Kurumsal, Kurumsal VPN'lerin Müşteri Günlüklerini Tutması Gerekmeyecek: CERT-In
Yayınlanan: 2022-05-18CERT-In, yayınladığı yeni siber güvenlik yönergelerine ilişkin bir açıklama belgesi yayınladı.
Yeni kurallarla ilgili endişelere rağmen, hükümet herhangi bir değişiklik yapma havasında görünmüyor
Hükümet ayrıca, yeni yönergelerden “kişilerin bilgi gizliliği hakkının etkilenmediğini” açıkça belirtti.
Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), 28 Nisan'da yayınlanan yeni siber güvenlik yönergeleriyle ilgili çok beklenen açıklamaları SSS formatında yayınladı. Nodal siber güvenlik ajansı, müşteri günlüklerini koruma kuralının kurumsal ve kurumsal sanal özel ağlar (VPN) için geçerli olmayacağını söyledi.
VPN hizmet sağlayıcıları teriminin, genel İnternet abonelerine/kullanıcılarına standart veya tescilli VPN teknolojilerinin kullanımı yoluyla "İnternet proxy benzeri hizmetler" sağlayan bir kuruluşa atıfta bulunduğuna açıklık getirmiştir.
Açıklamanın yayınlanması, yeni kuralların aldığı eleştirilere rağmen, hükümetin bunu yeniden düşünme havasında olmadığına da işaret ediyor.
Yeni kurallar , VPN sağlayıcıları, Sanal Özel Sunucu (VPS) sağlayıcıları ve bulut hizmeti sağlayıcılarının müşteri verilerini beş yıl veya daha uzun süre toplamasını ve saklamasını zorunlu kılıyor.
Açıklama belgesinde, "Ülkedeki kullanıcılara hizmet sunan herhangi bir hizmet sağlayıcının, Hindistan yargı alanındaki finansal işlemlerin günlüklerini ve kayıtlarını etkinleştirmesi ve sürdürmesi gerekiyor" dedi.
Belgede 44 sorunun yanıtı ve CERT-In'e bildirilecek siber güvenlik olaylarının türleri için bir açıklama yer alıyor.
Gizlilik Hakkı Kaybedilir mi?
Hükümete göre, yeni yönergeler, siber olayların CERT-In'e zamanında rapor edilmesini sağlamayı amaçlıyor ve bu tür olayların analizi için gerekli bilgilerle destekleniyor, bu da sonuçta siber güvenlik durumsal farkındalığını artıracak, siber güvenlik olaylarını/saldırılarını ve daha fazlasını azaltacak. , verilerin korunmasını ve vatandaşlara hizmetlerin kullanılabilirliğini sağlamak.
Belgede, "Bu çabalar, genel siber güvenlik duruşunu geliştirecek ve ülkede Açık, Güvenli ve Güvenilir ve Sorumlu İnternet'i sağlayacak" dedi.
Ancak birçok uzman, ülkede bir veri koruma yasasının olmaması nedeniyle yeni kuralları sorguladı.
Inc42 ile görüşen Pioneer Legal Ortağı Anupam Shukla, hükümetin VPN hizmet sağlayıcıları gibi özel kuruluşların özel kişilere ait verileri depolamasını gerektiren bir düzenleme yapmadan önce bir gizlilik yasasının çıkarılmasını sağlaması gerektiğini söylemişti .
Sizin için tavsiye edilen:
RBI'nin Hesap Toplayıcı Çerçevesi Hindistan'da Fintech'i Dönüştürmek İçin Nasıl Ayarlandı?
Girişimciler 'Jugaad' Yoluyla Sürdürülebilir, Ölçeklenebilir Girişimler Yaratamaz: Cit...
Metaverse Hindistan Otomobil Endüstrisini Nasıl Dönüştürecek?
Anti-Profiteing Hükmü Hintli Startuplar İçin Ne Anlama Geliyor?
Edtech Startup'ları Hindistan'ın İşgücünün Becerilerini Geliştirmesine ve Geleceğe Hazır Olmasına Nasıl Yardımcı Oluyor?
Bu Hafta Yeni Çağ Teknoloji Hisseleri: Zomato'nun Sorunları Devam Ediyor, EaseMyTrip Gönderileri Stro...
Mahremiyet hakkına değinen Shukla, hükümetin bir bireyin mahremiyetini ihlal edebileceği oldukça yüksek bir zorunluluk eşiğinin olması gerektiğini de söyledi. Bu bir istisna olmalı ve bir kural değil.
Son belgede hükümet açıkça “Bireylerin bilgi gizliliği hakkı etkilenmez” dedi.
“Bu yönergeler, sürekli bir düzenleme olarak hizmet sağlayıcılardan CERT-In tarafından sürekli olarak bilgi aranmasını öngörmemektedir. CERT-In, ülkedeki siber güvenliği artırmaya yönelik yasal yükümlülüklerini yerine getirmek için siber güvenlik olayları ve siber olaylar durumunda, durum bazında hizmet sağlayıcılardan bilgi talep edebilir.
Logların saklanması konusunda CERT-In, makul bir süre içerisinde 'log üretme zorunluluğu'na teşekküller tarafından uyulması kaydıyla logların ülke dışında da saklanabileceğini söyledi.
Verilerin Korunması ve Sağlanması
Hindistan Hükümeti Sekreter Yardımcısı rütbesinin altında olmayan bir CERT-In memuru, günlüklerle ilgili bilgi arama yetkisine sahip olacaktır.
Hizmet sağlayıcılar tarafından tutulması gereken günlük türleri hakkında ise belgede, “Tutulması gereken günlükler, Güvenlik Duvarı günlükleri, Saldırı Önleme Sistemleri günlükleri, SIEM günlükleri gibi kuruluşun içinde bulunduğu sektöre bağlı olacaktır. web/ veritabanı/posta /FTP/ Proxy sunucu günlükleri, Kritik sistemlerin olay günlükleri, Uygulama günlükleri, ATM anahtar günlükleri, SSH günlükleri, VPN günlükleri vb.”
Hükümet ayrıca kuruluşlardan doğru ve standart zaman kaynakları kullanmalarını istedi. Geçerli yönerge, saat diliminden bağımsız olarak tüm bilgi iletişim teknolojisi (BİT) sistemlerinde tek tip zaman senkronizasyonu gerektirir. Belgede, " Zaman dilimi bilgileri, ihtiyaç anında doğru dönüştürmeyi kolaylaştırmak için zamanla birlikte kaydedilecektir " diyor.
Uygunsuzluk Maliyeti
Yeni yönergeler, düzenlenme tarihinden, yani 28 Nisan tarihinden itibaren 60 gün sonra yürürlüğe girecek.
Sanal varlık hizmet sağlayıcıları, sanal varlık değişim sağlayıcıları, emanetçi cüzdan sağlayıcıları ve devlet kurumları da kurallar kapsamında olacaktır.
Belgede ayrıca yeni yönergelere uyulmamasının sonuçlarından da bahsedildi. “2000 tarihli Bilgi Teknolojileri Kanununun 70B bölümünün (6) alt bölümü uyarınca düzenlenen 28.04.2022 tarihli Siber Güvenlik Yönergesi'ne uymama eylemi, 2000 tarihli Bilgi Teknolojileri Yasası'nın 70B bölümünün (7) alt bölümünün cezai hükümlerini çekebilir. Davranmak."
2020 tarihli BT Yasasının 70 B (7) Bölümü, (6) alt bölümündeki yönergeye uyulmamasının bir yıla kadar uzayabilen bir süre veya bir yıla kadar uzayabilen para cezasına çarptırılacağını belirtir. lakh rupi veya her ikisi.
Kurallar, kayıt tutmama politikasına bağlı kalmak için Hindistan'dan çıkma olasılığından da bahseden birkaç uluslararası VPN servis sağlayıcısından eleştiri aldı. Ajans tarafından yayınlanan açıklamaya nasıl tepki vereceklerini göreceğiz.
Surfshark hukuk departmanı başkanı Gytis Malinauskas daha önce şirketin yeni düzenlemeleri ve bunların sonuçlarını anlamaya çalıştığını, ancak genel amacın tüm kullanıcılarına kayıt tutmayan hizmetler sunmaya devam etmek olduğunu söylemişti.
Öte yandan Nord Security'nin halkla ilişkiler başkanı Laura Tyrylyte, şirketin neyin gerekli olduğunu daha iyi anlamak için yeni yasayı incelediğini, ancak göründüğü kadarıyla şirketin altyapısında köklü değişiklikler yapması gerektiğini söyledi. , politikaları ve değerleri ile “böyle bir senaryonun hayata geçtiğini görmek zordu”.