Del ataque al informe en 60 minutos: China obliga a los expertos en ciberseguridad a lograr lo imposible
Las nuevas reglas dejan a cada CISO local rehén de su propio cargo.
China está endureciendo las reglas de respuesta a ciberataques e introduce los plazos más estrictos del mundo para la presentación de informes. A partir del 1 de noviembre los operadores de redes del país estarán obligados a comunicar incidentes graves en tan solo una hora desde su detección. Las nuevas medidas se establecen en el «Reglamento sobre la gestión de notificaciones de ciberincidentes», preparado por la Administración del Ciberespacio de la República Popular China (CAC). Además, para los incidentes «especialmente grandes» el plazo se reduce a 30 minutos.
Las reglas abarcan a un amplio conjunto de organizaciones —de hecho, a todos los propietarios, administradores y proveedores de servicios de red. El incumplimiento de los plazos o el intento de ocultar un ataque conlleva sanciones no solo para las empresas, sino también para los funcionarios responsables. El organismo subraya que por demora, notificación incompleta o falseada la sanción será la más severa.
Para la clasificación de incidentes se introduce una escala de cuatro niveles, donde el nivel más alto implica los requisitos más estrictos. A la categoría «especialmente grandes» pertenecen las fugas de datos críticos o secretos que afecten la seguridad nacional o la estabilidad pública, la divulgación de información sobre más de 100 millones de ciudadanos, interrupciones que dejen inaccesibles sitios gubernamentales o de noticias por más de veinticuatro horas, así como pérdidas económicas directas superiores a 100 millones de yuanes (unos 10,3 millones de libras esterlinas).
El informe inicial del incidente debe incluir un listado completo de información: sistemas afectados, cronología del ataque, tipo de incidente, naturaleza del daño, medidas adoptadas para la contención, vulnerabilidades detectadas, el importe del rescate si se trata de extorsión, y la previsión de posibles consecuencias. Además se exige indicar qué asistencia del Estado es necesaria para la recuperación. Transcurridos 30 días es obligatorio un informe final con el análisis de causas, conclusiones y la asignación de responsabilidades.
Para las notificaciones se prevén varios canales: la línea telefónica directa 12387, el sitio web, WeChat, correo electrónico y otros. Esta variedad debe eliminar excusas sobre la imposibilidad de contactar de forma inmediata. En comparación con las normas europeas, donde las empresas disponen de hasta 72 horas para notificar una violación, el enfoque chino reduce radicalmente el desfase temporal. Como resultado, las organizaciones tendrán que invertir en monitoreo permanente y crear equipos especializados capaces de tomar decisiones en cuestión de minutos.
La aparición de las nuevas normas coincidió con una multa de gran repercusión impuesta a la filial de Dior en Shanghái. La compañía transfirió datos de clientes a Francia sin las comprobaciones de seguridad obligatorias, sin notificar a los usuarios e incluso sin cifrado. Las autoridades chinas consideran este caso un indicio de la necesidad de endurecer el control.