El viernes, el Ministerio de Industria y Tecnología de la Información de China (MIIT) dio a conocer sus propuestas iniciales detallando sus planes para abordar los eventos de seguridad de datos en el país mediante un sistema codificado por colores.
Este esfuerzo está diseñado para «mejorar la capacidad de respuesta integral ante incidentes de seguridad de datos, asegurar un control, mitigación y eliminación de peligros y pérdidas causadas por estos incidentes, proteger los derechos e intereses legítimos de individuos y organizaciones, y salvaguardar la seguridad nacional y los intereses públicos», según afirmó el departamento.
El documento, de 25 páginas, engloba todos los incidentes en los que se ha accedido ilegalmente a los datos, estos se han filtrado, destruido o manipulado, categorizándolos en cuatro niveles jerárquicos en función de su alcance y el grado del daño causado:
Rojo: Nivel I («especialmente significativo»), que se aplica a los cierres masivos, pérdidas sustanciales de la capacidad de procesamiento de negocios, interrupciones causadas por anomalías graves que duren más de 24 horas, eventos importantes de interferencia de radio que duren más de 24 horas, pérdidas económicas de 1 mil millones de yuanes o afectan a la información personal de más de 100 millones de personas o información personal sensible de más de 10 millones de personas.
Naranja: Nivel II («significativo»), que se aplica a cierres e interrupciones operativas que duran más de 12 horas, ocurrencias de interferencia de radio importantes que duran más de 12 horas, pérdidas económicas entre 100 millones de yuanes y 1 mil millones de yuanes o afectan a la información personal de más de 10 millones de personas o información personal sensible de más de 1 millón de personas.
Amarillo: Nivel III («grande»), que se aplica a interrupciones operativas que duran más de ocho horas, ocurrencias de interferencia de radio importantes que duran más de ochos horas, pérdidas económicas entre 50 millones de yuanes y 100 millones de yuanes o afectan a la información personal de más de 1 millón de personas o información personal sensible de más de 100,000 personas.
Azul: Nivel IV («general»), que se aplica a eventos menores que causan interrupciones operativas que duran menos de ocho horas, pérdidas económicas de menos de 50 millones de yuanes, o afectan a la información personal de menos de 1 millón de personas o información personal sensible de menos de 100,000 personas.
Las nuevas reglas también requieren que las empresas afectadas realicen una evaluación para determinar la gravedad del incidente, y si se considera grave, lo informen de inmediato al departamento de supervisión de la industria local sin omitir ni ocultar ningún hecho ni proporcionar información falsa.
«Si el departamento regulador de la industria local determina inicialmente que se trata de un incidente de seguridad de datos particularmente importante o importante, deberá informarlo a la Oficina de Mecanismos de acuerdo con los requisitos de ’10 minutos por teléfono y 30 minutos por escrito’ después de descubrir el incidente», establecen las normas propuestas.
En función del nivel de respuesta activado, Rojo o Naranja, se espera que la Oficina de Mecanismos informe al MIIT sobre el asunto. Las reglas propuestas están abiertas para comentarios públicos hasta el 15 de enero del 2024.
Este desarrollo ocurre después de que la compañía de videotelefonía y comunicaciones empresariales Zoom presentara un sistema de calificación de impacto de vulnerabilidades de código abierto (VISS) para «capturar objetivamente las características principales de impacto de las vulnerabilidades de software, hardware y firmware en relación con la infraestructura asociada, la pila tecnológica y la seguridad de los datos del cliente».
