Корпоративным, корпоративным VPN не нужно будет вести журналы клиентов: CERT-In

Опубликовано: 2022-05-18

CERT-In выпустил разъясняющий документ о новых направлениях кибербезопасности, изданных им

Несмотря на опасения по поводу новых правил, правительство, похоже, не настроено вносить какие-либо изменения.

Правительство также дало понять, что «право на неприкосновенность частной жизни физических лиц не затрагивается» новыми директивами.

Индийская группа реагирования на компьютерные чрезвычайные ситуации (CERT-In) выпустила долгожданные разъяснения по своим новым направлениям кибербезопасности, выпущенные 28 апреля, в формате часто задаваемых вопросов. Узловое агентство кибербезопасности заявило, что правило ведения журналов клиентов не будет применяться к корпоративным и корпоративным виртуальным частным сетям (VPN).

Он уточнил, что термин «поставщики услуг VPN» относится к организации, которая предоставляет «интернет-прокси-услуги», используя стандартные или проприетарные технологии VPN, обычным подписчикам/пользователям Интернета.

Выпуск разъяснений также сигнализирует о том, что, несмотря на критику, которую получили новые правила, правительство не настроено переосмысливать их.

Новые правила обязывают провайдеров VPN , провайдеров виртуальных частных серверов (VPS) и провайдеров облачных услуг собирать и хранить данные своих клиентов в течение пяти и более лет.

«Любой поставщик услуг, предлагающий услуги пользователям в стране, должен включать и вести журналы и записи финансовых транзакций в индийской юрисдикции», — говорится в пояснительном документе.

В документе есть ответы на 44 вопроса, а также объяснение типов инцидентов кибербезопасности, о которых необходимо сообщать в CERT-In.

Потеряно ли право на неприкосновенность частной жизни?

По заявлению правительства, новые направления предназначены для обеспечения своевременной отчетности о киберинцидентах в CERT-In, дополненной необходимой информацией, необходимой для анализа таких инцидентов, что в конечном итоге повысит осведомленность о ситуации в области кибербезопасности, смягчит последствия инцидентов / атак кибербезопасности и многое другое. , обеспечение защиты данных и доступности услуг для граждан.

«Эти усилия повысят общий уровень кибербезопасности и обеспечат открытый, безопасный, надежный и подотчетный Интернет в стране», — говорится в документе.

Однако многие эксперты ставят новые правила под сомнение из-за отсутствия в стране закона о защите данных.

В беседе с Inc42 Анупам Шукла, партнер Pioneer Legal, сказал , что правительство должно было обеспечить принятие закона о конфиденциальности, прежде чем приступать к постановлению, требующему от частных организаций, таких как поставщики услуг VPN, хранить данные, принадлежащие частным лицам.

Рекомендуется для вас:

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии
Ресурсы

Как платформа агрегатора учетных записей RBI предназначена для преобразования финансовых технологий в Индии

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: генеральный директор CitiusTech
Новости

Предприниматели не могут создавать устойчивые масштабируемые стартапы с помощью Jugaad: Cit...

Как Metaverse изменит индийскую автомобильную промышленность
Ресурсы

Как Metaverse изменит индийскую автомобильную промышленность

Что означает положение о борьбе со спекуляцией для индийских стартапов?
Ресурсы

Что означает положение о борьбе со спекуляцией для индийских стартапов?

Как стартапы Edtech помогают повышать квалификацию и готовят рабочую силу к будущему
Ресурсы

Как стартапы Edtech помогают повысить квалификацию рабочей силы Индии и стать готовыми к будущему ...

Новости

Технологические акции нового века на этой неделе: проблемы Zomato продолжаются, EaseMyTrip публикует...

Говоря о праве на неприкосновенность частной жизни, Шукла также сказал, что должен быть достаточно высокий порог необходимости, при котором правительство может вторгаться в частную жизнь человека. Это должно быть исключением, а не правилом.

В последнем документе правительство четко заявило: «Право на неприкосновенность частной жизни физических лиц не затрагивается».

«Эти указания не предусматривают получение информации CERT-In от поставщиков услуг на постоянной основе в качестве постоянной договоренности. CERT-In может запрашивать информацию у поставщиков услуг в случае инцидентов кибербезопасности и киберинцидентов в каждом конкретном случае для выполнения своих уставных обязательств по повышению кибербезопасности в стране», — добавил он.

Что касается хранения журналов, CERT-In заявил, что журналы могут храниться и за пределами страны, если организации соблюдают «обязательство предоставлять журналы» в разумные сроки.

Ведение и предоставление данных

Сотрудник CERT-In в ранге не ниже заместителя секретаря правительства Индии будет иметь право запрашивать информацию в отношении журналов.

О типах журналов, которые должны вести поставщики услуг, в документе говорится: «Журналы, которые должны вестись, будут зависеть от сектора, в котором находится организация, например, журналы брандмауэра, журналы систем предотвращения вторжений, журналы SIEM, журналы веб/базы данных/почты/FTP/прокси-сервера, журналы событий критических систем, журналы приложений, журналы коммутатора ATM, журналы SSH, журналы VPN и т. д.».

Правительство также попросило организации использовать точные и стандартные источники времени. Текущая директива требует единообразной синхронизации времени во всех системах информационно-коммуникационных технологий (ИКТ) независимо от часового пояса. «Информация о часовом поясе также должна записываться вместе со временем, чтобы облегчить точное преобразование в нужное время», — говорится в документе.

Стоимость несоблюдения

Новые направления вступят в силу через 60 дней с момента выдачи, то есть 28 апреля.

Поставщики услуг виртуальных активов, поставщики услуг обмена виртуальными активами, поставщики кастодиальных кошельков и государственные организации также будут подпадать под действие правил.

В документе также упоминаются последствия несоблюдения новых указаний. «Акт о несоблюдении Указания по кибербезопасности от 28 апреля 2022 г., изданный в соответствии с подразделом (6) статьи 70B Закона об информационных технологиях 2000 г., может повлечь за собой уголовные санкции подраздела (7) статьи 70B Закона об информационных технологиях. Действовать."

В разделе 70 B (7) Закона об информационных технологиях 2020 г. говорится, что несоблюдение указаний, изложенных в подразделе (6), влечет за собой наказание на срок, который может продлиться до одного года, или штраф, который может продлиться до одного года. тысяч рупий или и то, и другое.

Правила подверглись критике со стороны нескольких международных поставщиков услуг VPN, которые также говорили о возможности покинуть Индию, чтобы придерживаться своей политики отсутствия журналов. Еще неизвестно, как они отреагируют на разъяснение, данное агентством.

Гитис Малинаускас, глава юридического отдела Surfshark, ранее сказал, что компания пытается понять новые правила и их последствия, но общая цель состоит в том, чтобы продолжать предоставлять услуги без регистрации для всех своих пользователей.

С другой стороны, Лаура Тирилит, глава отдела по связям с общественностью Nord Security, сказала, что компания изучает новый закон, чтобы лучше понять, что требуется, но, судя по всему, от компании потребуется внести фундаментальные изменения в свою инфраструктуру. , его политику и ценности, и было «трудно увидеть, как такой сценарий воплощается в жизнь».