Згідно із законом, компанії в Китаї - в тому числі іноземні - зобов'язані негайно повідомляти про вразливості в системах і помилки в кодах в державну установу. Однак експерти попереджають, що Китай використовує контрольованих державою хакерів і може використати інформацію про вразливості, щоб отримати майже безперешкодний доступ до систем компаній.
Аналітичний центр Atlantic Council опублікував звіт, в якому аналізується нове китайське законодавство, яке вимагає від компаній повідомляти урядове Міністерство промисловості та інформаційних технологій (MIIT) про вразливості безпеки та помилки в коді протягом 48 годин. Водночас експерти попереджають, що Китай контролює кілька хакерських угруповань і може одразу використати інформацію для атак. Тому звіт має назву «Як Китай використовує вразливі місця програмного забезпечення». Під час аналізу експерти мозкового центру навіть припускають, що поточне постійне джерело вразливостей нульового дня сходить до китайської бази даних MIIT.
Багато нових уразливостей нульового дня в базі даних MIIT?
Китайські правила забороняють дослідникам публікувати інформацію про вразливості до того, як буде доступний патч, якщо вони не погодяться з власником продукту та MIIT. Також заборонено публікувати код підтвердження концепції, який показує, як використовується вразливість.
Згідно зі звітом, розкриття вразливості Пекінському офісу 13-го бюро MSS викликає особливе занепокоєння. Експерти відзначають, що останні двадцять років бюро витратило на отримання раннього доступу до вразливостей програмного забезпечення.
Практично не ділиться інформацією про вразливості ICS
Починаючи з травня 2021 року, згідно з базою даних CNVD, у Китаї спостерігається майже повне зниження загальнодоступних повідомлень про вразливості ICS (зображення: Sleight of Hand, Кері та Дель Россо, Atlantic Council).
У звіті також виявлено, що багато вразливостей, про які повідомляється в області ICS (Industrial Control System), більше не повідомляються постраждалим компаніям. Китайські державні бази даних майже не виявили вразливостей у сфері ICS з травня 2021 року. До цього щомісяця було від 40 до 80 і більше вразливостей. Станом на травень 2021 року вони раптово опинилися на рівні від 1 до 10. Для порівняння, CISA США продовжує отримувати щомісячні звіти ICS про понад 100 вразливостей.
Експерти зазначають, що багато іноземних компаній можуть навіть не знати, що їхні китайські співробітники повідомляють про вразливості. Зрештою, їх можуть покарати, якщо вони обходять китайське законодавство.
Більше на AtlanticCouncil.org