Luật bảo mật dữ liệu mới của Bắc Kinh gây thêm rủi ro cho các công ty ngoại quốc

Các công ty ngoại quốc ở Trung Quốc hiện phải báo cáo về các lỗ hổng mạng cho các nhà chức trách dựa theo luật bảo mật dữ liệu mới. Các nhà phân tích cho hay điều này sẽ trợ giúp các tin tặc đang làm việc cho Trung Cộng trong việc tiến hành các cuộc tấn công mạng cho nhà cầm quyền này.

Luật này chính thức được đưa vào thực hiện hôm 01/09, nhằm mục đích giám sát dữ liệu trong các lĩnh vực chủ đạo. Theo Điều 29 của luật này, các công ty quốc tế tại nội địa Trung Quốc phải lập tức báo cáo tai nạn bảo mật dữ liệu của họ cho các nhà chức trách lẫn người dùng ngay khi các tai nạn đó được nhận dạng.

Cũng trong cùng ngày, một bộ luật địa phương của Trung Quốc đã có hiệu lực về việc quản lý các lỗ hổng bảo mật của sản phẩm mạng. Các quy tắc đó yêu cầu các nhà cung cấp dịch vụ phải báo cáo chi tiết cho các nhà chức trách trong vòng hai ngày, trong khi các tổ chức và các cá nhân ngoại quốc vẫn đang bị cấm truy cập.

Các nhà phân tích cho biết đây là một cách để Trung Cộng vũ khí hóa hiệu quả các lỗ hổng mạng.

Các lỗ hổng hệ thống mà các nhà phát triển không biết được gọi là lỗ hổng zero-day (những lỗ hổng bảo mật chưa được công bố hoặc chưa được khắc phục). Ông Vương Đông Lâm (Wang Donglin), cựu giám đốc công nghệ của một công ty Internet Trung Quốc, đã mô tả cách các loại lỗ hổng này có thể bị khai thác.

Ông Vương nói với The Epoch Times, “Với bản chất chuyên quyền của chế độ cộng sản Trung Quốc này, rất có thể họ sẽ biến những lỗ hổng đó thành vũ khí để tấn công các quốc gia khác một khi chúng rơi vào tay họ.”

Ông cho biết các lỗ hổng an ninh mạng đang tồn tại trong nhiều doanh nghiệp hoặc tổ chức khác nhau. Các lỗ hổng zero-day chưa được phát hiện còn có thể bị tin tặc lợi dụng để trục lợi. Ở Trung Quốc, hoạt động này còn được gọi là “ngành công nghiệp đen”, theo lời ông Vương.

Luật bảo mật dữ liệu này sẽ yêu cầu các lỗ hổng phải được báo cáo về cho Trung Cộng, bao gồm cả loại zero-day, việc chiếm được tài nguyên có thể là một điều “không cần động não” đối với các tin tặc của Trung Cộng, ông Vương cho biết. Ông nói thêm rằng mục tiêu có nhiều khả năng nhất trong làn sóng tấn công mạng tiềm năng đầu tiên sẽ là một số lượng lớn các máy chủ sử dụng công nghệ điện toán đám mây.

Ông Thẩm Bá Dương (Puma Shen), một trợ lý giáo sư tại trường Đại học Tội phạm học của Đại học Quốc gia Đài Bắc, nói với The Epoch Times rằng rủi ro sẽ không hề suy giảm khi áp dụng luật này.

Ông Thẩm nói: “Nhà cầm quyền này hiện đã tìm thấy một lý do chính đáng cho những hành động của mình – nhân danh việc bảo vệ an ninh mạng và quyền riêng tư. Nhưng chính phủ không có khả năng giải quyết các lỗ hổng.”

Nhìn chung, các doanh nghiệp không được yêu cầu phải chính thức báo cáo các vụ tấn công trừ khi họ là nhà cung cấp dịch vụ cho chính phủ. Ông Thẩm cho biết, với những nguồn lực sẵn có như vậy, Bộ Công an Trung Cộng thực sự có thể tiến hành các cuộc tấn công mạng với sự trợ giúp từ các tin tặc của họ.

Nhà quan sát Internet Cố Hà (Gu He) cho biết Trung Cộng đang sử dụng luật mới này để hợp pháp hóa việc thu thập thông tin từ các công ty nội địa và ngoại quốc.

Ông nói rằng: “Ở các quốc gia khác, các lỗ hổng zero-day được quản lý bởi các doanh nghiệp chứ không phải bởi các cơ quan quyền lực nhà nước.” Ông đặt câu hỏi làm cách nào một chính phủ có thể quản lý được các lỗ hổng mà doanh nghiệp có thể tự khắc phục? Nhà nước có quyền gì để can thiệp vào quyền tự do của doanh nghiệp?

Những người quan tâm nhất đến các lỗ hổng như vậy không ai khác chính là các tin tặc trên toàn cầu, ông Cố lưu ý, đồng thời cho biết tin tặc có thể sử dụng các lỗ hổng này để kiếm lời. Ông nói, “Vậy Trung Cộng lợi dụng lỗ hổng này để làm gì? Đó chính là để đánh cắp bí mật. Mục đích là không giống nhau.”

Ông Cố tin rằng luật mới này sẽ có một tác động rất lớn đến các công ty xuyên quốc gia ở Trung Quốc.