Il testo, chiamato “Public Internet Cybersecurity Threat Monitoring and Mitigation Measures”, prevede che ogni impresa operante nella nazione asiatica riporti e fornisca a Pechino tutte le informazioni in suo possesso sulle cyber minacce.
In particolare al ministero dell’Industria e della Information Technology (MIIT). Le aziende cinesi o internazionale sono tenute a fornire al MIIT tutte le informazioni sugli attacchi cibernetici subiti e sulla cyber threat intelligence di cui dispongono. In caso ciò non venga fatto, sono previste pesanti sanzioni amministrative.
Cosa stabilisce la nuova legge, compendio della cybersecurity law dello scorso giugno
La legge cinese stabilisce che “ una volta scoperte cyber minacce da parte di organizzazioni professionali rilevanti, aziende delle telecomunicazioni, della sicurezza informatica” e altre, queste devono essere inviate al MIIT, alle autorità per le comunicazioni provinciali, regionali e municipali”. Peraltro, “in tempi appropriati e nel rispetto del contenuto, indicatori e formato delle leggi del settore”. I dati verranno inserito in un “cyber threat database” nazionale della Cina. Questo è gestito parzialmente dal Chinese Computer Emergency Response Technical Team/Coordination Center (CN-CERT). Non è chiaro, però, che uso Pechino farà delle informazioni provenienti dalle imprese locali e straniere. Se un’azienda non invierà al MIIT le informazioni sono previsti provvedimenti punitivi. Nel nuovo testo sulla sicurezza informatica si legge che “i dipartimenti delle telecomunicazioni dovranno organizzare audizioni, mandati di avvertimento, multe e altre sanzioni amministrative”.
Gli analisti della sicurezza informatica sono divisi. Alcuni pensano che Pechino rafforzi la cyber defence e altri che voglia più controllo sui big del web e IT nel paese
Il nuovo provvedimento della Cina, un compendio alla cybersecurity law pubblicata lo scorso giugno, divide gli analisti della sicurezza informatica. Questi essenzialmente hanno due tesi. La prima secondo cui Pechino sta esclusivamente incrementando le difese delle sue infrastrutture critiche verso possibili cyber attacchi su vasta scala, sfruttando le informazioni (gli intel) provenienti anche e soprattutto dalle aziende straniere. La seconda, invece, ipotizza che questa sia una nuova mossa della Repubblica Popolare per esercitare maggiore controllo sulle imprese estere. In particolare su colossi internet e IT come Facebook, Apple, Microsoft, Cisco e Google, che operano nella nazione asiatica. L’obbligo di comunicare cyber incidenti sarebbe, infatti, uno strumento di pressione contro i Big, sempre molto gelosi dei loro dati.