El viernes, el Ministerio de Industria y Tecnología de la Información de China (MIIT) dio a conocer propuestas preliminares que detallan sus estrategias para abordar eventos de seguridad de datos en el país mediante un sistema de codificación de colores.
Este esfuerzo está diseñado para «mejorar la capacidad de respuesta integral ante incidentes de seguridad de datos, asegurando el control, mitigación y eliminación oportunos y efectivos de peligros y pérdidas causados por incidentes de seguridad de datos, con el fin de proteger los derechos e intereses legítimos de individuos y organizaciones, y salvaguardar la seguridad nacional y los intereses públicos», según indicó el departamento.
El documento de 25 páginas aborda todos los incidentes en los que los datos han sido accedidos, filtrados, destruidos o manipulados ilegalmente, categorizándolos en cuatro niveles jerárquicos basados en el alcance y el grado de daño causado:
Rojo: Nivel I («especialmente significativo»), que se aplica a cierres generalizados, pérdida sustancial de capacidad de procesamiento comercial, interrupciones prolongadas debido a anomalías graves que superan las 24 horas, ocurrencia de interferencia de radio importante durante más de 24 horas, pérdidas económicas de 1 mil millones de yuanes, o afecta la información personal de más de 100 millones de personas o la información personal sensible de más de 10 millones de personas.
Naranja: Nivel II («significativo»), que se aplica a cierres e interrupciones operativas que duran más de 12 horas, ocurrencia de interferencia de radio importante durante más de 12 horas, pérdidas económicas entre 100 millones de yuanes y 1 mil millones de yuanes, o afecta la información personal de más de 10 millones de personas o la información personal sensible de más de 1 millón de personas.
Amarillo: Nivel III («amplio»), que se aplica a interrupciones operativas que duran más de ocho horas, ocurrencia de interferencia de radio importante durante más de ocho horas, pérdidas económicas entre 50 millones de yuanes y 100 millones de yuanes, o afecta la información personal de más de 1 millón de personas o la información personal sensible de más de 100,000 personas.
Azul: Nivel IV («general»), que se aplica a eventos menores que causan interrupciones operativas que duran menos de ocho horas, pérdidas económicas de menos de 50 millones de yuanes, o afecta la información personal de menos de 1 millón de personas o la información personal sensible de menos de 100,000 personas.
Las nuevas normas también exigen que las empresas afectadas realicen una evaluación para determinar la gravedad del incidente y, si se considera grave, lo informen inmediatamente al departamento local de supervisión de la industria sin omitir ni ocultar información ni proporcionar información falsa.
«Si el departamento regulador de la industria local determina inicialmente que se trata de un incidente de seguridad de datos particularmente importante o importante, debe informarlo a la Oficina del Mecanismo de acuerdo con los requisitos de ’10 minutos por teléfono y 30 minutos por escrito’ después de descubrir el incidente», establecen las normas preliminares.
Según el nivel de respuesta activado, Rojo o Naranja, se espera que la Oficina del Mecanismo informe al MIIT. Las normas preliminares están abiertas a comentarios públicos hasta el 15 de enero de 2024.
Este desarrollo coincide con el anuncio de la empresa de videotelefonía y comunicaciones empresariales Zoom sobre un sistema de puntuación de impacto de vulnerabilidad de código abierto (VISS) para «capturar de manera objetiva las características principales de impacto de vulnerabilidades de software, hardware y firmware en relación con la infraestructura asociada, la pila tecnológica y la seguridad de los datos del cliente».
