С 1 ноября в Китае начнут действовать новые нормы реагирования на кибератаки, в соответствии с которыми компании обязаны будут докладывать о серьёзных инцидентах в течение одного часа после их обнаружения, а в случае «особо крупных» происшествий — в течение 30 минут.
Это предусмотрено новым «Положением об управлении сообщениями о киберинцидентах», подготовленным Государственным управлением по делам киберпространства КНР (CAC). В документе содержатся наиболее жёсткие на сегодняшний день требования к скорости и полноте уведомлений о цифровых инцидентах.
Под действие правил подпадают владельцы, администраторы и операторы любых сетей на территории страны, от государственных учреждений до частных платформ и поставщиков инфраструктурных решений.
Нарушение сроков, подача неполной информации или попытка скрыть факт атаки будет рассматриваться как правонарушение, за которое могут последовать меры как в отношении компаний, так и лично ответственных сотрудников.
Для оценки инцидентов вводится четырёхуровневая система. В «особо крупную» категорию попадают случаи с утечкой стратегически важной информации, данных более 100 млн граждан, нарушениями в работе государственных или медийных сайтов сроком более суток, а также инциденты, повлекшие прямой экономический ущерб на сумму свыше 100 млн юаней.
Начальный доклад должен быть максимально подробным. В него должны входить — перечень затронутых систем, техническое описание атаки, предположительный вектор проникновения, масштаб ущерба, шаги по локализации, наличие уязвимостей, требуемую помощь от государственных структур, а также информацию о сумме выкупа в случае использования программ-вымогателей.
В течение месяца компания должна представить итоговый анализ с причинами инцидента, принятыми мерами и выводами о распределении ответственности.
Для подачи сообщений предусмотрено несколько каналов — горячая линия 12387, официальный сайт, WeChat, электронная почта и другие пути связи. Такой выбор устраняет возможность оправдываться отсутствием связи или техническими сбоями.
По сравнению с европейскими нормами, предусматривающими до 72 часов на уведомление о нарушении, китайский регламент предполагает мгновенную реакцию — система ориентирована на круглосуточный мониторинг и быструю внутреннюю координацию.
Принятие правил совпало с резонансной ситуацией в Шанхае, в частности, там подразделение Dior было оштрафовано за передачу пользовательских данных во Францию без шифрования, предварительной проверки и согласия клиентов.
Ещё по теме: