A partire dal 1 dicembre la Cina comincerà ad applicare nuovi e più severi standard di sicurezza informatica, richiedendo alle aziende di aprire le loro reti e di distribuire esclusivamente apparecchiature approvate dal governo. Naturalmente, i cambiamenti preoccupano le organizzazioni internazionali e sottolineano la differenza tra gli approcci statunitensi e cinesi alla cybersecurity.
UN CONTROLLO PER TUTTI
La Cina ha già una legge che consente al governo di controllare le reti aziendali private e impone l’uso di apparecchiature di sicurezza approvate dal governo. Ma se prima le norme si applicavano solo ad alcune reti specifiche, quelle riguardanti la sicurezza nazionale, ora tali norme verranno applicate a tutte le reti indistintamente. “Sarà incredibilmente invasivo”, ha detto Adam Segal, direttore del Digital and Cyberspace Policy Program al Council on Foreign Relations secondo quanto riferito da Axios.
LEGGE SULLA CYBERSECURITY IN FASE DI LENTA INTRODUZIONE DAL 2017
La legge cinese sulla cybersecurity è in fase di lenta introduzione dal 2017. Nel maggio di quest’anno sono stati inseriti alcuni chiarimenti sugli standard che fungono da regolamenti de facto. Tra questi, sottolinea Axios, il diritto della Cina di collegarsi alle reti ed eseguire check sulla cybersecurity e i controlli sulla sicurezza delle catene di approvvigionamento per garantire la sicurezza delle reti.
UN ONERE IN PIÙ PER LE AZIENDE
Fino a dicembre, questi standard si applicano solo tecnicamente alle aziende in cui le violazioni potrebbero causare problemi di sicurezza nazionale, anche se i funzionari cinesi spesso impongono le normative alle aziende in anticipo rispetto alle date di lancio formale. “Ora gli standard sulla cybersecurity si applicheranno a qualsiasi azienda con una rete”, ha detto ad Axios Samm Sacks del think tank New America. Questo comporterà un onere per le aziende statunitensi a cui non sono abituate.
A RISCHIO I SEGRETI AZIENDALI?
Dato il record cinese di utilizzo di hacker per sottrarre proprietà intellettuali ai concorrenti globali, alcuni proprietari di rete si preoccupano – giustamente, dicono gli esperti – del fatto che permettere alla Cina di accedere ai loro dati mette a rischio i segreti aziendali. La Cina, ricorda Axios, ha un passato non molto nascosto di utilizzo di tutti i mezzi necessari per aiutare le imprese nazionali. E la rinnovata legge sulle cybersecurity potrebbe ora consentire di escludere alcune aziende dal mercato semplicemente per il mancato rispetto delle regole di cybersecurity.
LA CINA HA TANTI ALTRI MODI PER SOTTRARRE LA PROPRIETÀ INTELLETTUALE
Gli scenari peggiori a cui si può pensare parlando delle nuove normative cinesi potrebbero comunque non essere un problema nell’immediato, ha detto James Lewis, che attualmente dirige la cybersecurity presso il Centro per gli studi strategici internazionali e che in passato ha ricoperto diverse posizioni federali valutando e negoziando con la Cina. “La Cybersecurity Authority of China (CAC) insiste che non userà la legge per rubare informazioni private. E la Cina ha così tanti altri modi per sottrarre la proprietà intellettuale che probabilmente non ha bisogno di farlo”, ha detto Lewis ad Axios. Ma, ha aggiunto, come per tutte le cose Cina, se il partito dice al CAC di rubare i dati in futuro, lo farà.
IL PROBLEMA PIÙ IMMEDIATO PUÒ ESSERE IL COSTO DELLA COMPLIANCE
Il problema più immediato può essere il costo della compliance che può far diventare proibitivo per alcune aziende operare nel paese. “Se siete un’azienda piccola, ci si potrebbe pensare due volte prima di trasferirsi in Cina”, ha detto Segal. L’ampio conflitto commerciale tra Stati Uniti e Cina rende difficile per le aziende straniere protestare. Le società cinesi hanno un record di scarsa sicurezza informatica, ha detto Lewis. La legge più severa, almeno apparentemente, affronta un problema molto reale.
GLI USA IN SCIA?
Anche gli Stati Uniti affrontano questioni simili, ma le affrontano in modo diverso. Gli Stati Uniti operano utilizzando meno requisiti di sicurezza dall’alto verso il basso, scegliendo invece di enfatizzare i gruppi commerciali che stabiliscono standard di settore. Gli Stati Uniti sono molto più permissivi sulle reti a basso rischio, offrono maggiore autonomia agli amministratori di rete e generalmente utilizzano un bisturi dove la Cina utilizza una motosega. Una cosa che Stati Uniti e Cina hanno in comune: “In Cina, gli operatori di rete devono sottoporsi alle verifiche di sicurezza della ‘black box’. Ma non abbiamo idea di cosa ci vuole per passare”, ha detto Sacks. “Sto cominciando a vedere le stesse cose dall’amministrazione Trump”.
IL CASO KASPERSKY
Sacks parla del caso Kaspersky a cui gli Usa hanno vietato di operare: New York Times e Wall Street Journal hanno parlato, citando fonti anonime, dell’accusa a Kaspersky di sottrarre i segreti americani, compresi i file di un membro dello staff della NSA, dai propri server, e che il governo russo avrebbe poi avuto accesso ad essi.
Articoli correlati
Allarme Nasa sulla militarizzazione cinese dello spazio
Siete pronti per Miss AI?
Aurelia bis, ecco chi ha danneggiato lo Stato
Come e perché l’Ue va rivoluzionata. Il discorso integrale di Mario Draghi
