Правительство Китая хочет контролировать каждую уязвимость

Исследовательский документ Атлантического совета подробно описал китайский закон, требующий организации сообщать об уязвимостях не только поставщикам, но и правительству Китая.

Положения об управлении уязвимостями безопасности сетевых продуктов (RMSV) требуют, чтобы китайские поставщики сетевых продуктов уведомляли Министерство промышленности и информационных технологий страны (MIIT) об уязвимостях, обнаруженных в «сетевых продуктах», в течение нескольких дней после сообщения о них поставщику.

Учитывая, что правительственные учреждения собирают уязвимости для злонамеренного использования, новый закон вызывает опасения в сообществе из-за влияния на международные исследования в области кибербезопасности.

Закон подразумевает, что:

• Информация об уязвимостях в MIIT дойдет значительно раньше стандартных для отрасли сроков;
• Возникнет «сдерживающий эффект для будущего скоординированного раскрытия информации».

Данные от технологических гигантов (Apple, Microsoft, VMWare, RedHat и F5), обсуждаемые в документе, показывают, что RMSV еще не оказал существенного влияния на раскрытие информации об уязвимостях. Возможным исключением здесь является Microsoft: в 2020 году количество уязвимостей, о которых сообщили китайские исследователи, резко упало с 59 до 11, и с тех пор они колеблются каждый месяц.

Атлантический совет — американская неправительственная организация, основанная в 1961 году при НАТО для того, чтобы усилить сотрудничество между США и европейскими странами. В 2019 году Минюст признал Атлантический совет нежелательной в России организацией.