С 1 ноября в Китае вступает в силу новый норматив по реагированию на цифровые инциденты — компании и госструктуры обязаны будут сообщать о кибератаках в течение 60 минут с момента их обнаружения, а в случаях, признанных критическими, отчёт потребуется уже через 30 минут. Такой порядок предусмотрен в «Положении об управлении сообщениями о киберинцидентах», утверждённом Государственным управлением по делам киберпространства КНР (CAC).
Новые требования признаны одними из самых жёстких в мире. Для сравнения, в странах ЕС и США установлены более мягкие рамки — до 72 часов с момента обнаружения инцидента. Китайская система же ориентирована на мгновенную реакцию и непрерывный мониторинг сетевой инфраструктуры.
Регламент обязателен для всех операторов сетей на территории страны — от министерств и госорганов до частных платформ, телеком-компаний и поставщиков цифровых решений. Под контроль попадают как ИТ-инфраструктура, так и каналы обмена данными. Несоблюдение сроков, скрытие атаки или неполные отчёты будут рассматриваться как административное нарушение. Ответственность понесут не только юридические лица, но и конкретные сотрудники.
В документе фиксируется четырёхуровневая градация инцидентов. Категория «особо крупных» охватывает случаи с утечкой данных более чем 100 млн человек, перерывами в работе критических государственных платформ свыше суток, вмешательством в стратегическую инфраструктуру или ущербом, превышающим 100 млн юаней.
Первая версия отчёта должна содержать полный перечень сведений: список пострадавших систем, описание характера атаки, путь проникновения, предварительную оценку ущерба, перечень уязвимостей, меры реагирования и локализации, а также данные об использовании программ‑вымогателей, если это имело место. Кроме того, необходимо указать, требуется ли техническая или иная поддержка от государственных органов.
Через месяц компания обязана предоставить итоговый доклад. В нём должно быть указано, как именно произошёл инцидент, что было сделано для его устранения, какие решения приняты по предотвращению повторения и кто несёт ответственность на уровне управления и техники.
Для подачи экстренных уведомлений предусмотрен целый ряд каналов — горячая линия 12387, веб-сайт CAC, приложения на базе WeChat, электронная почта и другие доступные средства. Такой набор вариантов исключает возможность сослаться на сбои связи или технические сложности, которые могли бы замедлить передачу информации.
Введение новых норм сопровождается громкими дисциплинарными делами. Одним из недавних стало наказание шанхайского подразделения Dior, которое, по информации регулятора, передало пользовательские данные во Францию без шифрования, проверки на соответствие требованиям и получения согласия клиентов.