Китай непреднамеренно создал частную армию хакеров, которые помогают ему обнаруживать уязвимости в зарубежных компьютерных сетях благодаря закону о кибербезопасности, который обязывает сначала информировать китайское правительство.
В июле 2021 года надзорный орган Китая за киберпространством, его министерство общественной безопасности и министерство промышленности совместно опубликовали Правила управления уязвимостями в безопасности сетевых продуктов, которые заставляют китайские компании сообщать о лазейках в их программном обеспечении или продуктах, которые они используют, в течение 48 часов после обнаружения.
Согласно этому правилу, китайские государственные учреждения выплачивают вознаграждения за обнаружение уязвимостей в программном обеспечении кибербезопасности, которое часто используется иностранными правительствами, что может быть новой скрытой формой поддерживаемой государством кибервойны. В то же время, Китай продвигает молодых инженеров по кибербезопасности, удваивая свои усилия по зондированию иностранных систем на предмет областей, которые китайское правительство может использовать.
Новый закон эффективно изменил ландшафт сетевой безопасности в Интернете в Китае, по словам аналитика по кибербезопасности Дакоты Кэри, которая на прошлой неделе рассказала в подкасте Record, который ведет компания по кибербезопасности Recorded Futures, — что любой бизнес, работающий в пределах его границ, должен сообщать правительству об ошибках в кодировании, прежде чем предпринимать какие—либо дальнейшие шаги по устранению уязвимости или делать ее известной общественности.
Кэри, который является нерезидентом аналитического центра Global China Hub Атлантического совета, считает, что это требование способствовало как сотрудничеству, так и конкуренции между агентствами, что привело к попыткам превзойти друг друга. По его словам, в результате очевидного перехода от прежнего добровольного раскрытия информации к китайскому надзорному органу в киберпространстве или его разведывательным службам, теперь существует соперничество в структуре баз данных уязвимостей.
“Уязвимость” – это лазейка в письменном коде программного обеспечения или веб-сайта, которая может позволить хакеру получить удаленный доступ к компьютерной системе. Крупные технологические гиганты, такие как Google и Facebook, платят так называемым “белым шляпам”, или добросовестным хакерам, за поиск этих точек, которые потенциально могут подорвать деятельность компаний-разработчиков программного обеспечения.
По словам Кэри, до вступления в силу закона 2021 года китайские исследователи были активными участниками глобальной экосистемы безопасности программного обеспечения. Они сотрудничали с такими компаниями, как Microsoft и Apple, посредством программ по исправлению ошибок и способствовали выявлению и устранению уязвимостей программного обеспечения.
Но ужесточение законодательства о кибербезопасности поставило китайское правительство в авангарде этого процесса, отражая более широкую стратегию Пекина по централизации контроля над записями о кибербезопасности и другими типами данных информационных технологий.
Группа хакеров в Белых шляпах
Участники используют портативные компьютеры на конкурсе Seccon 2016 по кибербезопасности, который состоится 28 января 2017 года в Токио, Япония. Китай создал частную армию хакеров для проверки веб-сайтов иностранных правительств на предмет уязвимостей. Томохиро Охсуми / Новости Getty Images /WireImage
Растущая индустрия кибербезопасности Китая означает, что Пекин также должен защищать свои собственные системы от нападений со стороны иностранных правительств. Но последствия его правового подхода многогранны. Китайские “белые шляпы”, способные выявлять системные уязвимости, также могут быть направлены в зарубежные сети, что превращает их в частную армию хакеров, служащих двойной цели.
Подпишитесь на ежедневные заголовки Newsweek
В 2021 году в Китае было более 170 000 белых шляп, большинство из которых составляли молодые люди, родившиеся в период с 1990 по 2009 год, согласно исследованию, проведенному китайским форумом FreeBuf по кибербезопасности и компаниями по интернет-безопасности 360 и QAX.
Кэри сообщил The Record, что базы данных уязвимостей министерства промышленности Китая и компаний, обслуживающих Народно-освободительную армию и спецслужбы страны, значительно пересекаются.
Ван Ци, генеральный директор DarkNavy, независимого исследовательского института в области кибербезопасности, сказал шанхайскому новостному сайту Sixth Tone на этой неделе, что уязвимости в программном обеспечении существуют независимо от хакеров, но именно акт обнаружения может привести к их устранению.
Растущая ценность цифровой индустрии увеличила стоимость безопасности, сообщил веб-сайту Вэй Тао, главный специалист по кибербезопасности Ant Group, аффилированной с Alibaba. Ван сказал, что недостаточные инвестиции в хакерскую индустрию могут привести к ее негативному использованию и неизбежному возникновению вредоносных инцидентов.
“В настоящее время конкуренция за таланты жестокая. В Китае на каждые 100 инженеров-исследователей и разработчиков приходится менее 0,5 инженеров по безопасности. Если традиционный сектор безопасности не сможет поглотить этих талантов, некоторые из которых все еще студенты, они окажутся в черной и серой индустрии. Это ужасно “, – цитировали слова Вэя.
Author: admin
Related Posts
Измерение мозга: Сегментация и факторы роста глобального рынка нейронаук. Отчет
Анализ угроз: Отчет Avast за первый квартал 2024 года
