وفي الواقع، وجد الباحثون أن بعض الشركات يبدو أنها تتخذ هذا الخيار الثاني. ويشيرون إلى وثيقة صادرة في يوليو/تموز 2022 تم نشرها على حساب منظمة بحثية داخل وزارة الصناعة وتكنولوجيا المعلومات على خدمة التواصل الاجتماعي WeChat باللغة الصينية. تسرد الوثيقة المنشورة أعضاء برنامج مشاركة معلومات الثغرات الأمنية الذين “اجتازوا الاختبار”، مما قد يشير إلى أن الشركات المدرجة امتثلت للقانون. وتشمل القائمة، التي تركز على شركات تكنولوجيا أنظمة التحكم الصناعية (ICS)، ست شركات غير صينية: Beckhoff، وD-Link، وKUKA، وOmron، وPhoenix Contact، وSchneider Electric.
سألت WIRED جميع الشركات الست عما إذا كانت في الواقع تمتثل للقانون وتتبادل المعلومات حول نقاط الضعف غير المصححة في منتجاتها مع الحكومة الصينية. نفى اثنان فقط، وهما D-Link وPhoenix Contact، بشكل قاطع تقديم معلومات حول الثغرات الأمنية غير المصححة إلى السلطات الصينية، على الرغم من أن معظم الآخرين أكدوا أنهم قدموا فقط معلومات غير ضارة نسبيًا عن الثغرات الأمنية للحكومة الصينية وفعلوا ذلك في نفس الوقت الذي قدموا فيه تلك المعلومات. لحكومات الدول الأخرى أو لعملائها.
ويقر مؤلفو تقرير المجلس الأطلسي بأن الشركات المدرجة في قائمة وزارة الصناعة وتكنولوجيا المعلومات من غير المرجح أن تقوم بتسليم معلومات تفصيلية عن نقاط الضعف التي يمكن أن يستخدمها قراصنة الدولة الصينيون على الفور. إن ترميز “برمجية استغلال” موثوقة، وهي أداة برمجية للقرصنة تستغل ثغرة أمنية، تكون في بعض الأحيان عملية طويلة وصعبة، كما أن المعلومات حول الثغرة الأمنية التي يتطلبها القانون الصيني ليست بالضرورة مفصلة بما يكفي لبناء مثل هذه الثغرة على الفور.
لكن نص القانون يتطلب – بشكل غامض إلى حد ما – أن تقدم الشركات الاسم ورقم الطراز وإصدار المنتج المتأثر، بالإضافة إلى “الخصائص التقنية والتهديد ونطاق التأثير وما إلى ذلك” للثغرة الأمنية. عندما تمكن مؤلفو تقرير المجلس الأطلسي من الوصول إلى البوابة الإلكترونية للإبلاغ عن العيوب القابلة للاختراق، وجدوا أنها تتضمن حقل إدخال مطلوبًا للحصول على تفاصيل حول مكان “إثارة” الثغرة الأمنية في الكود أو مقطع فيديو يوضح “دليلًا تفصيليًا على الثغرة الأمنية” “عملية الاكتشاف”، بالإضافة إلى حقل إدخال غير مطلوب لتحميل ثغرة إثبات المفهوم لإظهار الخلل. كل هذا عبارة عن معلومات حول نقاط الضعف غير المصححة أكثر بكثير مما تطلبه الحكومات الأخرى عادة أو التي تشاركها الشركات بشكل عام مع عملائها.
حتى بدون هذه التفاصيل أو استغلال إثبات المفهوم، فإن مجرد وصف الخلل بالمستوى المطلوب من التحديد من شأنه أن يوفر “دليلًا” للقراصنة الهجوميين الصينيين أثناء بحثهم عن ثغرات أمنية جديدة لاستغلالها، كما تقول كريستين ديل روسو، خبيرة تكنولوجيا المعلومات. كبير مسؤولي التكنولوجيا في القطاع العام في شركة الأمن السيبراني سوفوس، الذي شارك في تأليف تقرير المجلس الأطلسي. وترى أن القانون يمكن أن يوفر لهؤلاء المتسللين الذين ترعاهم الدولة بداية مهمة في سباقهم ضد جهود الشركات لتصحيح أنظمتها والدفاع عنها. يقول ديل روسو: “إنها مثل الخريطة التي تقول: انظر هنا وابدأ بالحفر”. “علينا أن نكون مستعدين لاحتمال استخدام نقاط الضعف هذه كسلاح.”
وإذا كان القانون الصيني يساعد في الواقع المتسللين الذين ترعاهم الدولة في البلاد على اكتساب ترسانة أكبر من العيوب القابلة للاختراق، فقد يكون له آثار جيوسياسية خطيرة. بلغت التوترات الأمريكية مع الصين بشأن التجسس الإلكتروني في البلاد والاستعدادات الواضحة لهجوم إلكتروني تخريبي ذروتها في الأشهر الأخيرة. في يوليو، على سبيل المثال، كشفت وكالة الأمن السيبراني وأمن المعلومات (CISA) ومايكروسوفت أن المتسللين الصينيين حصلوا بطريقة ما على مفتاح تشفير سمح للجواسيس الصينيين بالوصول إلى حسابات البريد الإلكتروني لـ 25 منظمة، بما في ذلك وزارة الخارجية ووزارة التجارة. وحذرت شركات مايكروسوفت وCISA ووكالة الأمن القومي أيضًا من حملة قرصنة صينية الأصل زرعت برامج ضارة في شبكات الكهرباء في الولايات المتحدة وغوام، ربما للحصول على القدرة على قطع الطاقة عن القواعد العسكرية الأمريكية.
