В последние годы Китай активизировал свои усилия в области кибербезопасности, приняв закон, который обязывает технологические компании сообщать о найденных уязвимостях в программном обеспечении . Однако аналитический центр Atlantic Council (Атлантический совет) предупреждает : эта инициатива может иметь далеко идущие последствия для глобальной кибербезопасности.
Принятый в Китае в прошлом году закон предписывает компаниям и исследователям в области безопасности сообщать о любых обнаруженных уязвимостях в Министерство промышленности и информационных технологий в течение 48 часов. Затем данные интегрируются в Национальную базу данных уязвимостей, официально известную как CNCERT/CC.
Палка о двух концах
На первый взгляд кажется, что Китай просто укрепляет свои меры безопасности, стремясь защитить национальные информационные сети. Однако, как указывает Atlantic Council, неисправленные уязвимости могут стать мощным инструментом в руках правительственных хакеров для проведения кибершпионских операций.
Риски для мировой кибербезопасности
Соблюдение новых регулятивных требований со стороны технологических компаний создает риски не только для Китая, но и для всего мира. По сути, Национальная база данных уязвимостей (National Vulnerability Database, NVD) превращается в “золотой запас” эксплуатируемых уязвимостей, которые могут быть использованы для взлома систем и пользователей в разных странах.
Исследователи обнаружили, что CNCERT/CC предоставляет доступ к своим данным партнерам, которые, скорее всего, занимаются не устранением, а эксплуатацией уязвимостей. Среди них – Пекинское бюро Министерства государственной безопасности Китая, известный подрядчик Народно-освободительной армии Китая (НОАК) Beijing Topsec и исследовательский центр при Шанхайском университете Jiao Tong
Дилемма для иностранных компаний
Для иностранных компаний, работающих на территории Китая, закон создает сложную дилемму: либо соблюдать требования и рисковать компрометацией, либо покинуть китайский рынок. Некоторые компании уже приняли решение соблюдать закон, несмотря на риски для глобальной кибербезопасности.
Инициатива усиливает напряженность в отношениях между США и Китаем, особенно учитывая последние инциденты кибершпионажа. Например, в июле стало известно, что китайские хакеры взломали учетные записи электронной почты министра торговли Джины Раймондо и других чиновников госдепартамента и Министерства торговли.
В итоге, закон о кибербезопасности в Китае не только защищает, но и угрожает мировой безопасности, создавая новые векторы для кибератак и шпионажа на глобальном уровне.