La Cina ha adottato un approccio innovativo per ottenere informazioni sulle vulnerabilità delle aziende tecnologiche: una legge che obbliga le aziende operanti nel paese a condividere tali informazioni con il governo. Questa legge, introdotta nel 2021, richiede che le aziende tecnologiche, una volta scoperta una falla nei loro prodotti, la segnalino entro due giorni al Ministero dell’Industria e delle Tecnologie dell’Informazione cinese. Queste informazioni vengono poi aggiunte a un database noto come Piattaforma di Condivisione delle Informazioni su Minacce e Vulnerabilità di Cybersecurity, spesso chiamato più semplicemente Database Nazionale delle Vulnerabilità.
Dettagli della legge e conseguenze
Secondo una recente indagine, alcune delle informazioni condivise con il governo cinese vengono poi trasmesse a hacker sponsorizzati dallo stato, offrendo indizi su nuovi modi per compromettere i loro stessi clienti. Il rapporto, rilasciato dal Consiglio Atlantico, evidenzia che le informazioni sulle vulnerabilità seguono un percorso complesso, venendo condivise con diverse entità governative, tra cui il CNCERT/CC, un’agenzia dedicata alla difesa delle reti cinesi.
Tuttavia, è stato scoperto che il CNCERT/CC condivide i suoi rapporti con “partner” tecnologici che includono organizzazioni cinesi focalizzate non sulla risoluzione delle vulnerabilità, ma sul loro sfruttamento. Tra questi partner figurano il bureau di Pechino del Ministero della Sicurezza dello Stato cinese, noto per aver condotto alcune delle più aggressive operazioni di hacking sponsorizzate dallo stato negli ultimi anni, e altre entità con una storia di collaborazione con le campagne di hacking dell’Esercito di Liberazione del Popolo Cinese.
Dilemma delle aziende e risposta delle aziende straniere
Gli autori del rapporto sostengono che la legge cinese mette le aziende con operazioni basate in Cina in una posizione impossibile: o abbandonano il mercato cinese o condividono descrizioni sensibili delle vulnerabilità nei prodotti dell’azienda con un governo che potrebbe utilizzare tali informazioni per operazioni di hacking offensive. Alcune aziende sembrano aver scelto la seconda opzione, come indicato da un documento del luglio 2022 che elenca membri del programma di condivisione delle informazioni sulle vulnerabilità che “hanno superato l’esame”, suggerendo che queste aziende abbiano rispettato la legge. Tra queste figurano sei aziende non cinesi: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact e Schneider Electric.
