Empresas extranjeras en China podrían verse obligados a proporcionar el acceso a su código fuente a una agencia estatal
La nueva ley de seguridad cibernética de China (CSL) da la información a China al Centro de evaluación (CNITSEC) el poder legal para llevar a cabo "una revisión de seguridad nacional" de las empresas extranjeras que quieren activar en el mercado chino.De acuerdo con los artículos de la CSL, esto también incluye la facultad de solicitar el acceso a cualquier aplicación o el código fuente del servicio.
Las autoridades chinas dicen que esto es para proteger a los ciudadanos mediante la búsqueda en el código fuente de las empresas extranjeras de mecanismos secretos que recopilan datos sobre los usuarios chinos y la envían a servidores extranjeros.
CNITSEC esta vinculado al APT3
El problema es que un informe de Recorded Future han relacionado CNITSEC como el controlador de Boyusec, una empresa china vinculada a las actividades de APT3, una unidad de espionaje cibernético que fue responsable de la piratería empresas en Hong Kong y en los EE.UULos expertos creen que CNITSEC podría utilizar estos auditorías obligatoria de código fuente para recopilar información sobre las vulnerabilidades de las aplicaciones analizadas.
En informes anteriores, han detallado cómo las autoridades chinas utilizan las agencias estatales para emitir comandos generales y proporcionar apoyo a una red de terceros que realizan la piratería real en nombre del Estado chino y retroalimentar la información robada de nuevo en el sistema.
Estos datos luego se abre paso a las compañías chinas como parte de una máquina de espionaje industrial bien engrasada apoyado por el propio gobierno chino. Este mismo patrón de focalización y la difusión de datos robados también se detallan en una charla en la conferencia de seguridad Troopers 2017 por el experto infosec El Grugq.
Los expertos temen que las vulnerabilidades encontradas en las auditorías CNITSEC harían su camino por esta red compleja y, finalmente, ser utilizado en contra de las empresas extranjeras o de sus clientes.
Un informe del Financial Times publicada antes de la CSL entró en vigor reveló que muchas multinacionales comparten esos temores y se resistían a la nueva ley de China, por temor a que les dejaría vulnerable al espionaje industrial y dar a las empresas chinas una ventaja injusta.
Sin embargo, muchos de ellos no tienen una opción, como CSL creará una elección imposible para las empresas extranjeras, por lo que elegir entre dar su tecnología patentada para CNITSEC o ser empujado fuera del mercado chino de TI, que se espera que alcance $ 242 mil millones en 2018.
Rusia tiene una ley similar
En un informe de KPMG publicado en febrero de 2017 y en un informe de Recorded Future publicado el 31 de agosto, los expertos advierten que la nueva CSL contiene un lenguaje amplio que permite a las autoridades chinas para que se dirigen a los servicios de comida rápida, incluso, no necesariamente las empresas de TI.Leyes generales como el CSL hacen que sea difícil para las empresas extranjeras que confían en el gobierno chino.
En Rusia, donde el gobierno ha aprobado una ley similar, las compañías como Cisco, IBM y SAP han ya acordado para proporcionar el acceso del gobierno ruso a su código fuente.
Por ahora, las compañías como Microsoft, Intel, IBM y otros han empujado hacia atrás contra la nueva CSL y el gobierno chino el año pasado, pero sin éxito.
Lo más probable, que los gigantes de la tecnología no tendrán otra opción y, finalmente, tienen que cumplir si no quieren ser eliminados del mercado chino, al igual que el motor de búsqueda de Google fue expulsado hace unos años cuando se negó a cumplir con diversas peticiones de censura.
Fecha actualización el 2017-9-1. Fecha publicación el 2017-9-1. Categoría: China. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer