China: Actualización de la ley de ciberseguridad permite a las agencias estatales hacer pruebas de pentesting a las empresas locales

En noviembre del año pasado se realizó una modificación a la ley de Ciberseguridad en China, y con eso cambiaron algunas reglas del juego. Ahora las agencias estatales tienen autoridad legal para realizar pruebas de Pentesting de forma remota a cualquier negocio relacionado con internet que opere en China.  Además, las entidades estatales podrán copiar […]

En noviembre del año pasado se realizó una modificación a la ley de Ciberseguridad en China, y con eso cambiaron algunas reglas del juego. Ahora las agencias estatales tienen autoridad legal para realizar pruebas de Pentesting de forma remota a cualquier negocio relacionado con internet que opere en China. 

Además, las entidades estatales podrán copiar y compartir cualquier información que los funcionarios gubernamentales encuentren en los sistemas inspeccionados.

La entidad gubernamental encargada de realizar las pruebas de penetración es el Ministerio de Seguridad Pública -son los mismos que aún mantienen el gran firewall y tienen a cargo el sistema nacional de reconocimiento facial y red de cámaras de vigilancia-.

”Cualquier empresa que proporcione un servicio relacionado con Internet y que tenga más de cinco computadores conectados a la red es susceptible a estas inspecciones”, agregan desde el gobierno Chino.

En concreto, las facultades que tiene ahora la MSP son: 

·Revisar si las empresas tienen contenido catalogado como prohibido dentro la frontera china.

·Revisar los planes de seguridad que tiene la empresa en cuestión durante las inspecciones in situ.

·Copiar cualquier información encontrada en los sistemas inspeccionados durante las revisiones in situ o remotas.

·Realizar pentestings para revisar y comprobar vulnerabilidades.

·Realizar inspecciones remotas sin previo aviso.

·Compartir cualquier dato obtenido con otras entidades estatales.

·Dos miembros de la Policía Armada Popular podrán estar presentes durante la revisión in situ para hacer cumplir los procedimientos.

Esta es una actualización a la polémica ley de Ciberseguridad China promulgada hace dos años, la cual ya era bastante intrusiva. 

Varios expertos -occidentales- reaccionaron frente a esta actualización con temor sobre lo que el gobierno chino pudiese hacer, específicamente con la recolección de datos, y sobre lo vaga que es la ley y los poderes que le otorga a las agencias estatales.