China endurece responsabilidade de segurança cibernética de operadores de dados de missão crítica

A PRC Cyberspace Administration (CAC) introduziu novas regras de segurança de dados para organizações que mantêm informações críticas.

Fonte: freepik.com

O documento afirma que os ataques cibernéticos se tornaram muito comuns agora e as questões de segurança cibernética estão ganhando importância especial. A este respeito, o departamento introduziu novas responsabilidades para os operadores de tais recursos de informação. De acordo com o documento, a infraestrutura de informação crítica inclui qualquer sistema que possa sofrer danos significativos como resultado de um ataque cibernético e / ou sofrer um ataque que possa prejudicar a sociedade ou a segurança nacional.

As novas regras estipulam que todas as empresas chinesas que dependem de recursos de rede devem realizar auditorias de segurança anuais, relatar violações aos departamentos governamentais e ter uma equipe para monitorar a segurança constantemente. Esse pessoal deve ter planos de contingência e conduzir exercícios regulares no devido tempo. Quando ataques cibernéticos são detectados, as organizações são obrigadas a denunciá-los imediatamente às autoridades.

O estado, afirma o documento, reserva-se o direito de alterar unilateralmente as regras de identificação, respostas a ataques cibernéticos, bem como a responsabilidade legal e sanções para os culpados de negligência. No entanto, nenhuma recomendação técnica específica é fornecida.

Medidas semelhantes estão agora sendo introduzidas em muitos países. Nos Estados Unidos, foi elaborado um projeto de lei segundo o qual todos os departamentos federais, contratantes do governo e proprietários de recursos de infraestrutura de informação crítica são obrigados a relatar os fatos dos ataques cibernéticos à Agência de Proteção e Segurança Cibernética dos Estados Unidos no prazo de um dia após sua ocorrência. Indivíduos que relatam tais incidentes recebem imunidade limitada de ação legal.