Исраил 95REG (israil_95reg) wrote,
Исраил 95REG
israil_95reg

Categories:

Дебаты о шифровании в Китае: обновление 2021 г

Китайская политика шифрования определяется двумя конкурирующими интересами - политическим контролем и коммерческим развитием. Пекин требует, чтобы коммерческие компании поддерживали бэкдоры (back door) или депонирование ключей, чтобы сохранить доступ правительства к данным в целях общественной безопасности и сбора разведывательной информации, что препятствует широкому распространению коммерческого шифрования. Он также давно требует, чтобы индустрия шифрования уделяла приоритетное внимание развитию безопасного и контролируемого шифрования, что препятствует развитию отрасли. В то же время китайские официальные лица все чаще рассматривают шифрование как неотъемлемую часть развития цифровой экономики Китая, особенно технологий блокчейн (block chain), и как средство устранения растущей осведомленности китайских пользователей об уязвимости их личных данных. Хотя акцент Пекина на контроле продолжает мотивировать политику страны



Этот сдвиг произошел по мере того, как торговая война между США и Китаем превращается в более крупную технологическую борьбу, в которой техно-националистические амбиции Китая противопоставляются американскому контролю над критически важными технологиями. Внесение Huawei в черный список в 2019 г сигнализирует о новой готовности Вашингтона ограничить поставку критически важных компонентов, чтобы ограничить усилия Китая по национализации, особенно оборудования для производства полупроводников и средств проектирования полупроводниковой электроники. В ответ Китай удвоил свою цель по созданию саморазвивающихся, контролируемых цепочек поставок ИКТ. Четырнадцатый пятилетний план (2021–2025 гг.) Сосредоточен на стратегии двойного обращения, в которой особое внимание уделяется внутренним инновациям и технологической автономии наряду с ростом внутреннего потребления.

Эти усилия, конечно, не новы, а шифрование уже давно является испытательным полигоном и одним из первых направлений китайских усилий по национализации. В прошлом иностранные правительства и фирмы жаловались на использование национальных стандартов и сертификатов, разработанных с целью повышения конкурентоспособности отечественных компаний. Например, с помощью схемы многоуровневой защиты китайские власти ввели обязательные внутренние требования в отношении интеллектуальной собственности в определенных секторах. Кроме того, агентства настаивали на обязательном внедрении WAPI, ZUC и других стандартов шифрования иностранными фирмами, чтобы стимулировать более широкое использование китайских стандартов шифрования.

Тем не менее, на этом фоне недавнее обращение Китая с шифрованием противоречит тенденции местных инноваций. Вместо того, чтобы усилить понимание шифрования как инструмента техно-националистической повестки дня, Пекин значительно либерализовал использование коммерческой криптографии, ослабив ограничения для иностранных компаний и ослабив регулирование коммерческого шифрования. Кроме того, перед лицом все более вездесущей системы наблюдения, которая еще больше расширилась и расширилась по мере того, как правительство приступило к мониторингу развития и передачи COVID-19, китайские официальные лица, похоже, готовы потребовать от компаний шифрования определенных типов конфиденциальных данных. например, личная информация и финансовые транзакции, что может затруднить государственный доступ и мониторинг.

Краеугольным камнем этого стремления к либерализации стандартов и использования коммерческой криптографии является Закон Китая о шифровании, вступивший в силу в январе 2020 г. В качестве первого закона страны, всесторонне регулирующего технологии, продукты и услуги шифрования, Закон о шифровании заменил двадцатилетнюю лоскутную одежду регулирования шифрования, которая исключила иностранное шифрование и строго регулировала все шифровальные продукты, разработанные, используемые и продаваемые в Китае как государственные секреты. Этот режим регулирования составлял основу исключающей промышленной политики, направленной на то, чтобы "держать иностранные компании в страхе", пока Китай выстраивал внутренние альтернативы. Правительство дополнило регуляторные усилия централизованными инициативами по принятию национальных стандартов шифрования в качестве международных - толчок, который привел к нескольким неудачным и средним успехам.

По крайней мере, первоначально, еще до того, как они увидели какую-либо формулировку, транснациональные компании и внешние наблюдатели ожидали, что Закон о шифровании еще больше исключит иностранное шифрование. Возникающий в Китае режим кибербезопасности в значительной степени исключил иностранные компании из процесса разработки политики, уменьшив их влияние и часто обременяя их регулированием, которое ставит их в невыгодное положение по сравнению с внутренними конкурентами. После выпуска первоначальный проект давал повод для беспокойства. В нем не упоминалось об исключении "второстепенной функции", которое позволило иностранному программному обеспечению и технологиям, в которых шифрование не является основной функцией, продолжать работать в Китае.

Однако, к удивлению многих, принятый Закон о шифровании ослабил контроль над коммерческим шифрованием, значительно изменив предыдущие меры контроля в пользу открытости. В отличие от предыдущего режима шифрования, Закон о шифровании направлен на развитие отечественной индустрии с иностранным участием и поощрение внутреннего внедрения шифрования. Закон отделяет коммерческое шифрование от шифрования, используемого для защиты государственной тайны или защиты критически важной информационной инфраструктуры, смягчая многие из требований, предъявляемых к первым, включая обязательную проверку и тестирование. Что наиболее важно, это означает, что иностранные фирмы могут впервые выйти на рынок и продавать свои продукты для шифрования. Эти шаги в сторону открытости подкрепляют формулировка закона, предписывающая должностным лицам следовать принципу не дискриминации и поощрять сотрудничество и иностранные инвестиции.

За этой либерализацией одного из наиболее ограниченных технологических секторов Китая, по-видимому, стоит стратегический расчет, согласно которому государственная политика развития и исключительная промышленная политика утратили свою полезность в коммерческом шифровании. Китайские официальные лица теперь видят большую роль шифрования в поддержке будущего развития и безопасности цифровой экономики Китая. Государственное управление криптографии страны, например, провозгласило шифрование стратегическим ресурсом. Высшее руководство страны не только хочет повысить надежность китайских цифровых продуктов на экспортных рынках, но и проявило интерес к использованию технологии block chain, зайдя так далеко, что в прошлом году провело заседание Политбюро специально для изучения этой технологии. Страна по-прежнему отстает в разработке передовых технологий шифрования, необходимых для новых приложений, включая block chain и квантовую криптографию. По мнению китайских официальных лиц, дальнейшее развитие этих передовых приложений потребует открытости для иностранного сотрудничества и конкуренции. Китай не может быть лидером в области block chain без индустрии шифрования мирового уровня, чего в стране сейчас не хватает. Короче говоря, Пекину понадобятся как конкурентоспособные отечественные фирмы, так и иностранные технологические игроки.

Похоже, что среди некоторых официальных лиц также существует консенсус в отношении того, что чрезмерное регулирование шифрования препятствует принятию шифрования как элементарной кибербезопасности. В этом отношении сокращение регулирования должно стимулировать отрасль и стимулировать принятие. Должностные лица, похоже, готовы подкрепить это новыми правилами защиты данных, требующими от компаний шифрования определенных типов данных и сообщений. Проект Закона Китая о безопасности данных, который был опубликован для общественного обсуждения в августе 2020 г, включает положения об обязательных стандартах безопасности данных, а некоторые предварительные руководящие меры предполагают, что компаниям, обрабатывающим конфиденциальные данные, необходимо будет зашифровать свои данные.

Несмотря на шаги в пользу либерализации и более широкого внедрения шифрования, формирующаяся нормативно-правовая база действительно дает чиновникам пространство для маневра, и в будущем может произойти откат назад. Во-первых, есть значительные неясности в Законе о шифровании и в том, как он взаимодействует с существующей нормативной архитектурой Китая в области кибербезопасности, чтобы позволить должностным лицам сохранять запретительные практики прошлого, если они того пожелают. Например, в то время как иностранные производители шифрования теперь могут выйти на рынок коммерческого шифрования Китая, коммерческое шифрование, которое связано с национальной безопасностью или общественными интересами, требует разрешения на импорт; расплывчатый язык этого исключения может быть использован для фактического исключения фирм из широкого диапазона рынка.

Аналогичная двусмысленность сохраняется и в отношении интернет-операторов, многие из которых должны, по крайней мере, на бумаге, иметь большую свободу в том, как они шифруют свои услуги. Однако операторы могут подпадать под одну из двух схем повышенной безопасности - одну для критически важной информационной инфраструктуры, а другую, многоуровневую схему защиты, для компаний, работающих с конфиденциальной информацией. Обе схемы требуют проверки национальной безопасности для шифрования, и, что очевидно, ни одна из схем не имеет четко централизованно определенной области действия. Хотя Управление киберпространства Китая выпустило проект постановления о критически важной информационной инфраструктуре в 2017 г, оно до сих пор не доработано. Это означает, что компании, если сомневаются в своем статусе, будут проявлять осторожность и будут покупать зашифрованные продукты у местных фирм, которые прошли все необходимые процедуры безопасности.

Во-вторых, компаниям все равно придется выполнять правительственные запросы на доступ к данным, даже если киберрегуляторы страны постепенно вводят обязательное шифрование конфиденциальных данных и обмена данными. Категории данных, которые, вероятно, в конечном итоге потребуют шифрования, включают финансовые транзакции, биометрические характеристики, историю геолокации и такие формы личной информации, как раса, этническая принадлежность и история болезни. Это категории данных, которые правительство также заинтересовано в сборе для наблюдения и поддержания стабильности. Хотя Закон о шифровании не содержит четкого положения, требующего от компаний расшифровывать данные в целях безопасности и сбора разведывательных данных, Закон о кибербезопасности установил юридическое обязательство для интернет-операторов передавать данные по запросу. Это обязательство дополнительно усилено в проекте закона о безопасности данных, выпущенном в августе 2020 г. Это указывает на фундаментальную реальность управления данными на китайском рынке: в то время как правительство Китая работает над защитой пользователей от киберпреступников, частные лица и предприятия не могут иметь ожидание защиты своих данных от государства.

Либерализация политики шифрования сопровождается оговоркой о том, что ключ должен быть у правительства. Пекин хочет поощрять развитие возможностей шифрования для защиты китайских данных и коммуникаций от преступников и иностранных субъектов, обеспечивая при этом, что у китайского правительства есть ключи для расшифровки всего для собственного использования. Чтобы способствовать развитию внутреннего потенциала, который все еще отстает от западных стандартов, китайские официальные лица хотят поощрять иностранных новаторов и предприятия работать в Китае или сотрудничать с китайскими коллегами. Тем не менее, еще неизвестно, как настойчивое требование китайского правительства сохранить ключи ограничит интерес иностранных партнеров к сотрудничеству и замедлит ли это внутреннее развитие.
Tags: КНР, Кибербезопасность, Китай, Технологии, Шифрование
Subscribe

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 1 comment