Περίληψη άρθρου:
Ο νόμος της Κίνας που απαιτεί από τις εταιρείες τεχνολογίας να αποκαλύπτουν στην κινεζική κυβέρνηση τα ελαττώματα των προϊόντων τους που μπορούν να παραβιαστούν, ενδεχομένως δίνει ενδείξεις σε κρατικά υποστηριζόμενους χάκερ, σύμφωνα με έκθεση του Atlantic Council. Ο νόμος, που ψηφίστηκε το 2021, απαιτεί από τις εταιρείες να μοιράζονται πληροφορίες για ευπάθειες εντός δύο ημερών με το Υπουργείο Βιομηχανίας και Τεχνολογίας Πληροφοριών. Στη συνέχεια, οι πληροφορίες αυτές μοιράζονται με άλλους κυβερνητικούς φορείς, συμπεριλαμβανομένων των υπηρεσιών που είναι υπεύθυνες για επιθετικές επιχειρήσεις hacking. Ορισμένες ξένες επιχειρήσεις με έδρα την Κίνα φαίνεται να συμμορφώνονται με τον νόμο, παρέχοντας έμμεσα στις κινεζικές αρχές δυνητικά νέους τρόπους για να χακάρουν τους δικούς τους πελάτες. Ο νόμος φέρνει αυτές τις εταιρείες σε δύσκολη θέση: είτε να εγκαταλείψουν την Κίνα είτε να δώσουν ευαίσθητες πληροφορίες σχετικά με τα τρωτά σημεία των προϊόντων τους σε μια κυβέρνηση που μπορεί να τις χρησιμοποιήσει για επιθετική πειρατεία. Ορισμένες εταιρείες στον κατάλογο του Υπουργείου Βιομηχανίας και Τεχνολογίας Πληροφοριών με τις συμμορφούμενες εταιρείες αρνήθηκαν ότι δίνουν πληροφορίες σχετικά με μη επιδιορθωμένα τρωτά σημεία στις κινεζικές αρχές, ενώ άλλες υποστηρίζουν ότι παρέχουν μόνο ακίνδυνες πληροφορίες σχετικά με τα τρωτά σημεία ή τις μοιράζονται με άλλες κυβερνήσεις ή τους δικούς τους πελάτες ταυτόχρονα. Ωστόσο, ακόμη και οι βασικές πληροφορίες σχετικά με τα μη επιδιορθωμένα τρωτά σημεία θα μπορούσαν να αποτελέσουν "οδηγό" για τους επιθετικούς χάκερ της Κίνας, καθώς αναζητούν νέα τρωτά σημεία προς εκμετάλλευση. Εάν ο νόμος της Κίνας βοηθά όντως τους κρατικά υποστηριζόμενους χάκερ της να αποκτήσουν μεγαλύτερο οπλοστάσιο παραβιάσιμων ελαττωμάτων, αυτό θα μπορούσε να έχει σημαντικές γεωπολιτικές επιπτώσεις εν μέσω αυξανόμενων εντάσεων μεταξύ των ΗΠΑ και της Κίνας σχετικά με την κυβερνοκατασκοπεία και τις κυβερνοεπιθέσεις. Ο κινεζικός νόμος για την αποκάλυψη ευπαθειών προκαλεί ασάφεια μεταξύ των εταιρειών, με ορισμένες να επιδίδονται ενδεχομένως σε "κακόβουλη συμμόρφωση", μοιράζοντας μερικές ή παραπλανητικές πληροφορίες, σύμφωνα με το Atlantic Council. Η συμμόρφωση είναι δύσκολο να προσδιοριστεί λόγω των προσεκτικά διατυπωμένων απαντήσεων και οι εταιρείες ενδέχεται να μην μοιράζονται αρκετά συγκεκριμένα δεδομένα για άμεση χρήση από κρατικά υποστηριζόμενους χάκερ. Ωστόσο, ο νόμος εξακολουθεί να αποτελεί απειλή, καθώς η κινεζική κυβέρνηση έχει τη δύναμη να επιβάλει σοβαρές συνέπειες στις μη συμμορφούμενες εταιρείες. Το προσωπικό των ξένων εταιρειών που εδρεύει στην Κίνα μπορεί να συμμορφώνεται περισσότερο από ό,τι αντιλαμβάνονται τα στελέχη λόγω των περιορισμών στην επικοινωνία σχετικά με τις αλληλεπιδράσεις με την κυβέρνηση. Ο νόμος μπορεί επίσης να αυστηροποιηθεί στο μέλλον, οδηγώντας σε αυστηρότερη επιβολή.

Κύρια σημεία του άρθρου:

• Η Κίνα έχει θεσπίσει νόμο που απαιτεί από τις εταιρείες τεχνολογίας να μοιράζονται πληροφορίες σχετικά με ελαττώματα που μπορούν να παραβιαστούν στα προϊόντα τους με μια κινεζική κυβερνητική υπηρεσία εντός δύο ημερών. 
• Στη συνέχεια, οι πληροφορίες αυτές κοινοποιούνται σε άλλους κυβερνητικούς φορείς, συμπεριλαμβανομένων των Εθνικών Τεχνικών Ομάδων/Συντονιστικού Κέντρου Αντιμετώπισης Εκτάκτων Αναγκών Δικτύων Υπολογιστών της Κίνας, καθώς και σε οργανώσεις που ασχολούνται με την εκμετάλλευση ευπαθειών. 
• Οι εταιρείες με έδρα την Κίνα μπορεί να συμμορφώνονται με το νόμο, δίνοντας έμμεσα στις κινεζικές αρχές ενδείξεις για πιθανούς νέους τρόπους να χακάρουν τους δικούς τους πελάτες. 
• Ο νόμος απαιτεί από τις εταιρείες να παρέχουν το όνομα, τον αριθμό μοντέλου και την έκδοση του επηρεαζόμενου προϊόντος, καθώς και τα "τεχνικά χαρακτηριστικά, την απειλή, το εύρος των επιπτώσεων κ.ο.κ." της ευπάθειας. 
• Οι εταιρείες μπορεί να επιδίδονται σε "κακόβουλη συμμόρφωση", μοιράζοντας μόνο μερικές ή παραπλανητικές πληροφορίες με τις κινεζικές αρχές, ή το προσωπικό με έδρα την Κίνα μπορεί να απαγορεύεται να μιλήσει στη δική του εταιρεία για τον τρόπο με τον οποίο αλληλεπιδρά με την κυβέρνηση.

Αναλυτικά το άρθρο:
Ορισμένες ξένες εταιρείες μπορεί να συμμορφώνονται - ενδεχομένως προσφέροντας στους κατασκόπους της Κίνας συμβουλές για την παραβίαση των πελατών τους.

ΓΙΑ ΤΙΣ ΕΠΙΧΕΙΡΗΣΕΙΣ HACKING ΠΟΥ ΥΠΟΣΤΗΡΙΖΟΝΤΑΙ ΑΠΟ ΤΟ ΚΡΑΤΟΣ, τα μη επιδιορθωμένα τρωτά σημεία αποτελούν πολύτιμα πυρομαχικά. Οι μυστικές υπηρεσίες και οι στρατοί εκμεταλλεύονται τα ευπαθή σφάλματα όταν αποκαλύπτονται -εκμεταλλευόμενοι τα για να διεξάγουν τις εκστρατείες κατασκοπείας ή τον κυβερνοπόλεμο- ή ξοδεύουν εκατομμύρια για να ανακαλύψουν νέα ή να τα αγοράσουν κρυφά από την γκρίζα αγορά χάκερ.

Αλλά τα τελευταία δύο χρόνια, η Κίνα έχει προσθέσει μια άλλη προσέγγιση για την απόκτηση πληροφοριών σχετικά με αυτά τα τρωτά σημεία: έναν νόμο που απαιτεί απλώς από κάθε επιχείρηση τεχνολογίας δικτύων που δραστηριοποιείται στη χώρα να τις παραδίδει. Όταν οι εταιρείες τεχνολογίας μαθαίνουν για ένα παραβιάσιμο ελάττωμα στα προϊόντα τους, υποχρεούνται πλέον να το λένε σε μια κινεζική κυβερνητική υπηρεσία - η οποία, σε ορισμένες περιπτώσεις, στη συνέχεια μοιράζεται τις πληροφορίες αυτές με τους κρατικά υποστηριζόμενους χάκερ της Κίνας, σύμφωνα με μια νέα έρευνα. Και ορισμένα στοιχεία δείχνουν ότι οι ξένες εταιρείες με έδρα την Κίνα συμμορφώνονται με το νόμο, δίνοντας έμμεσα στις κινεζικές αρχές ενδείξεις για πιθανούς νέους τρόπους να χακάρουν τους δικούς τους πελάτες.

Σήμερα, το Atlantic Council δημοσίευσε μια έκθεση -τα ευρήματα της οποίας οι συντάκτες μοιράστηκαν εκ των προτέρων με το WIRED- η οποία διερευνά τις επιπτώσεις ενός κινεζικού νόμου που ψηφίστηκε το 2021, με σκοπό τη μεταρρύθμιση του τρόπου με τον οποίο οι εταιρείες και οι ερευνητές ασφαλείας που δραστηριοποιούνται στην Κίνα χειρίζονται την ανακάλυψη ευπαθειών ασφαλείας σε τεχνολογικά προϊόντα. Ο νόμος απαιτεί, μεταξύ άλλων, ότι οι εταιρείες τεχνολογίας που ανακαλύπτουν ή μαθαίνουν ένα παραβιάσιμο ελάττωμα στα προϊόντα τους πρέπει να μοιράζονται πληροφορίες σχετικά με αυτό εντός δύο ημερών με μια κινεζική υπηρεσία γνωστή ως Υπουργείο Βιομηχανίας και Τεχνολογίας Πληροφοριών. Στη συνέχεια, η υπηρεσία προσθέτει το ελάττωμα σε μια βάση δεδομένων, το όνομα της οποίας μεταφράζεται από τα μανδαρινικά ως Cybersecurity Threat and Vulnerability Information Sharing Platform (Πλατφόρμα ανταλλαγής πληροφοριών για απειλές και ευπάθειες στον κυβερνοχώρο), αλλά συχνά αποκαλείται με μια απλούστερη αγγλική ονομασία, National Vulnerability Database (Εθνική βάση δεδομένων για ευπάθειες).

Οι συντάκτες της έκθεσης χτένισαν τις περιγραφές της ίδιας της κινεζικής κυβέρνησης για το εν λόγω πρόγραμμα για να χαρτογραφήσουν την πολύπλοκη διαδρομή που ακολουθούν οι πληροφορίες για τις ευπάθειες: Τα δεδομένα μοιράζονται με διάφορους άλλους κυβερνητικούς φορείς, συμπεριλαμβανομένου του Εθνικού Κέντρου Συντονισμού Τεχνικών Ομάδων Αντιμετώπισης Εκτάκτων Αναγκών Δικτύων Υπολογιστών της Κίνας, ή CNCERT/CC, ενός οργανισμού που ασχολείται με την προστασία των κινεζικών δικτύων. Όμως οι ερευνητές διαπίστωσαν ότι το CNCERT/CC διαθέτει τις εκθέσεις του σε τεχνολογικούς "εταίρους" που περιλαμβάνουν ακριβώς το είδος των κινεζικών οργανισμών που ασχολούνται όχι με τη διόρθωση των ευπαθειών ασφαλείας αλλά με την εκμετάλλευσή τους. Ένας τέτοιος συνεργάτης είναι το γραφείο του Πεκίνου του Υπουργείου Κρατικής Ασφάλειας της Κίνας, η υπηρεσία που είναι υπεύθυνη για πολλές από τις πιο επιθετικές κρατικά χρηματοδοτούμενες επιχειρήσεις hacking της χώρας τα τελευταία χρόνια, από εκστρατείες κατασκοπείας έως διασπαστικές κυβερνοεπιθέσεις. Και οι εκθέσεις ευπάθειας κοινοποιούνται επίσης στο Πανεπιστήμιο Shanghai Jiaotong και στην εταιρεία ασφαλείας Beijing Topsec, οι οποίες έχουν ιστορικό συνεργασίας σε εκστρατείες hacking του Λαϊκού Απελευθερωτικού Στρατού της Κίνας.

"Μόλις ανακοινώθηκαν οι κανονισμοί, ήταν προφανές ότι αυτό θα γινόταν θέμα", λέει η Ντακότα Κέρι, ερευνήτρια στο Global China Hub του Atlantic Council και μία από τις συντάκτριες της έκθεσης. "Τώρα καταφέραμε να δείξουμε ότι υπάρχει πραγματική επικάλυψη μεταξύ των ανθρώπων που χειρίζονται αυτή την υποχρεωτική δομή υποβολής εκθέσεων και έχουν πρόσβαση στα αναφερόμενα τρωτά σημεία και των ανθρώπων που εκτελούν επιθετικές επιχειρήσεις hacking".

Δεδομένου ότι η επιδιόρθωση των ευπαθειών σε τεχνολογικά προϊόντα διαρκεί σχεδόν πάντα πολύ περισσότερο από την προθεσμία των δύο ημερών που προβλέπει ο κινεζικός νόμος για την κοινοποίηση, οι ερευνητές του Atlantic Council υποστηρίζουν ότι ο νόμος ουσιαστικά φέρνει σε αδύνατη θέση κάθε επιχείρηση με έδρα την Κίνα: Είτε να εγκαταλείψει την Κίνα είτε να δώσει ευαίσθητες περιγραφές των ευπαθειών στα προϊόντα της εταιρείας σε μια κυβέρνηση που μπορεί κάλλιστα να χρησιμοποιήσει αυτές τις πληροφορίες για επιθετικό χάκινγκ.

Οι ερευνητές διαπίστωσαν, στην πραγματικότητα, ότι ορισμένες επιχειρήσεις φαίνεται να επιλέγουν τη δεύτερη επιλογή. Επισημαίνουν ένα έγγραφο του Ιουλίου 2022 που δημοσιεύτηκε στο λογαριασμό ενός ερευνητικού οργανισμού του Υπουργείου Βιομηχανίας και Τεχνολογιών Πληροφορικής στην κινεζική υπηρεσία κοινωνικής δικτύωσης WeChat. Το αναρτημένο έγγραφο απαριθμεί τα μέλη του προγράμματος ανταλλαγής πληροφοριών για τις ευπάθειες που "πέρασαν την εξέταση", υποδεικνύοντας ενδεχομένως ότι οι εταιρείες που περιλαμβάνονται στον κατάλογο συμμορφώθηκαν με τον νόμο. Ο κατάλογος, ο οποίος τυχαίνει να επικεντρώνεται σε εταιρείες τεχνολογίας βιομηχανικών συστημάτων ελέγχου (ή ICS), περιλαμβάνει έξι μη κινεζικές εταιρείες: Beckhoff, D-Link, KUKA, Omron, Phoenix Contact και Schneider Electric.

Το WIRED ρώτησε και τις έξι εταιρείες αν όντως συμμορφώνονται με το νόμο και αν μοιράζονται πληροφορίες σχετικά με τα μη επιδιορθωμένα τρωτά σημεία των προϊόντων τους με την κινεζική κυβέρνηση. Μόνο δύο, η D-Link και η Phoenix Contact, αρνήθηκαν κατηγορηματικά ότι έδιναν πληροφορίες σχετικά με μη επιδιορθωμένα τρωτά σημεία στις κινεζικές αρχές, αν και οι περισσότερες από τις υπόλοιπες ισχυρίστηκαν ότι προσέφεραν μόνο σχετικά αβλαβείς πληροφορίες σχετικά με τα τρωτά σημεία στην κινεζική κυβέρνηση και το έκαναν ταυτόχρονα με την παροχή αυτών των πληροφοριών στις κυβερνήσεις άλλων χωρών ή στους δικούς τους πελάτες.

Οι συντάκτες της έκθεσης του Ατλαντικού Συμβουλίου παραδέχονται ότι οι εταιρείες που περιλαμβάνονται στον κατάλογο του Υπουργείου Βιομηχανίας και Τεχνολογίας Πληροφοριών δεν είναι πιθανό να παραδίδουν λεπτομερείς πληροφορίες για ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν άμεσα από κινεζικούς κρατικούς χάκερ. Η κωδικοποίηση ενός αξιόπιστου "exploit", ενός εργαλείου λογισμικού hacking που εκμεταλλεύεται μια ευπάθεια ασφαλείας, είναι μερικές φορές μια μακρά, δύσκολη διαδικασία, και οι πληροφορίες σχετικά με την ευπάθεια που απαιτεί ο κινεζικός νόμος δεν είναι απαραίτητα αρκετά λεπτομερείς για την άμεση κατασκευή ενός τέτοιου exploit.

Αλλά το κείμενο του νόμου απαιτεί -κάπως αόριστα- οι εταιρείες να παρέχουν το όνομα, τον αριθμό μοντέλου και την έκδοση του επηρεαζόμενου προϊόντος, καθώς και τα "τεχνικά χαρακτηριστικά, την απειλή, το εύρος των επιπτώσεων κ.λπ." της ευπάθειας. Όταν οι συντάκτες της έκθεσης του Ατλαντικού Συμβουλίου απέκτησαν πρόσβαση στην ηλεκτρονική πύλη για την αναφορά ελαττωμάτων που μπορούν να παραβιαστούν, διαπίστωσαν ότι περιλαμβάνει ένα υποχρεωτικό πεδίο καταχώρησης για λεπτομέρειες σχετικά με το σημείο του κώδικα που "πυροδοτεί" την ευπάθεια ή ένα βίντεο που επιδεικνύει "λεπτομερή απόδειξη της διαδικασίας ανακάλυψης της ευπάθειας", καθώς και ένα μη υποχρεωτικό πεδίο καταχώρησης για τη μεταφόρτωση ενός proof-of-concept exploit για την επίδειξη του ελαττώματος. Όλα αυτά είναι πολύ περισσότερες πληροφορίες σχετικά με μη επιδιορθωμένες ευπάθειες από ό,τι συνήθως απαιτούν άλλες κυβερνήσεις ή από ό,τι μοιράζονται γενικά οι εταιρείες με τους πελάτες τους.

Ακόμα και χωρίς αυτές τις λεπτομέρειες ή ένα proof-of-concept exploit, μια απλή περιγραφή ενός σφάλματος με το απαιτούμενο επίπεδο εξειδίκευσης θα παρείχε ένα "προβάδισμα" για τους επιθετικούς χάκερ της Κίνας καθώς αναζητούν νέες ευπάθειες για εκμετάλλευση, λέει η Kristin Del Rosso, επικεφαλής τεχνολογίας του δημόσιου τομέα στην εταιρεία κυβερνοασφάλειας Sophos, η οποία συνυπογράφει την έκθεση του Atlantic Council. Υποστηρίζει ότι ο νόμος θα μπορούσε να παρέχει σε αυτούς τους κρατικά υποστηριζόμενους χάκερ ένα σημαντικό προβάδισμα στον αγώνα τους ενάντια στις προσπάθειες των εταιρειών να επιδιορθώσουν και να υπερασπιστούν τα συστήματά τους. "Είναι σαν ένας χάρτης που λέει: "Κοιτάξτε εδώ και αρχίστε να σκάβετε"", λέει ο Del Rosso. "Πρέπει να είμαστε προετοιμασμένοι για την πιθανή οπλοποίηση αυτών των ευπαθειών".

Εάν ο νόμος της Κίνας βοηθάει στην πραγματικότητα τους κρατικά υποστηριζόμενους χάκερ της χώρας να αποκτήσουν μεγαλύτερο οπλοστάσιο ελαττωμάτων που μπορούν να παραβιαστούν, αυτό θα μπορούσε να έχει σοβαρές γεωπολιτικές επιπτώσεις. Οι εντάσεις των ΗΠΑ με την Κίνα τόσο για την κυβερνοκατασκοπεία της χώρας όσο και για τις προφανείς προετοιμασίες για διασπαστικές κυβερνοεπιθέσεις έχουν κορυφωθεί τους τελευταίους μήνες. Τον Ιούλιο, για παράδειγμα, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών (CISA) και η Microsoft αποκάλυψαν ότι Κινέζοι χάκερς είχαν αποκτήσει με κάποιον τρόπο ένα κρυπτογραφικό κλειδί που επέτρεπε σε Κινέζους κατασκόπους να έχουν πρόσβαση στους λογαριασμούς ηλεκτρονικού ταχυδρομείου 25 οργανισμών, συμπεριλαμβανομένου του Στέιτ Ντιπάρτμεντ και του Υπουργείου Εμπορίου. Η Microsoft, η CISA και η NSA προειδοποίησαν επίσης για μια κινεζικής προέλευσης εκστρατεία hacking που εγκατέστησε κακόβουλο λογισμικό σε ηλεκτρικά δίκτυα σε πολιτείες των ΗΠΑ και στο Γκουάμ, ίσως για να αποκτήσει τη δυνατότητα να διακόψει την παροχή ρεύματος σε στρατιωτικές βάσεις των ΗΠΑ.

Ακόμα και καθώς αυτά τα διακυβεύματα αυξάνονται, ο Cary του Atlantic Council λέει ότι είχε συνομιλίες από πρώτο χέρι με μια δυτική εταιρεία τεχνολογίας που περιλαμβάνεται στον κατάλογο του Υπουργείου Βιομηχανίας και Τεχνολογίας Πληροφοριών και του είπε άμεσα ότι συμμορφώνεται με τον νόμο της Κίνας για την αποκάλυψη ευπαθειών. Σύμφωνα με τον Cary, το επικεφαλής στέλεχος του κινεζικού βραχίονα της εταιρείας -την οποία ο Cary αρνήθηκε να κατονομάσει- του είπε ότι η συμμόρφωση με τον νόμο σήμαινε ότι είχε αναγκαστεί να υποβάλει πληροφορίες σχετικά με μη επιδιορθωμένα τρωτά σημεία στα προϊόντα της στο Υπουργείο Βιομηχανίας και Τεχνολογίας Πληροφοριών. Και όταν ο Cary μίλησε με ένα άλλο στέλεχος της εταιρείας εκτός Κίνας, το εν λόγω στέλεχος δεν γνώριζε για την αποκάλυψη.

Ο Cary υποδηλώνει ότι η έλλειψη ενημέρωσης για τις πληροφορίες σχετικά με τις ευπάθειες που μοιράζονται με την κινεζική κυβέρνηση μπορεί να είναι τυπικό φαινόμενο για τις ξένες εταιρείες που δραστηριοποιούνται στη χώρα. "Αν δεν είναι στο ραντάρ των στελεχών, δεν γυρνάνε να ρωτήσουν αν συμμορφώνονται με το νόμο που μόλις εφάρμοσε η Κίνα", λέει ο Cary. "Το μαθαίνουν μόνο όταν δεν συμμορφώνονται".

Από τις έξι μη κινεζικές εταιρείες που περιλαμβάνονται στον κατάλογο του Υπουργείου Βιομηχανίας και Τεχνολογίας Πληροφοριών με τις συμμορφούμενες εταιρείες τεχνολογίας ICS, η εταιρεία D-Link με έδρα την Ταϊβάν έδωσε στο WIRED την πιο άμεση άρνηση, απαντώντας με δήλωση του επικεφαλής ασφάλειας πληροφοριών για τη Βόρεια Αμερική, William Brown, ότι "δεν έχει παράσχει ποτέ πληροφορίες για την ασφάλεια των προϊόντων που δεν έχουν αποκαλυφθεί στην κινεζική κυβέρνηση".

Η γερμανική εταιρεία τεχνολογίας βιομηχανικών συστημάτων ελέγχου Phoenix Contact αρνήθηκε επίσης ότι έδωσε στην Κίνα πληροφορίες σχετικά με την ευπάθεια, γράφοντας σε ανακοίνωσή της: "Διασφαλίζουμε ότι οι πιθανές νέες ευπάθειες αντιμετωπίζονται με απόλυτη εμπιστευτικότητα και σε καμία περίπτωση δεν περιέρχονται στα χέρια πιθανών κυβερνοεπιτιθέμενων και συνεργαζόμενων κοινοτήτων, όπου κι αν βρίσκονται".

Άλλες εταιρείες στον κατάλογο δήλωσαν ότι αναφέρουν πληροφορίες για ευπάθειες στην κινεζική κυβέρνηση, αλλά μόνο τις ίδιες πληροφορίες που παρέχονται σε άλλες κυβερνήσεις και σε πελάτες. Η σουηδική εταιρεία βιομηχανικών αυτοματισμών KUKA απάντησε ότι "εκπληρώνει τις νομικές τοπικές υποχρεώσεις σε όλες τις χώρες, όπου δραστηριοποιούμαστε", αλλά έγραψε ότι προσφέρει τις ίδιες πληροφορίες στους πελάτες της, δημοσιεύει γνωστές πληροφορίες για ευπάθειες των προϊόντων της σε δημόσιο ιστότοπο και θα συμμορφωθεί με έναν παρόμοιο επερχόμενο νόμο στην ΕΕ που απαιτεί τη δημοσιοποίηση πληροφοριών για ευπάθειες. Η ιαπωνική εταιρεία τεχνολογίας Omron έγραψε ομοίως ότι παρέχει πληροφορίες για ευπάθειες στην κινεζική κυβέρνηση, την CISA στις ΗΠΑ και την ιαπωνική ομάδα αντιμετώπισης έκτακτων αναγκών σε υπολογιστές, καθώς και ότι δημοσιεύει πληροφορίες για γνωστές ευπάθειες στον ιστότοπό της.

Η γερμανική εταιρεία βιομηχανικού αυτοματισμού Beckhoff καθόρισε μια παρόμοια προσέγγιση με περισσότερες λεπτομέρειες. "Η νομοθεσία σε πολλά κράτη απαιτεί ότι κάθε πωλητής που πωλεί προϊόντα στην αγορά τους πρέπει να ενημερώνει τον εξουσιοδοτημένο φορέα του για τα τρωτά σημεία ασφαλείας πριν από τη δημοσίευσή τους", έγραψε ο Torsten Förder, επικεφαλής ασφάλειας προϊόντων της εταιρείας. "Οι γενικές πληροφορίες σχετικά με την ευπάθεια αποκαλύπτονται καθώς αναπτύσσονται περαιτέρω έρευνες και στρατηγικές μετριασμού. Αυτό μας επιτρέπει να ενημερώνουμε γρήγορα όλους τους ρυθμιστικούς φορείς, αποφεύγοντας παράλληλα να δημοσιεύουμε ολοκληρωμένες πληροφορίες σχετικά με τον τρόπο εκμετάλλευσης της ευπάθειας που διερευνάται".

Η γαλλική εταιρεία τεχνολογίας ηλεκτρικής ενέργειας Schneider Electric προσέφερε την πιο διφορούμενη απάντηση. Ο επικεφαλής της εταιρείας για τη διαχείριση των ευπαθειών των προϊόντων, Harish Shankar, έγραψε μόνο ότι "η κυβερνοασφάλεια είναι αναπόσπαστο μέρος της παγκόσμιας επιχειρηματικής στρατηγικής και του ταξιδιού ψηφιακού μετασχηματισμού της Schneider Electric" και παρέπεμψε το WIRED στη Χάρτα Εμπιστοσύνης της, καθώς και στην πύλη υποστήριξης της κυβερνοασφάλειας στον ιστότοπό της, όπου δημοσιεύει ανακοινώσεις ασφαλείας και συμβουλές μετριασμού και αποκατάστασης.

Δεδομένων αυτών των προσεκτικά διατυπωμένων και ενίοτε ελλειπτικών απαντήσεων, είναι δύσκολο να γνωρίζουμε σε ποιο ακριβώς βαθμό οι εταιρείες συμμορφώνονται με τον νόμο της Κίνας για την αποκάλυψη ευπαθειών -ιδιαίτερα δεδομένης της σχετικά λεπτομερούς περιγραφής που απαιτείται στη διαδικτυακή πύλη της κυβέρνησης για τη μεταφόρτωση πληροφοριών σχετικά με τις ευπάθειες. Ο Ian Roos, ερευνητής με επίκεντρο την Κίνα στην εταιρεία έρευνας και ανάπτυξης στον κυβερνοχώρο Margin Research, ο οποίος εξέτασε την έκθεση του Atlantic Council πριν από τη δημοσίευση, προτείνει ότι οι εταιρείες ενδέχεται να επιδίδονται σε ένα είδος "κακόβουλης συμμόρφωσης", μοιράζοντας μόνο μερικές ή παραπλανητικές πληροφορίες με τις κινεζικές αρχές. Και σημειώνει ότι ακόμη και αν μοιράζονται αξιόπιστα δεδομένα για τις ευπάθειες, αυτά μπορεί να μην είναι αρκετά συγκεκριμένα ώστε να είναι άμεσα χρήσιμα για τους κρατικά υποστηριζόμενους χάκερ της Κίνας. "Είναι πολύ δύσκολο να περάσεις από το "υπάρχει ένα σφάλμα εδώ" στην πραγματική αξιοποίηση και εκμετάλλευσή του, ή ακόμη και να γνωρίζεις αν μπορεί να αξιοποιηθεί με τρόπο που θα ήταν χρήσιμο", λέει ο Roos.

Ο νόμος εξακολουθεί να είναι ανησυχητικός, προσθέτει ο Roos, καθώς η κινεζική κυβέρνηση έχει τη δυνατότητα να επιβάλει σοβαρές συνέπειες στις εταιρείες που δεν μοιράζονται όσες πληροφορίες θα ήθελε, από βαριά πρόστιμα μέχρι την ανάκληση των αδειών λειτουργίας που είναι απαραίτητες για τη λειτουργία στη χώρα. "Δεν νομίζω ότι είναι καταστροφή, αλλά είναι πολύ άσχημο", λέει. "Νομίζω ότι δημιουργεί οπωσδήποτε ένα στρεβλό κίνητρο, όπου τώρα έχετε ιδιωτικούς οργανισμούς που πρέπει ουσιαστικά να εκθέσουν τον εαυτό τους και τους πελάτες τους στον αντίπαλο".

Στην πραγματικότητα, το προσωπικό ξένων εταιρειών που εδρεύει στην Κίνα μπορεί να συμμορφώνεται με τον νόμο περί αποκάλυψης ευπαθειών περισσότερο από ό,τι τα στελέχη εκτός Κίνας συνειδητοποιούν, λέει ο J. D. Work, πρώην αξιωματούχος των αμερικανικών μυστικών υπηρεσιών, ο οποίος είναι τώρα καθηγητής στο Κολέγιο Πληροφοριών και Κυβερνοχώρου του Πανεπιστημίου Εθνικής Άμυνας. (Ο Work κατέχει επίσης θέση στο Atlantic Council, αλλά δεν συμμετείχε στην έρευνα των Cary και Del Rosso). Αυτή η αποσύνδεση δεν οφείλεται μόνο σε αμέλεια ή εσκεμμένη άγνοια, προσθέτει ο Work. Το προσωπικό που εδρεύει στην Κίνα μπορεί να ερμηνεύσει ευρέως έναν άλλο νόμο που ψήφισε η Κίνα πέρυσι με επίκεντρο την αντιμετώπιση της κατασκοπείας ως απαγορευτικό για τα στελέχη ξένων εταιρειών που εδρεύουν στην Κίνα να ενημερώνουν άλλους στην ίδια τους την εταιρεία για τον τρόπο με τον οποίο αλληλεπιδρούν με την κυβέρνηση, λέει. "Οι επιχειρήσεις μπορεί να μην κατανοούν πλήρως τις αλλαγές στη συμπεριφορά των δικών τους τοπικών γραφείων", λέει ο Work, "επειδή αυτά τα τοπικά γραφεία μπορεί να μην επιτρέπεται να τους μιλήσουν γι' αυτό, υπό τον φόβο κατηγοριών κατασκοπείας".

Ο Del Rosso της Sophos σημειώνει ότι ακόμη και αν οι εταιρείες που δραστηριοποιούνται στην Κίνα βρίσκουν το περιθώριο να αποφεύγουν σήμερα να αποκαλύπτουν πραγματικές, ευπάθειες που μπορούν να παραβιαστούν στα προϊόντα τους, αυτό δεν αποτελεί εγγύηση ότι η Κίνα δεν θα αρχίσει να αυστηροποιεί την εφαρμογή του νόμου περί αποκάλυψης στο μέλλον για να κλείσει τυχόν κενά.

"Ακόμα και αν οι άνθρωποι δεν συμμορφώνονται -ή αν συμμορφώνονται αλλά μόνο σε ορισμένο βαθμό- αυτό μπορεί μόνο να εξελιχθεί και να γίνει χειρότερο", λέει ο Del Rosso. "Δεν υπάρχει περίπτωση να αρχίσουν να ζητούν λιγότερες πληροφορίες ή να απαιτούν λιγότερες από τους ανθρώπους που εργάζονται εκεί. Ποτέ δεν θα γίνουν πιο ήπιοι. Θα επιβληθούν περισσότερο".

Πηγή: How China Demands Tech Firms Reveal Hackable Flaws in Their Products