Сутки на реакцию: Гонконг вводит штрафы до 5 миллионов за уязвимость в критической инфраструктуры

В Гонконге принят закон , ужесточающий кибербезопасность ключевых инфраструктурных систем. Закон предусматривает штрафы до 5 миллионов гонконгских долларов за недостаточные меры защиты от кибератак. Новый нормативный акт направлен на создание правовых требований для операторов объектов, признанных критически важными, и охватывает как государственные, так и частные структуры, работающие в приоритетных секторах.

Согласно заявлению главы Бюро безопасности Криса Тана, регулирование затронет системы в сферах энергетики, информационных технологий, банковского и финансового сектора, а также транспорта — наземного, воздушного и морского. Помимо этого, под действие закона подпадут системы связи и вещания, а также IT-инфраструктура в здравоохранении.

Отдельное внимание уделено объектам, обеспечивающим важные общественные и экономические функции. В их число входят спортивные арены, концертные площадки, а также технопарки. Для всех указанных категорий вводятся обязательства по регулярной оценке рисков и оперативному реагированию на инциденты.

Закон также предоставляет властям полномочия по установке программ или подключению к системам критической инфраструктуры в случае, если оператор не способен самостоятельно устранить угрозу. Эти действия требуют судебного ордера, однако вызвали обеспокоенность со стороны международных технологических и правозащитных организаций.

Так, ранее Азиатская интернет-коалиция и Американская торговая палата в Гонконге предупредили, что подобные полномочия могут отпугнуть инвесторов и негативно повлиять на развитие технологической отрасли. Британская правозащитная группа Article 19 назвала закон «чрезмерным» в части возможности запрашивать любую информацию при подозрении на нарушение.

Несмотря на критику, власти Гонконга и Законодательный совет заявили, что аналогичные нормы действуют в США, Великобритании и странах ЕС. По словам Тана, личные данные и коммерческая тайна не подпадают под регулирование, равно как и государственные ведомства.

Между тем именно ведомства и связанные с ними учреждения — включая Департамент пожарной службы, Управление регистрации избирателей и компанию Cyberport — в последнее время становились жертвами утечек данных. Однако новые меры ориентированы только на крупные организации, а не на отдельные учреждения или граждан.

Также уточняется, что новые требования распространяются как на внутренние, так и на внешние IT-команды, обслуживающие критическую инфраструктуру. Закон не имеет экстерриториального действия, но может применяться и к зарубежным серверам, если они связаны с операторами из Гонконга.

Среди обязанностей операторов — ежегодная подача отчёта об оценке рисков и обязательное уведомление властей о киберинциденте в течение 12 часов после его обнаружения. При этом список организаций, подпадающих под закон, не будет обнародован из соображений безопасности. По словам Постоянного секретаря по вопросам безопасности Патрика Ли, под регулирование попадёт более сотни организаций.

Законопроект был предложен летом прошлого года на фоне волны кибератак, затронувших университеты, некоммерческие организации и больницы. Согласно данным Управления по защите персональных данных, около 70% компаний в Гонконге столкнулись с кибер угрозами за последний год, что и стало дополнительным стимулом к принятию новых норм.