Health-ISAC Hacking Healthcare 12-4-2025

این هفته، بخش «هک کردن مراقبت‌های بهداشتی» از Health-ISAC®، به بررسی مفاد تازه اصلاح‌شده قانون امنیت سایبری چین می‌پردازد. ما برخی از مهم‌ترین تأثیرات اصلاحات جدید را شناسایی می‌کنیم، مشخص می‌کنیم چه کسانی باید به آنها توجه کنند و در نهایت ملاحظات خاصی را برای اعضای Health-ISAC ارائه می‌دهیم.

برای یادآوری، این نسخه عمومی وبلاگ هک بهداشت است. برای تجزیه و تحلیل عمیق و نظر بیشتر، عضو H-ISAC شوید و نسخه TLP Amber این وبلاگ (موجود در پورتال اعضا) را دریافت کنید.

نسخه PDF:

نسخه متنی:

به Hacking Healthcare® خوش آمدید.

اصلاحات قانون امنیت سایبری چین در سال ۲۰۱۷ 

برای اولین بار از زمان لازم‌الاجرا شدن در ژوئن ۲۰۱۷، قانون اساسی امنیت سایبری چین در حال اصلاح است. در حالی که قانون اولیه، چارچوب قانونی جمهوری خلق چین (PRC) را برای فعالیت‌های آنلاین، مدیریت داده‌ها و امنیت شبکه تعیین می‌کرد، اصلاحات جدید به گسترش کنترل حزب کمونیست چین (CCP)، افزایش اختیارات اجرایی و دسترسی فراسرزمینی و تقویت همسویی بین امنیت سایبری و سیاست امنیت ملی چین متمرکز است.

مفاد مهم و حوزه‌های موضوعی

• کنترل و نظارت حزبی: با توجه به نظام تک‌حزبی، قوانین و مقررات در چین عموماً به سمت همسویی با اهداف و مقاصد استراتژیک کلی حزب حاکم کمونیست چین متمایل هستند. اصلاحات اخیر در قانون امنیت سایبری سال ۲۰۱۷ با تضمین همسویی قانون با سیاست‌های حزب و دستگاه‌های امنیتی، این واقعیت را بیش از پیش تثبیت می‌کند.

قابل توجه است که این کار با چه صراحتی انجام می‌شود، زیرا این اولین باری است که این قانون رسماً رهبری حزب کمونیست چین را در قانون گنجانده است. این قانون «رهبری حزب کمونیست چین» را در قانون گنجانده و تمام کارهای امنیت سایبری را ملزم به «اجرای مفهوم کلی امنیت ملی، هماهنگی توسعه و امنیت و ترویج ساخت یک قدرت سایبری» می‌کند.[i] علاوه بر این، ماده 30 جدید بیان می‌کند که «اپراتورهای شبکه باید پشتیبانی و کمک فنی را به مقامات امنیت عمومی و مقامات امنیت ایالتی در حفاظت قانونی از امنیت ملی و بررسی جرایم ارائه دهند.»[ii]

در نتیجه، شرکت‌های تحت پوشش این قانون ممکن است دریابند که در مقایسه با گذشته، در معرض خطر بیشتری از نظارت‌های حزب کمونیست چین و انتظارات دسترسی به داده‌ها قرار دارند.

• دامنه نهادهای تحت پوشش: قانون امنیت سایبری تازه اصلاح‌شده، طیف وسیعی از نهادها را پوشش می‌دهد که بخشی از آن به دلیل تعریف بسیار گسترده موجود از اصطلاح «اپراتور شبکه» است که اساساً تقریباً تمام نهادهایی را که در چین «شبکه‌ها را می‌سازند، اداره می‌کنند، نگهداری می‌کنند یا از آنها استفاده می‌کنند» در بر می‌گیرد. اپراتورهایی که با داده‌های شخصی کار می‌کنند، اکنون ملزم به رعایت قانون مدنی و قانون حفاظت از اطلاعات شخصی (PIPL) نیز خواهند بود. با پیوند دادن وظایف امنیت سایبری به PIPL، جمهوری خلق چین شکاف‌های بین حفاظت از حریم خصوصی و کنترل شبکه را از بین برده و عملاً انطباق داده‌ها را با نظارت بر امنیت ملی ادغام کرده است.
• حفاظت از زیرساخت‌های اطلاعات حیاتی: برای نهادهایی که به عنوان زیرساخت اطلاعاتی حیاتی تشخیص داده می‌شوند، اکنون اقدامات امنیت سایبری و حفاظت از داده‌ها بیشتر مورد نیاز خواهد بود. این اقدامات شامل عناصر بومی‌سازی داده‌ها، ارزیابی‌های شخص ثالث و بررسی‌های امنیت ملی است. اگرچه قانون به صراحت بخش بهداشت و درمان را به شیوه‌ای که با انرژی، امور مالی و آب سروکار دارد، مشخص نمی‌کند، اما تعریف آن به گونه‌ای باز گذاشته شده است که به طور بالقوه شامل «سایر صنایع و زمینه‌های مهم و سایر زیرساخت‌های اطلاعاتی حیاتی که منجر به آسیب جدی به امنیت ملی، اقتصاد ملی و معیشت و منافع عمومی مردم می‌شوند...» می‌شود.[iii] بعید به نظر نمی‌رسد که بخش بهداشت و درمان به نحوی تحت پوشش قرار گیرد.
• هوش مصنوعی: در این اصلاحیه، یک بند اختصاصی هوش مصنوعی وجود دارد که نشان می‌دهد سیستم‌های هوش مصنوعی اکنون بخشی از رژیم امنیت سایبری ملی هستند. این بند به ایالت اجازه می‌دهد تا سیستم‌های الگوریتمی و داده‌های آموزشی آنها را تحت نظارت امنیت سایبری تنظیم کند.
• جریمه‌های عدم رعایت: در مجموع، اصلاحیه جدید حداکثر مجازات‌ها را افزایش داده و مجازات‌های جدیدی را برای عدم رعایت اضافه می‌کند. ساختار مجازات جدید، متناسب با شدت، پلکانی و با قانون امنیت داده‌ها و PIPL هماهنگ است. این اصلاحیه اختیار گسترده اداری را رسمیت می‌بخشد - به تنظیم‌کنندگان اجازه می‌دهد عملیات غیرمطابق را تعلیق، لغو یا تعطیل کنند.
• دسترسی فراسرزمینی: ماده ۷۷ قانون امنیت سایبری اصلاح‌شده جدید بیان می‌کند که «هر مؤسسه، سازمان یا فرد خارجی که در هر فعالیتی که امنیت سایبری جمهوری خلق چین را به خطر بیندازد، مشارکت کند، از نظر قانونی مسئول خواهد بود.»[iv] این قانون، بسط قانون سال ۲۰۱۷ است که در ابتدا فقط زیرساخت‌های اطلاعاتی حیاتی را پوشش می‌داد. در واقع، این ماده می‌تواند به طور گسترده در مورد هر موردی که به نظر می‌رسد تأثیر منفی بر امنیت سایبری چین داشته است، اعمال شود. به عنوان مثال، این ماده می‌تواند گزارش آسیب‌پذیری‌هایی را که نهادهایی غیر از نهادهای حزب کمونیست چین را در اولویت قرار می‌دهد یا با آنها تعامل دارد، پوشش دهد. در نتیجه، این ماده، اقدامات اجرایی فراتر از مرزهای چین را علیه نهادها یا افرادی که به عنوان تهدیدکننده منافع دولت تلقی می‌شوند، امکان‌پذیر می‌سازد - خطری مرتبط برای شرکت‌هایی که در چین فعالیت دارند یا فعالیت‌هایی انجام می‌دهند که می‌تواند توسط جمهوری خلق چین به عنوان خصمانه تلقی شود.

اقدام و تحلیل
**شامل عضویت Health-ISAC**

[I] ترجمه لکسیس نکسیس از قانون امنیت سایبری جمهوری خلق چین (اصلاح شده در سال 2025)

[II] ترجمه لکسیس نکسیس از قانون امنیت سایبری جمهوری خلق چین (اصلاح شده در سال 2025)

[III] ترجمه لکسیس نکسیس از قانون امنیت سایبری جمهوری خلق چین (اصلاح شده در سال 2025)

[IV] ترجمه لکسیس نکسیس از قانون امنیت سایبری جمهوری خلق چین (اصلاح شده در سال 2025)

• منابع و اخبار مرتبط
• Health-ISAC Hacking Healthcare 4-14-2026
• ابزارهای هوش مصنوعی Mythos و Like، سهم خود را در فضای سایبری مراقبت‌های بهداشتی افزایش می‌دهند
• بیمارستان ماساچوست پس از حمله سایبری، آمبولانس‌ها را رد می‌کند
• پادکست: فیل انگلرت در مورد امنیت سایبری دستگاه‌های پزشکی
• تهدید خودی دوباره افزایش می‌یابد
• «فرصت از دست رفته»: غیبت دولت ایالات متحده در کنفرانس RSAC خلأ بزرگی ایجاد می‌کند
• Health-ISAC Hacking Healthcare 3-26-2026
• Health-ISAC Hacking Healthcare 3-19-2026
• خبرنامه ماهانه Health-ISAC – آوریل 2026
• گزارش پس از اقدام: مجموعه تمرینات تاب‌آوری سلامت-ISAC 2025