Korporacyjne, korporacyjne sieci VPN nie będą musiały utrzymywać dzienników klientów: CERT-In

Opublikowany: 2022-05-18

CERT-In wydał dokument wyjaśniający wydane przez siebie nowe kierunki cyberbezpieczeństwa

Pomimo obaw związanych z nowymi przepisami, wydaje się, że rząd nie ma ochoty na jakiekolwiek zmiany

Rząd dał również do zrozumienia, że ​​nowe kierunki nie wpływają na „prawo do prywatności informacji jednostek”.

Indyjski zespół reagowania na incydenty komputerowe (CERT-In) opublikował długo oczekiwane wyjaśnienia dotyczące nowych kierunków bezpieczeństwa cybernetycznego, wydane 28 kwietnia, w formacie FAQ. Węzłowa agencja bezpieczeństwa cybernetycznego stwierdziła, że ​​zasada utrzymywania dzienników klientów nie będzie miała zastosowania do korporacyjnych i korporacyjnych wirtualnych sieci prywatnych (VPN).

Wyjaśniono, że termin dostawcy usług VPN odnosi się do podmiotu, który świadczy „usługi podobne do internetowego proxy” za pomocą technologii VPN, standardowych lub zastrzeżonych, ogólnym abonentom/użytkownikom Internetu.

Wydanie wyjaśnień sygnalizuje też, że mimo krytyki, jaką spotkały nowe przepisy, rząd nie ma ochoty na ponowne przemyślenie.

Nowe zasady zobowiązują dostawców VPN , dostawców wirtualnych serwerów prywatnych (VPS) i dostawców usług w chmurze do gromadzenia i przechowywania danych klientów przez co najmniej pięć lat.

„Każdy usługodawca oferujący usługi użytkownikom w kraju musi umożliwić i prowadzić dzienniki i rejestry transakcji finansowych w indyjskiej jurysdykcji” – czytamy w dokumencie wyjaśniającym.

W dokumencie znajdują się odpowiedzi na 44 pytania wraz z wyjaśnieniem, jakie rodzaje incydentów cyberbezpieczeństwa należy zgłaszać do CERT-In.

Czy utracono prawo do prywatności?

Według rządu nowe kierunki mają na celu zapewnienie terminowego zgłaszania incydentów cybernetycznych do CERT-In, uzupełnionych o niezbędne informacje potrzebne do analizy takich incydentów, co docelowo zwiększy świadomość sytuacyjną w zakresie cyberbezpieczeństwa, złagodzi incydenty/ataki cybernetyczne i nie tylko , zapewnienie ochrony danych i dostępności usług dla obywateli.

„Wysiłki te poprawią ogólną postawę bezpieczeństwa cybernetycznego i zapewnią otwarty, bezpieczny, zaufany i odpowiedzialny Internet w kraju” – czytamy w dokumencie.

Jednak wielu ekspertów zakwestionowało nowe przepisy w związku z brakiem prawa o ochronie danych w kraju.

W rozmowie z Inc42 Anupam Shukla, partner w Pioneer Legal, powiedział , że rząd powinien był zapewnić uchwalenie prawa o ochronie prywatności przed wprowadzeniem regulacji wymagającej od podmiotów prywatnych, takich jak dostawcy usług VPN, przechowywania danych należących do osób prywatnych.

Polecany dla Ciebie:

Jak platforma agregacji kont RBI ma zmienić fintech w Indiach
Zasoby

Jak platforma agregacji kont RBI ma przekształcić fintech w Indiach

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych startupów poprzez „Jugaad”: CEO CitiusTech
Aktualności

Przedsiębiorcy nie mogą tworzyć zrównoważonych, skalowalnych start-upów poprzez „Jugaad”: Cit...

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?
Zasoby

Jak Metaverse zmieni indyjski przemysł motoryzacyjny?

Co oznacza przepis anty-profitowy dla indyjskich startupów?
Zasoby

Co oznacza przepis anty-profitowy dla indyjskich startupów?

W jaki sposób startupy Edtech pomagają w podnoszeniu umiejętności i przygotowują pracowników na przyszłość
Zasoby

W jaki sposób start-upy Edtech pomagają indyjskim pracownikom podnosić umiejętności i być gotowym na przyszłość...

Aktualności

Akcje New Age Tech w tym tygodniu: Kłopoty Zomato nadal, EaseMyTrip publikuje Stro...

Odnosząc się do prawa do prywatności, Shukla powiedział również, że musi istnieć dość wysoki próg konieczności, w którym rząd może naruszać prywatność jednostki. To musi być wyjątek, a nie reguła.

W najnowszym dokumencie rząd wyraźnie powiedział: „Nie ma to wpływu na prawo do prywatności informacji jednostek”.

„Te wskazówki nie przewidują poszukiwania informacji przez CERT-In od dostawców usług na zasadzie kontynuacji jako stałe porozumienie. CERT-In może zasięgać informacji od dostawców usług w przypadku incydentów cyberbezpieczeństwa i incydentów cybernetycznych, w zależności od przypadku, w celu wywiązania się ze swoich ustawowych obowiązków w zakresie zwiększenia bezpieczeństwa cybernetycznego w kraju” – dodał.

W sprawie przechowywania logów CERT-In stwierdził, że logi mogą być przechowywane również poza granicami kraju, o ile podmioty dopełnią „obowiązku tworzenia logów” w rozsądnym czasie.

Utrzymywanie i udostępnianie danych

Funkcjonariusz CERT-In, nie niższy niż ranga zastępcy sekretarza rządu Indii, miałby uprawnienia do poszukiwania informacji dotyczących kłód.

W odniesieniu do rodzajów dzienników, które muszą być utrzymywane przez usługodawców, w dokumencie stwierdzono: „Dzienniki, które powinny być utrzymywane, będą zależeć od sektora, w którym znajduje się organizacja, np. logi zapory ogniowej, logi systemów zapobiegania włamaniom, logi SIEM, Logi web/bazy danych/poczty/FTP/ serwerów proxy, logi zdarzeń krytycznych systemów, logi aplikacji, logi przełączników ATM, logi SSH, logi VPN itp.”

Rząd zwrócił się również do organizacji o korzystanie z dokładnych i standardowych źródeł czasu. Obecna dyrektywa wymaga jednolitej synchronizacji czasu we wszystkich systemach teleinformatycznych (ICT) niezależnie od strefy czasowej. „Informacje o strefie czasowej powinny być również rejestrowane wraz z czasem, aby ułatwić dokładną konwersję w razie potrzeby”, mówi dokument.

Koszt niezgodności

Nowe wskazówki zaczną obowiązywać po 60 dniach od daty wydania, czyli 28 kwietnia.

Dostawcy usług aktywów wirtualnych, dostawcy usług wymiany aktywów wirtualnych, dostawcy portfeli powierniczych i organizacje rządowe również byliby objęci tymi przepisami.

W dokumencie wspomniano również o konsekwencjach niezgodności z nowymi kierunkami. „Akcja niezgodności z instrukcjami dotyczącymi bezpieczeństwa cybernetycznego z dnia 28.04.2022 r. wydanymi na podstawie podsekcji (6) art. 70B ustawy o technologii informacyjnej z 2000 r. może skutkować karnymi przepisami art. Działać."

Sekcja 70 B (7) ustawy o IT z 2020 r. stanowi, że nieprzestrzeganie nakazu zawartego w ust. lakh rupii lub jedno i drugie.

Zasady spotkały się z krytyką kilku międzynarodowych dostawców usług VPN, którzy mówili również o możliwości opuszczenia Indii w celu przestrzegania polityki braku logów. Zobaczymy, jak zareagują na wyjaśnienie wydane przez agencję.

Gytis Malinauskas, szef działu prawnego w Surfshark, powiedział wcześniej, że firma stara się zrozumieć nowe przepisy i ich konsekwencje, ale ogólnym celem było dalsze świadczenie usług bez logowania dla wszystkich swoich użytkowników.

Z drugiej strony Laura Tyrylyte, szefowa public relations w Nord Security, powiedziała, że ​​firma przygląda się nowemu prawu, aby lepiej zrozumieć, co jest wymagane, ale z tego, co się wydawało, firma będzie musiała dokonać fundamentalnych zmian w swojej infrastrukturze , jej polityki i wartości, i „trudno było zobaczyć, jak taki scenariusz się urzeczywistnia”.