VPN-urile corporative și de întreprindere nu vor trebui să mențină jurnalele clienților: CERT-In

Publicat: 2022-05-18

CERT-In a lansat un document de clarificare cu privire la noile direcții de securitate cibernetică emise de acesta

În ciuda preocupărilor legate de noile reguli, guvernul nu pare să aibă chef să facă vreo modificare

Guvernul a mai precizat că „dreptul la confidențialitatea informațională al persoanelor nu este afectat” de noile direcții

Echipa indiană de răspuns la urgențe informatice (CERT-In) a lansat clarificările mult așteptate cu privire la noile sale instrucțiuni de securitate cibernetică, emise pe 28 aprilie, în format Întrebări frecvente. Agenția de securitate cibernetică nodală a spus că regula de a menține jurnalele clienților nu va fi aplicabilă rețelelor private virtuale (VPN) ale întreprinderilor și corporative.

Acesta a clarificat faptul că termenul furnizori de servicii VPN se referă la o entitate care furnizează „servicii de tip proxy Internet” prin utilizarea tehnologiilor VPN, standard sau proprietare, abonaților/utilizatorilor generali de Internet.

Emiterea clarificării semnalează, de asemenea, că, în ciuda criticilor pe care le-au primit noile reguli, guvernul nu are chef să o regândească.

Noile reguli obligă furnizorii de VPN , furnizorii de servere private virtuale (VPS) și furnizorii de servicii cloud să colecteze și să stocheze datele clienților pentru cinci ani sau mai mult.

„Orice furnizor de servicii care oferă servicii utilizatorilor din țară trebuie să activeze și să mențină jurnalele și înregistrările tranzacțiilor financiare din jurisdicția indiană”, se arată în documentul de clarificare.

Există răspunsuri la 44 de întrebări în document, împreună cu o explicație pentru tipurile de incidente de securitate cibernetică care trebuie raportate la CERT-In.

Este pierdut dreptul la intimitate?

Potrivit guvernului, noile direcții sunt menite să asigure raportarea în timp util a incidentelor cibernetice către CERT-In, completată cu informațiile necesare pentru analiza unor astfel de incidente, care în cele din urmă vor spori cunoașterea situației de securitate cibernetică, vor atenua incidentele/atacurile de securitate cibernetică și multe altele. , asigurând protecția datelor și disponibilitatea serviciilor către cetățeni.

„Aceste eforturi vor îmbunătăți postura generală de securitate cibernetică și vor asigura un internet deschis, sigur și de încredere și responsabil în țară”, se arată în document.

Cu toate acestea, mulți experți au pus sub semnul întrebării noile reguli în absența unei legi privind protecția datelor în țară.

Vorbind cu Inc42, Anupam Shukla, partener la Pioneer Legal, a spus că guvernul ar fi trebuit să asigure adoptarea unei legi privind confidențialitatea înainte de a veni cu un regulament care să solicite entităților private precum furnizorii de servicii VPN să stocheze date aparținând persoanelor private.

Recomandat pentru tine:

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India
Resurse

Cum este setat cadrul de agregare de conturi al RBI să transforme Fintech în India

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: CEO CitiusTech
Știri

Antreprenorii nu pot crea startup-uri durabile și scalabile prin „Jugaad”: Cit...

Cum va transforma Metaverse industria auto din India
Resurse

Cum va transforma Metaverse industria auto din India

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?
Resurse

Ce înseamnă prevederea anti-Profiteering pentru startup-urile indiene?

Cum startup-urile Edtech ajută la dezvoltarea competențelor și pregătesc forța de muncă pentru viitor
Resurse

Cum startup-urile Edtech ajută forța de muncă din India să își îmbunătățească abilitățile și să devină pregătite pentru viitor...

Știri

Stocuri de tehnologie New-Age săptămâna aceasta: problemele Zomato continuă, EaseMyTrip postează Stro...

Referindu-se la dreptul la intimitate, Shukla a mai spus că trebuie să existe un prag de necesitate destul de ridicat în care guvernul poate invada intimitatea unei persoane. Aceasta trebuie să fie o excepție și nu o regulă.

În cel mai recent document, guvernul a spus clar: „Dreptul la confidențialitatea informațională al persoanelor nu este afectat”.

„Aceste instrucțiuni nu au în vedere căutarea de informații de către CERT-In de la furnizorii de servicii pe bază de continuare ca un aranjament permanent. CERT-In poate solicita informații de la furnizorii de servicii în cazul incidentelor de securitate cibernetică și al incidentelor cibernetice, de la caz la caz, pentru a-și îndeplini obligațiile statutare de a îmbunătăți securitatea cibernetică în țară”, a adăugat acesta.

Cu privire la depozitarea buștenilor, CERT-In a spus că buștenii pot fi depozitați și în afara țării, atâta timp cât „obligația de a produce bușteni” față de aceasta este respectată de către entități într-un timp rezonabil.

Menținerea și furnizarea datelor

Un ofițer al CERT-In, care nu este sub rangul de secretar adjunct al Guvernului Indiei, ar avea autoritatea de a căuta informații cu privire la jurnalele.

În ceea ce privește tipurile de jurnale care trebuie menținute de furnizorii de servicii, documentul spunea: „Jurnalele care ar trebui menținute ar depinde de sectorul în care se află organizația, cum ar fi jurnalele Firewall, jurnalele sistemelor de prevenire a intruziunilor, jurnalele SIEM, Jurnalele web/bază de date/mail/FTP/ server proxy, jurnalele de evenimente ale sistemelor critice, jurnalele de aplicații, jurnalele de comutare ATM, jurnalele SSH, jurnalele VPN etc.”

Guvernul a cerut, de asemenea, organizațiilor să folosească surse de timp precise și standard. Actuala directivă necesită o sincronizare uniformă a orei în toate sistemele de tehnologie a informației și comunicațiilor (TIC), indiferent de fusul orar. „Informațiile despre fusul orar vor fi, de asemenea, înregistrate împreună cu timpul, pentru a facilita conversia exactă la momentul necesar”, se spune în document.

Costul nerespectării

Noile instrucțiuni vor intra în vigoare după 60 de zile de la data emiterii, adică 28 aprilie.

Furnizorii de servicii de active virtuale, furnizorii de schimb de active virtuale, furnizorii de portofel custozi și organizațiile guvernamentale ar fi, de asemenea, acoperiți de reguli.

Documentul a menționat și consecința nerespectării noilor direcții. „Actul de nerespectare a Instrucțiunilor de securitate cibernetică din 28.04.2022 emis în temeiul sub-secțiunii (6) din secțiunea 70B din Legea privind tehnologia informației din 2000 poate atrage prevederile penale ale sub-secțiunii (7) din secțiunea 70B din Act."

Secțiunea 70 B (7) din Legea IT, 2020 prevede că nerespectarea instrucțiunilor prevăzute la subsecțiunea (6) va atrage pedeapsa pe un termen, care se poate extinde până la un an, sau cu amendă, care se poate extinde până la un an. lakh rupii sau ambele.

Regulile au primit critici de la mai mulți furnizori internaționali de servicii VPN, care au vorbit și despre posibilitatea de a părăsi India pentru a respecta politica lor de interzicere a jurnalelor. Rămâne de văzut cum reacționează aceștia la clarificarea emisă de agenție.

Gytis Malinauskas, șeful departamentului juridic la Surfshark, a spus mai devreme că compania încearcă să înțeleagă noile reglementări și implicațiile acestora, dar scopul general a fost să continue să ofere servicii fără jurnal tuturor utilizatorilor săi.

Pe de altă parte, Laura Tyrylyte, șefa de relații publice la Nord Security, a spus că compania se uită la noua lege pentru a înțelege mai bine ce este necesar, dar din ceea ce părea, compania ar trebui să facă schimbări fundamentale în infrastructura sa. , politicile și valorile sale și a fost „dificil să vezi că un astfel de scenariu ia viață”.