Health-ISAC Hacking Healthcare 12-4-2025
Í þessari viku skoðar Hacking Healthcare® hjá Health-ISAC® nýlega breyttar ákvæði í kínverskum netöryggislögum. Við greinum nokkur af mikilvægustu áhrifum þessara nýju breytinga, hverjir ættu að fylgjast með þeim og endum á nokkrum sérstökum atriðum fyrir meðlimi Health-ISAC.
Til að minna á, þetta er opinber útgáfa af Hacking Healthcare blogginu. Til að fá frekari ítarlega greiningu og álit skaltu gerast meðlimur H-ISAC og fá TLP Amber útgáfuna af þessu bloggi (fáanlegt á aðildargáttinni.)
PDF útgáfa:
Textaútgáfa:
Velkomin aftur til Hacking Healthcare®.
Breytingar á kínversku netöryggislögunum frá 2017
Í fyrsta skipti síðan þau tóku gildi í júní 2017 eru grundvallarlög Kína um netöryggi breytt. Þar sem upprunalegu lögin settu á fót lagalegan ramma Alþýðulýðveldisins Kína (Kínverska lýðveldið) sem stjórnaði netstarfsemi, gagnavinnslu og netöryggi, miða nýju breytingarnar að því að auka stjórn kínverska kommúnistaflokksins (CCP), auka löggæsluvald og umfang utan landsvæðis og styrkja samræmið milli netöryggis og kínverskrar þjóðaröryggisstefnu.
Mikilvæg ákvæði og málefni
- Flokksstjórn og eftirlit: Í einsflokkskerfi Kína eru lög og reglugerðir almennt sniðnar að almennum stefnumótandi markmiðum og tilgangi stjórnandi kínverska kommúnistaflokksins. Nýlegar breytingar á netöryggislögum frá 2017 styrkja þennan veruleika enn frekar með því að tryggja að fylgni við lögin sé í samræmi við stefnu flokksins og öryggiskerfisins.
Það er athyglisvert hversu skýrt þetta er gert, þar sem þetta verður í fyrsta skipti sem löggjöfin festir formlega forystu kínverska kommúnistaflokksins í lög. Hún fellur „forystu kínverska kommúnistaflokksins“ inn í lögin og krefst þess að allt netöryggisstarf „innleiði heildarhugmyndina um þjóðaröryggi, samhæfi þróun og öryggi og stuðli að uppbyggingu netveldis.“[i] Að auki segir í nýju 30. greininni að „netrekstraraðilar skuli veita tæknilegan stuðning og aðstoð við almannaöryggisyfirvöld og öryggisyfirvöld ríkisins við að vernda þjóðaröryggi á lögmætan hátt og rannsaka glæpi.“[ii]
Þar af leiðandi gætu fyrirtæki sem falla undir lögin komist að því að þau eru í enn meiri hættu á eftirliti undir forystu CCP og væntingum um aðgang að gögnum en áður var.
- Gildissvið aðila sem falla undir samninginn: Nýlega breyttu netöryggislögin ná yfir fjölbreytt úrval aðila, að hluta til vegna mjög víðtækrar skilgreiningar á hugtakinu „netrekstraraðili“ sem í raun nær yfir nánast alla aðila sem „byggja, reka, viðhalda eða nota net“ í Kína. Þeir rekstraraðilar sem meðhöndla persónuupplýsingar verða nú einnig skyldugir til að fara að borgaralegum lögum og lögum um vernd persónuupplýsinga. Með því að tengja skyldur varðandi netöryggi við PIPL hefur Alþýðulýðveldið Kína brúað bilið milli friðhelgi einkalífs og netstjórnunar og í raun sameinað gagnaeftirlit við eftirlit með þjóðaröryggi.
- Vernd mikilvægra upplýsingainnviða: Fyrir aðila sem taldir eru vera mikilvægir upplýsingainnviðir verða frekari ráðstafanir varðandi netöryggi og gagnavernd nú krafist. Þar á meðal eru staðsetningarþættir gagna, mat þriðja aðila og úttektir á þjóðaröryggi. Þó að lögin tilgreini ekki heilbrigðisgeirann sérstaklega í þeim tilgangi að sinna orkumálum, fjármálum og vatni, er skilgreiningin opin til að hugsanlega innihalda „aðrar mikilvægar atvinnugreinar og svið og annan mikilvægan upplýsingainnvið sem mun leiða til alvarlegs tjóns á þjóðaröryggi, þjóðarhagkerfinu og lífsviðurværi fólks og almannahagsmunum…“.[iii] Það virðist ekki ólíklegt að heilbrigðisgeirinn falli undir hann á einhvern hátt.
- Gervigreind: Í breytingartillögunni er sérstök ákvæði um gervigreind sem gefur til kynna að gervigreindarkerfi eru nú hluti af innlendu netöryggiskerfi. Það gerir ríkinu kleift að stjórna reikniritakerfum og þjálfunargögnum þeirra undir eftirliti netöryggis.
- Viðurlög við brotum: Í heildina hækkar nýja breytingin hámarksrefsingar og bætir við nýjum refsingum fyrir brot á reglum. Nýja refsifyrirkomulagið er stigskipt, í réttu hlutfalli við alvarleika og í samræmi við lög um gagnavernd og PIPL. Það formfestir víðtækt stjórnsýsluvald – sem gerir eftirlitsaðilum kleift að fresta, afturkalla eða loka starfsemi sem ekki uppfyllir reglur.
- Útrými utan landsvæðis: Í 77. grein nýbreyttra netöryggislaga segir að „sérhver erlend stofnun, samtök eða einstaklingur sem tekur þátt í starfsemi sem stofnar netöryggi Alþýðulýðveldisins Kína í hættu skal bera lagalega ábyrgð.“[iv] Þetta er útvíkkun á lögum frá 2017 sem upphaflega náðu aðeins til mikilvægra upplýsingainnviða. Í raun gæti þetta ákvæði átt við um öll tilvik sem talin eru hafa haft neikvæð áhrif á netöryggi Kína. Sem dæmi gæti þetta hugsanlega náð til skýrslugerðar um varnarleysi sem forgangsraðar eða hefur samskipti við aðra aðila en CCP-aðila. Þar af leiðandi gerir þetta ákvæði kleift að grípa til aðgerða utan landamæra Kína gegn aðilum eða einstaklingum sem eru taldir ógna hagsmunum ríkisins – sem er mikilvæg áhætta fyrir fyrirtæki með starfsemi í Kína eða stunda starfsemi sem Alþýðulýðveldið Kína gæti litið á sem fjandsamlega.
Aðgerð og greining
**Fylgd með Health-ISAC aðild**
[I] Lexis Nexis þýðing á netöryggislögum Alþýðulýðveldisins Kína (breytt árið 2025)
[Ii] Lexis Nexis þýðing á netöryggislögum Alþýðulýðveldisins Kína (breytt árið 2025)
[Iii] Lexis Nexis þýðing á netöryggislögum Alþýðulýðveldisins Kína (breytt árið 2025)
[Iv] Lexis Nexis þýðing á netöryggislögum Alþýðulýðveldisins Kína (breytt árið 2025)
- Tengdar heimildir og fréttir
- Aukning á CalPhishing-árásum í heilbrigðisgeiranum
- Bestu starfshættir við stjórnun auðkenningar og aðgangsstýringar þriðja aðila
- Það sem leiðtogar í heilbrigðisgeiranum þurfa að vita um netöryggi árið 2026-2027
- Hvaða áhrif hefur tilskipun Trumps um gervigreind á heilbrigðisgeirann?
- Skýrsla um ógnlandslag heilbrigðisþjónustu og félagsaðstoðar
- Gervigreind í heilbrigðisþjónustu er áhættusöm tillaga
- Live@eXchange Dagur 2 – Öryggisgreinandi lækningatækja hjá Health-ISAC
- Health-ISAC Hacking Healthcare 6-3-2026
- Nýjar veikleikar sem beinast að heilbrigðisgeiranum
- Mánaðarlegt fréttabréf – júní 2026