תדווחו על החולשות שלכם- מדיניות חדשה ומדאיגה כלפי חברות בסין
This post is also available in: 
English (אנגלית)
סין הורתה לאחרונה לכל חברות הטכנולוגיה הגבולות המדינה למסור כל מידע על חולשות שלא תוקנו במוצרי או מערכות החברה, מה שלדברי החוקרים בעל ערך רב עבור פעולות פריצה פוטנציאליות בחסות המדינה.
חוק זה נקרא "רגולציית ניהול חולשות אבטחת מוצרי רשת", והוא נועד ככל הנראה לשנות את האופן בו חברות וחוקרי אבטחה העובדים בסין מטפלים בגילויים של חולשות אבטחה במוצרי טכנולוגיה.
על פי Cybernews, חברות הפועלות בסין חייבות לדווח על חולשות תוכנה למשרד התעשייה וטכנולוגיית המידע בתוך 48 שעות מרגע הגילוי. יתר על כן, חוקרים לא יכולים לפרסם מידע על החולשות שהתגלו לפני שיש תיקון זמין, אלא אם כן בהסכמת בעלי המוצר והמשרד. לאחר מכן החולשות מתווספות ל-"מאגר החולשות הלאומי".
למרות האפשרות שלסין פשוט אכפת מאבטחת מידע ורוצה להגן על הרשתות במדינה, השארת פרצות לא מתוקנות יכולה לסייע רבות לפעולות פריצת סייבר בחסות המדינה.
בעצם, אם חברות טכנולוגיה יצייתו לתקנות וידווחו על נקודות התורפה שלהן לרשויות הסיניות לפני שיתקנו אותן, הסוכנים של בייג'ינג יוכלו לחדור למוצר ולמשתמשים שלו ברחבי העולם.
יתר על כן, החוקרים מצאו כי הדיווחים במאגר החולשות הלאומי זמינים ל"שותפים" שנראה כי הם מתאימים יותר לניצול נקודות תורפה מאשר לתיקונן, כמו הלשכה לביטחון המדינה של בייג'ינג, האחראית על פעולות תקיפה אגרסיביות בסייבר בחסות המדינה.
בעיקרו של דבר, חברות טכנולוגיה בסין נדרשות להחליט או לספק תיאורים רגישים של חולשותיהן לממשלה (שעלולה להשתמש במידע זה לצורך התקפה) או לעזוב את סין.
כל המצב הזה מצטרף למתח הנוכחי בין ארה"ב לסין בנושא ריגול סייבר ועלול לגרום להשלכות גיאו-פוליטיות חמורות. דוגמה למתח כזה היא הגילוי האחרון כי האקרים סינים השיגו מפתח קריפטוגרפי שאפשר למרגלים מבייג'ינג לגשת לחשבונות הדוא"ל של 25 ארגונים בארה"ב, כולל מחלקת המדינה ומשרד המסחר.
