कानून के अनुसार, चीन की कंपनियां - जिनमें विदेशी कंपनियां भी शामिल हैं - सिस्टम में कमजोरियों और कोड में त्रुटियों के बारे में तुरंत सरकारी एजेंसी को रिपोर्ट करने के लिए बाध्य हैं। हालाँकि, विशेषज्ञों ने चेतावनी दी है कि चीन राज्य-नियंत्रित हैकर्स का उपयोग करता है और कंपनियों के सिस्टम तक लगभग निर्बाध पहुंच हासिल करने के लिए कमजोरियों के बारे में जानकारी का उपयोग कर सकता है।
अटलांटिक काउंसिल थिंक टैंक ने नए चीनी विनियमन का विश्लेषण करते हुए एक रिपोर्ट प्रकाशित की है, जिसके तहत कंपनियों को 48 घंटों के भीतर सरकारी उद्योग और सूचना प्रौद्योगिकी मंत्रालय (एमआईआईटी) को सुरक्षा कमजोरियों और कोड में त्रुटियों की रिपोर्ट करने की आवश्यकता होती है। वहीं, विशेषज्ञों ने चेतावनी दी है कि चीन कई हैकर समूहों को नियंत्रित करता है और सूचनाओं का इस्तेमाल तुरंत हमलों के लिए कर सकता है। इसलिए रिपोर्ट का शीर्षक है "कैसे चीन सॉफ्टवेयर कमजोरियों को हथियार बना रहा है"। विश्लेषण में, थिंक टैंक के विशेषज्ञ यह भी मानते हैं कि शून्य-दिन की कमजोरियों का वर्तमान निरंतर स्रोत MIIT के चीनी डेटाबेस पर वापस जाता है।
MIIT डेटाबेस से कई नई शून्य-दिन की कमजोरियाँ?
चीनी नियम शोधकर्ताओं को पैच उपलब्ध होने से पहले कमजोरियों के बारे में जानकारी प्रकाशित करने से रोकते हैं, जब तक कि वे उत्पाद स्वामी और एमआईआईटी के साथ समन्वय नहीं करते हैं। इसके अलावा प्रूफ-ऑफ-कॉन्सेप्ट कोड प्रकाशित करने की भी अनुमति नहीं है जो दर्शाता है कि किसी भेद्यता का शोषण कैसे किया जाता है।
रिपोर्ट के अनुसार, 13वें एमएसएस ब्यूरो के बीजिंग कार्यालय की भेद्यता का खुलासा विशेष रूप से चिंताजनक है। विशेषज्ञ बताते हैं कि ब्यूरो ने पिछले बीस साल सॉफ्टवेयर कमजोरियों तक शीघ्र पहुंच हासिल करने में बिताए हैं।
आईसीएस की कमजोरियों को बमुश्किल ही साझा किया जा रहा है
मई 2021 के बाद से, CNVD डेटाबेस के अनुसार चीन में सार्वजनिक रूप से रिपोर्ट की गई ICS कमजोरियों में लगभग पूरी गिरावट आई है (छवि: स्लीट ऑफ हैंड, कैरी और डेल रोसो, अटलांटिक काउंसिल)।
रिपोर्ट में यह भी पाया गया कि आईसीएस (औद्योगिक नियंत्रण प्रणाली) क्षेत्र में रिपोर्ट की गई कई कमजोरियों के बारे में अब प्रभावित कंपनियों को सूचित नहीं किया जा रहा है। चीनी राज्य डेटाबेस ने मई 2021 के बाद से आईसीएस क्षेत्र में लगभग कोई कमजोरियां नहीं दिखाई हैं। इससे पहले, हर महीने 40 से 80 या अधिक कमजोरियाँ होती थीं। मई 2021 तक, वे अचानक 1 से 10 पर आ गए हैं। इसकी तुलना में, यूएस सीआईएसए के पास 100 से अधिक कमजोरियों की मासिक आईसीएस रिपोर्टें जारी हैं।
विशेषज्ञों का कहना है कि कई विदेशी कंपनियों को शायद यह भी पता नहीं होगा कि उनके चीनी कर्मचारी कमजोरियों की रिपोर्ट कर रहे हैं। आख़िरकार, यदि वे चीनी कानून को दरकिनार करते हैं तो उन्हें दंडित किया जा सकता है।
अटलांटिककाउंसिल.ओआरजी पर अधिक जानकारी