheder, når det udfører en ekstern inspektion eller penetration test, ligesom det heller ikke tvinge den til at dele en rapport om sine resultater, og hvilke data der indsamles med det “kontrolleres” virksomheder.
Dette betyder, at MPS agenter kunne finde en sårbarhed i “inspicerede” virksomheder, samle virksomhedens data, og senere dele det med andre agenturer, og så ville det hele være helt lovligt i henhold til Kinesisk lovgivning.
Yderligere, de nye lovbestemmelser er også meget vag, ikke angiver, hvilke data der PARLAMENTSMEDLEMMER, embedsmænd, der er berettiget til at kopiere –data for Kinesiske borgere, eller alle virksomhedens brugere, herunder udlændinge.
Inspektion kan foretages til enhver tid, uden forudgående varsel, og for noget så simpelt som kontrol af, om virksomheder er opbevaring “ulovligt indhold” på deres servere, indhold, at de Kinesiske myndigheder har censureret inde i landet kan og ønsker at tvinge eller skræmme lokale eller udenlandske virksomheder til også at forbyde.
“Næsten alle udenlandske virksomheder, der vil være genstand for en person facilitet søgninger, kopiering af virksomheden bruger data, invasive kontrol for” ulovligt offentliggjort materiale,’ og ekstern kontrol af virksomhedens netværk,” sagde Optaget Fremtidige eksperter i en rapport, der analyserer den nye cybersecurity-bestemmelser i dag.
“Kunder, data, og systemerne i territorial Kina er ikke kun på risikoen for at få deres data, som opbevares af den Kinesiske regering, men også er i øget risiko for tredje-parts brud på datasikkerheden, og den Kinesiske regering, overvågning,” sagde de.
Relaterede dækning:
AMERIKANSKE Senatorer spørge DHS til at se ind i OS, de offentlige ansatte med udenlandske VPNsPentesters brud 92 procent af virksomhederne, rapport claimsUS Senatorer frygt Kinesisk-made metro jernbane biler kunne bruges til overvågning
EU ‘ s ordrer tilbagekaldelse af børns smartwatch over alvorlige bekymringer vedrørende privatlivets fred
Facebook bred dataindsamling erklæret ulovlig af de tyske anti-trust officeTwitter tog ned konti fra Iran, Venezuela og Rusland er bundet til 2018 OS midterms
Californiens guvernør tegn landets første tingenes internet security law CNET
Den Japanske regering har planer om at hacke sig ind usikrede IoT-enheder, TechRepublic
Relaterede Emner:
Regeringen – Asien
Sikkerhed-TV
Data Management
CXO
Datacentre