Проект правил кибербезопасности Китая создает риски для финансовых компаний — лоббистская группа

Предложенные Китаем правила кибербезопасности для финансовых учреждений могут создать риски для операций западных компаний, делая их данные уязвимыми для взлома, среди прочего, говорится в письме ведущей лоббистской группы, с которым ознакомилось агентство Reuters.

Последнее нормативное предложение поступило в то время, когда ряд западных инвестиционных банков и управляющих активами расширяют свое присутствие в Китае либо путем создания полностью принадлежащих им подразделений, либо путем увеличения доли в существующих совместных предприятиях.

Комиссия по регулированию ценных бумаг Китая (CSRC) 29 апреля опубликовала проект административных мер по управлению сетевой безопасностью в индустрии ценных бумаг и фьючерсов и предложила месячные публичные консультации по предложениям.

Проект правил направлен на то, чтобы обязывать инвестиционные банки, управляющие активами и фьючерсные компании, работающие в Китае, обмениваться данными с CSRC, разрешать тестирование под руководством регулирующего органа и помогать в создании централизованного центра резервного копирования данных.

Morgan Stanley и HSBC входят в число тех, кто выиграл в последние месяцы от того, что Китай открыл финансовый сектор для иностранцев, вслед за Goldman Sachs и JPMorgan, которые в прошлом году получили одобрение на управление местными подразделениями.

Лобби-группа, Азиатская ассоциация индустрии ценных бумаг и финансовых рынков (ASIFMA), в письме от 27 мая, адресованном CSRC, выразила обеспокоенность своих членов по поводу проекта правил, поскольку они предполагают риски при обмене конфиденциальными данными.

О содержании письма, с которым ознакомилось агентство Reuters, ранее не сообщалось.

ASIFMA, в которую входят более 160 членов, включая ведущие финансовые учреждения как со стороны покупки, так и со стороны продавца, банки, юридические фирмы и поставщики услуг рыночной инфраструктуры, не подтвердила письмо и отказалась комментировать его содержание.

В ответ на запрос Reuters о комментариях CSRC сообщил, что ASIFMA представила свое мнение 31 мая, через два дня после окончания периода консультаций.

«Однако мы по-прежнему высоко ценим отзывы, направленные соответствующими ассоциациями», — говорится в сообщении, добавив, что регулятор «внимательно изучает мнения и предложения» и будет продолжать с ними общаться.

Предлагаемые новые правила данных для финансовых компаний также появляются на фоне ужесточения надзора Пекина за безопасностью данных, в основном в технологическом секторе, в рамках более широкого регулятивного репрессивного режима, который взбудоражил фондовые рынки страны и застопорил листинги офшорных компаний.

«Огромные риски»

Проект правил требует обмена данными финансовыми компаниями для различных целей, но лоббистская группа обеспокоена тем, что передача конфиденциальных данных сделает компании в этом секторе уязвимыми для «хакеров и других злоумышленников».

Глобальные банки и управляющие активами также отклоняют требование о создании общеотраслевого центра резервного копирования данных.

«Это не только создает огромные риски для всех основных учреждений и операционных учреждений на индивидуальной основе, но также создает значительные системные риски для сектора в Китае и во всем мире, учитывая взаимосвязанность глобального финансового сектора, если данные просочатся наружу», — говорится в письме ASIFMA.

Проект правил также предусматривает, что CSRC может проводить тестирование на проникновение — имитацию кибератаки на операционную систему — и системное сканирование ценных бумаг, фьючерсов и фондовых компаний.

Тем не менее, ASIFMA отметил опасения глобальных банков по поводу того, что тестирование на проникновение под руководством или по заказу регулирующего органа представляет «реальные риски для фирм из-за потенциально разрушительного характера тестирования на проникновение и чувствительности результатов тестирования».

«Тестирование систем и приложений без операционного контекста может серьезно нарушить работу фирмы», — добавила лоббистская группа.

Регулирующий орган не установил каких-либо сроков выпуска окончательных правил или их внедрения.

Автор: Селена Ли, Reuters