Китайские законы по локализации данных могут повредить облачной безопасности

Азиатская Ассоциация Облачных Вычислений (Asia Cloud Computing Association, АССА) опубликовала в мае отчёт о руководящих принципах государственных закупок, в котором утверждается, что локализация данных, которую закон требует от облачных операторов в Китае, «ослабляет безопасность данных в целом».

АССА это торговая организация, которая представляет интересы облачной индустрии в Азии. Авторы доклада — руководители и эксперты в области государственной политики, работающие с крупнейшими игроками азиатского облачного рынка, включая Amazon Web Services (AWS), Google, Microsoft, Equinix и Salesforce.

При том, эти компании имеют относительно небольшой объём рынка облачных вычислений в Китае. По данным американской компании по анализу рынка International Data Corporation, в 2018 году Microsoft занимала 5% рынка программного обеспечения в качестве рынка услуг, Salesforce — 4%, а AWS — 6% инфраструктуры рынка услуг.

— Китай — и другие экономики — ввели политику локализации данных, обосновав это различными причинами, — заявила TechNode Лим Мэй-Энн, исполнительный директор ACCA. — Они приводят в качестве обоснований такие доводы как защита данных и облачная безопасность», — говорит она. Лим также считает, что локализация данных не является лучшим способом решения этих проблем.

MLPS (多层保护计划, многоуровневый план защиты) — положение, в котором изложены требования по безопасности для различных типов данных — требует, чтобы все сетевые операторы, желающие предоставлять облачные услуги в Китае, хранили данные на оборудовании, расположенном в Китае. На перемещение данных за границу нет абсолютного запрета, но передачи «важных» данных китайское законодательство требует проведения оценки безопасности. Закон определяет «важные» данные, как те, которые имеют решающее значение для национальной безопасности или персональные данные, с помощью которых возможно идентифицировать китайских граждан.

АССА рекомендует «руководящим органам не требовать локализации данных по соображениям безопасности», утверждая, что физическое расположение данных не способствует их защищённости от кибератак. В докладе утверждается, что локальное хранение важных данных может привести к ослаблению безопасности.

Локальное хранение делает центры обработки золотой жилой для хакерских атак, говорят авторы. Более гибкие режимы хранения позволят компаниям внедрять защиту с постоянной сменой целей, такие как «Мельбурнская перестановка», целью которой является сокрытие шаблонов, возникающих при облачных данных путём их перегруппировки между центрами обработки данных в разных местах.

В докладе также утверждается, что снижение конкуренции между IT-компаниями по всему миру «снизит стимулы» для обеспечения безопасности инфраструктуры и сделает лучшие в своём классе решения кибербезопасности менее доступными.

В докладе говорится, что место хранения данных не так важно, как способ их хранения, и что политика, которая накладывает ограничения на местоположение данных, может отвлечь ресурсы от создания более эффективной защиты от хакеров.

Кевин Цзи, старший директор по исследованиям в международной исследовательской и консультативной фирме Gartner, заявил, что целью Китая является не локализация, а суверенитет данных. Китай стремится к абсолютному контролю над данными, генерируемыми внутри его границ; локализация сохраняет эти данные в пределах китайской юрисдикции, но не является абсолютной мерой.

— Многие компании обеспокоены китайскими правилами передачи персональных данных, — утверждает Цзи. — Однако передача метаданных о физических лицах является законной, если это не непосредственные данные, которые могут быть связаны с личностью гражданина Китая. Если вы хотите выполнить анализ данных о личной информации, а затем переместить [метаданные] за пределы Китая, всё в порядке, — говорит Цзи.

Лишь только физический размер Китая оправдывает хранение данных внутри страны, говорит Цзи: «Если компании используют глобальные сайты, задержка будет неприемлемой». Китай настолько велик, что хранение данных за рубежом вызовет серьёзные задержки в передаче сигнала между сервером и арендуемым облаком.

— Проблема больше не техническая, речь идет о соответствии, — утверждает Цзи, имея в виду различные законы о локализации и суверенитете, принятые по всему миру, такие как общеевропейский GDPR (General Data Protection Regulation). Облачные провайдеры теперь должны разбираться в том, как их данные классифицируются в соответствии с местными законами, и защищать их в соответствии с требованиями различных правовых систем, многие из которых требуют локализации. По этой причине «суверенитет данных оказывает негативное влияние на глобализацию», — говорит Цзи.