中国的数据安全格局
这篇文章讨论了外国公司在中国运营并保护其关键数据的选择。通常的假设是,一定有一种技术解决方案可以让外国公司在中国保护其私人技术数据。问题是技术性的,因此必须有技术解决方案。
技术乐观主义到此为止
这是一种不切实际的技术乐观主义症状。你几乎什么也做不了。你通过中国边境传输的任何形式的数据都会被共产党及其特工检查和使用。
你有三个选择。都不好。
那么该怎么办呢?您有三种基本选择。
1.确定您不希望中国共产党获取的技术数据。然后,无论如何都不要将这些数据传输到中国的任何地方。如果这意味着你不能在中国做生意,那就是这个意思。
2.投降,让中共拿走您的数据。
3.假设贵公司在中国的所有系统都受到了威胁。然后与你的网络安全顾问合作,在中国设计一个系统,该系统可以在每个人都知道系统被入侵的情况下工作。这就是在敌对环境中工作的人所使用的程序。这是间谍技术和战争时期战线后方行动的范畴。这些规避技术经常提供给在中国活动的持不同政见者和被压迫者。因此,逃避技术确实存在。
规避技术的问题
问题在于,这些技术假定了一个公开对抗的环境。使用这些技巧的人明白,如果逃避技巧被发现,惩罚就会随之而来。因此,实地管理人员和员工使用这种方法风险太大。因此,尽管这种方法在技术上是可行的,但应用这些技术通常是不切实际的。不过,一旦了解了问题所在,外国网络安全专业人员就有可能设计出可用的技术,并在中国这样一个受到威胁的环境中安全地应用。
这是对中国的三种可能回应。只要中国的网络安全体系由中国共产党掌控,在中国就无处藏身。每一个在中国开展业务的实体都必须坦诚评估在现有体系内开展工作所承担的风险。直接面对问题是无法逃避的。
为什么常见的替代方案行不通
想想为什么任何其他替代方案都行不通。例如,想象一下这样一种情况:在中国,一家实力雄厚的外国投资者向监管机构提出以下要求:
我们知道你想窃取我们位于中国的服务器上的数据。只有在你们向我们提供对网络安全系统的全面豁免的情况下,我们才会将数据传输到中国。我们将把数据存放在由我们自己的技术人员安装的服务器上。我们只使用经过恶意软件和后门检查的设备。我们将使用自己的加密技术,不会向您提供密钥。我们将通过自己的安全 VPN 进行通信,不受防火墙的任何控制。我们将使用自己的、基于国外的防病毒软件。我们的网络系统将使用最先进的服务器和操作系统软件。
我们知道这个系统不符合中国的网络安全、监视和控制系统。但是,允许我们使用在长城防火墙和网络安全系统之外运行的不合规系统,是中国为我们公司在中国境内运营或向中国转让任何技术所必须付出的代价。要么接受,要么放弃。
由于这一要求违反了中国的法律和政策,中国政府将予以拒绝。但为了讨论的目的,假设中国政府同意外国投资者按照上述要求运营。这仍然行不通,因为中国的制度迫使任何在中国开展业务的人进入一个不安全的环境,而一旦进入这个不安全的环境,任何网络安全系统都将失效。认为网络解决方案会提供一个藏身之处是一种危险的幻想。
中国的系统将所有个人和实体推向一个不安全的网络环境。中共的最终目标是在所有网络设备上安装恶意软件。这一计划的主要目标是智能手机。在今天的中国,没有智能手机,任何人都无法正常工作。日常生活和商业生活的方方面面几乎都需要智能手机应用程序。中国共产党及其特工深谙此道,据信他们已在中国制造或使用的所有智能手机上安装了恶意软件。
中国的恶意软件现实:无处不在
强制使用微信就是该系统如何运作的一个例子。我们的一些客户曾问我们,他们是否应该担心微信成为其系统感染恶意软件的媒介。这个问题忽略了问题的关键。微信就是恶意软件。如果您在系统中安装了微信,就等于安装了恶意软件。无需复杂的网络钓鱼活动。这是你自己做的。这是有原因的。不使用微信,任何公司都无法在中国开展业务。如果您在中国开展业务,或者在中国境外与中国公司和个人合作,您就无法逃避这一点。中国政府发布的几乎所有智能手机应用程序都是一种恶意软件。下面是一些例子。
1.在中国,学习习近平思想已成为必修课。我们党制作了一个智能手机应用程序来促进这种学习:"学习伟大祖国 "应用程序。在中国,几乎每个人都有这个应用程序。由于在党内和官僚机构中晋升需要使用该应用程序(而且使用情况受到监控),因此人们经常访问该应用程序。该应用程序不仅仅是一个教育工具,它还是一种恶意软件,可以进行信息收集、文件传输和保护、代码执行和后门、混淆隐藏功能以及与外部公司合作。一般的外国高管不会安装这款应用程序。但该外企高管办公室的党小组成员的手机上会有这个应用程序,几乎所有与她有业务往来的中国人的手机上都会有这个应用程序。要想避开该应用程序及其数据收集功能的覆盖范围,没有有效的办法。
2.作为冠状病毒控制项目的一部分,中国许多政府都开发了智能手机应用程序来监控自我隔离和其他措施。其中最著名的是杭州制作的应用程序,与 "大国 "应用程序一样,它也是一种恶意软件。日常生活中需要使用这款应用程序:进入小区、购买火车票和汽车票、进入商场。这个应用程序无法避免,毫无疑问,它至今仍在许多人的手机上。
3.甚至外国游客和其他来华外国游客也被迫进入中国的智能手机恶意软件系统。中国边检对每个入境者的智能手机进行检查已成为一项常规程序,尤其是在进入新疆和西藏等敏感地区时,检查更为彻底。作为检查程序的一部分,边检人员现在通常会在这些智能手机上安装跟踪恶意软件,游客不得选择不安装,因为 遵守规定是入境的条件之一。这一程序展示了中国网络安全系统的运作方式。第一步,警方强制检查。第二步,警察拿走他们想拿走的任何数据。第三步,警方留下跟踪恶意软件,使中国政府及其青睐的公司可以永久访问网络设备。这正是中共及其特工在 "检查 "办公室计算机网络和异地云系统时的做法。检查是插入恶意软件的掩护。植入恶意软件是首要目标。
软件才是真正的威胁
中国的所有网络系统都受到同样的对待:智能手机、计算机网络、云系统。中共的目标是将这些网络的所有用户推入一个不安全的环境。我们的许多读者都表达了对使用中国硬件的担忧。他们认为只要使用自己认证的硬件设备,就能摆脱中国的数据监控。但硬件并不是问题所在。问题在于软件。党及其代理人会允许你使用自己选择的硬件。网络安全系统之所以对中国如此有效,是因为它把自己的系统强加给了你,迫使你进入一个被破坏的、不安全的软件环境。如果你在中国或与中国打交道,你就是中国监控系统的一部分。
对中国来说,你的硬件并不重要,尽管许多中国制造的硬件(见华为的 5G 系统)确实是为监控中国以外的情况而开发的。华为试图参与在英国推出 5G 网络的持续传奇就说明了这一点。尽管华为在英国面临着处理安全问题的巨大压力,但英国华为监督委员会发现华为的系统未能达到最低安全标准。失败的原因与华为硬件无关。安全问题与软件组件有关。"发现了不良编码实践的持续证据,包括华为继续不遵守其内部安全编码准则的证据"。报告发现固定接入产品中存在 "面向用户的关键漏洞",原因是 "代码质量特别差 "和使用了旧的操作系统。
这与中国不安全系统的运作方式如出一辙:用户被迫使用政府授权的拙劣软件和过时的操作系统。即使在向疑心很重的外国政府推销产品时,华为也无法摆脱中国网络安全制度的基本结构,因为它在中国的销售需要以这种方式运作。这就是中共监控优先于收入的制度特点。我最担心的问题之一是,物联网设备,如智能灯、智能恒温器和其他销售给美国消费者的类似产品也会受到类似的威胁。
您能做什么?您能做些什么?
在没有切实可行的办法保护跨越中国边境的网络数据的情况下,我们能做些什么呢?中国网络安全系统的设计目的是让中共及其代理人可以访问任何类型的所有网络。这种访问包括收集和使用在中国境内运行的每个网络上的所有数据。对于外商投资企业来说,这意味着可以访问和使用所有跨越中国边境的技术数据。
至于能做什么,答案是你需要了解中国的现实。不要自欺欺人,以为可以战胜中国无孔不入的网络安全系统。从这个意义上说,答案非常简单:如果有不想让中国共产党看到的数据,就不要把这些数据发送到中国。
多年来,外国投资者一直在努力寻找中国制度的 "变通办法"。但这是不可能的。中国没有漏洞。没有藏身之处。
