Да ли ће измењени кинески закон о сајбер-безбедности довести у опасност иностране компаније?

Компаније су забринуте јер ће можда морати да се пребаце на кинеске добављаче интернета и на кинеску опрему да би испуниле захтеве Пекинга о заштити осетљивих података. Стручњаци за сајбер-безбедност кажу да ће компанијама бити много теже да заштите приватност својих података кад кинеска влада постави нове уређаје и алате.
И док се коначни датум спровођења најновијег кинеског закона о сајбер-безбедности приближава (1. децембар), иностране фирме збринуто размишљају о томе како ће најновије промене утицати на њихово пословање. Главна тежња Пекинга је да држава постане технолошка сила и свестан је да би то постигао мора да развије одбрамбену структуру која ће заштити његове произвођаче, истраживаче и стручњаке који се баве развојем од сајбер-напада. Због тога, ревидирани закона о сајбер-безбедности из 2017. године, прецизно наводи упутства о томе како компаније и организације – у приватном и јавном сектору – кинеске и иностране морају обезбедити своје мреже.

Иностране компаније се морају пребацити на кинеску опрему, прилагодити захтевима међународну стратегију и своје системе препустити инспекторима у Пекингу. Нису ни сасвим сигурне како ће све то функционисати јер ниједна држава у свету није урадила ништа слично. С друге стране, сајбер-безбедност није довољно развијена у Кини, односно многе информације се купују, краду и продају. Вероватно влада то жели да спречи. Ипак, Пекинг има прилично јединствен приступ у решавању проблема на који мултинационалне компаније нису навикле јер у другим државама не постоје такви захтеви у обезбеђивању сајбер-безбедности осим можда у војној индустрији, финансијским услугама и здравственој заштити. Према новим законским одредбама, све компаније које функционишу на мрежи, морају поднети извештај влади о томе каквим осетљивим подацима располажу и какве стратегије и инфраструктуру коју је влада одобрила користе да би се заштитили од сајбер-напада.

Пошто су Министарство за јавну безбедност, надзорни тимови и њихове агенције задужени за спровођење закона, биће овлашћени да од компанија траже документоване доказе који ће потврдити њихове наводе о спроведеној безбедности, чак ће моћи да се директно укључе на компанијске мреже да би све наведено и проверили. Иако остаје да се види колико ће те провере бити честе и темељне, стручњаци кажу да таква заштита на више нивоа није тек нејасно развојно усаглашавање које важи само за технолошке компаније. При том, ако у обзир узмемо политику коју Пекинг води, нови закон је само део владиног настојања да оснажи своју могућност да надгледа компаније у свим привредним гранама. При том, влада поставља нове уређаје и алате који ће отежати иностраним и домаћим компанијама да од њеног надзора заштите приватност својих података.

Кинеска влада жури да постави ону врсту заштите због које је Америка забринута, а у вези са безбедношћу ланца снабдевања и заштите података. Међутим, кинески план који омогућава нападне провере и инспекције које би могле да открију изворне кодове и остале компанијске податке разликује се у погледу обима од сваког америчког плана. Према новим правилима, компаније ће бити рангиране према типу информација које би могле да изгубе у случају сајбер-напада. На врху листе налазе се компаније, носиоци важне инфраструктуре, као што су телекомуникационе фирме, произвођачи електричне енергије, банке, добављачи интернета, али и остале организације које обрађују велике количине осетљивих података, укључујући здравствену заштиту, истраживање, трговину и производњу, могле би да добију високи положај на листи. Према закону, захтеви које високо рангиране фирме морају да испуне односе се на јасну сајбер-безбедносну стратегију и механизам за надзор који би стално обављао провере изабраних запослених.

С друге стране, чују се и мишљења да нови захтеви не одступају од глобалних норми и да вероватно неће представљати проблем за оне компаније које већ имају гломазне сајбер-безбедносне програме. Ипак, неке компаније се забринуто питају како ће нова правила утицати на њихову употребу сервиса и апликација који се налазе ван државе јер је њихова инфраструктура повезана на тако комплексан начин да је тешко рећи који се системи налазе у Кини. Баш због те комплексности и захтева да се користи само инфраструктура и мреже коју је одобрио Пекинг, неке компаније сматрају да им не преостаје ништа друго него да се пребаце на кинеске сервере и добављаче услуга. Компаније, такође, треба да буду спремне и на ситуације у којима сервис у облаку који користе данас, можда неће добити зелено светло од Пекинга сутра, што би могло да их остави без важних пословних апликација.

Ипак, компаније су највише забринуте за заштиту приватности јер управљају огромним количинама високо осетљивих података који би могли да буду подвргнути надзору на високом нивоу, укључујући инспекције сајбер-полиције или чак приступ на даљину самим мрежама. Због тога иностране фирме треба да воде рачуна о подацима који треба да прођу кроз њихове кинеске сервере. Компаније би због тога могле да спрече улаз спољних података у своје огранке у Кини или извуку локалне податке који се могу законски склонити из Кине због анализе, а да би очували њихову приватност.

Рачунарски факултет Рачунарски факултет 011-33-48-079