企业、企业 VPN 不需要维护客户日志：CERT-In

已发表: 2022-05-18

CERT-In发布了其发布的新网络安全方向的澄清文件

尽管对新规则存在担忧，但政府似乎没有心情做出任何改变

政府还明确表示，“个人的信息隐私权不受新方向的影响”

印度计算机应急响应小组 (CERT-In) 于 4 月 28 日以常见问题解答格式发布了备受期待的关于其新网络安全方向的说明。节点网络安全机构表示，维护客户日志的规则不适用于企业和企业虚拟专用网络 (VPN)。

它澄清说，VPN 服务提供商一词是指通过使用标准或专有的 VPN 技术向普通互联网订户/用户提供“互联网代理类服务”的实体。

澄清的发布也表明，尽管新规则受到了批评，但政府没有心情重新考虑。

新规则要求 VPN提供商、虚拟专用服务器 (VPS) 提供商和云服务提供商收集和存储其客户数据五年或更长时间。

澄清文件称：“任何向该国用户提供服务的服务提供商都需要在印度管辖范围内启用和维护金融交易的日志和记录。”

文档中有 44 个问题的答案，以及对向 CERT-In 报告的网络安全事件类型的解释。

政府表示，新方向旨在确保及时向 CERT-In 报告网络事件，并辅以分析此类事件所需的必要信息，最终将增强网络安全态势感知，减轻网络安全事件/攻击等，确保数据保护和公民服务的可用性。

文件称：“这些努力将加强整体网络安全态势，并确保该国互联网的开放、安全、可信和负责任。”

然而，在该国没有数据保护法的情况下，许多专家质疑新规则。

Pioneer Legal 的合伙人 Anupam Shukla 在与 Inc42 交谈时曾表示，政府应该先确保颁布隐私法，然后再制定一项法规，要求 VPN 服务提供商等私人实体存储属于私人的数据。

资源

RBI 的账户聚合器框架将如何改变印度的金融科技

消息

资源

资源

资源

消息

谈到隐私权，舒克拉还表示，政府可以侵犯个人隐私的必要性门槛必须相当高。这必须是一个例外，而不是一个规则。

政府在最新文件中明确表示，“个人信息隐私权不受影响”。

“这些指示并未将 CERT-In 继续从服务提供商那里寻求信息作为一项长期安排。 CERT-In 可能会在发生网络安全事件和网络事件时，根据具体情况向服务提供商寻求信息，以履行其加强该国网络安全的法定义务，”它补充说。

关于日志的存储，CERT-In 表示，只要实体在合理时间内遵守“生成日志的义务”，日志也可以存储在国外。

不低于印度政府副部长级别的 CERT-In 官员将有权寻求有关日志的信息。

关于需要由服务提供商维护的日志类型，该文件说，“应该维护的日志将取决于组织所在的部门，例如防火墙日志、入侵防御系统日志、SIEM 日志、 web/数据库/邮件/FTP/代理服务器日志、关键系统的事件日志、应用程序日志、ATM交换机日志、SSH日志、VPN日志等”

政府还要求这些组织使用准确和标准的时间来源。当前指令要求在所有信息通信技术 (ICT) 系统之间进行统一的时间同步，无论时区如何。 “时区信息还应与时间一起记录，以便在需要时进行准确转换，”该文件称。

新指令将于发布之日起 60 天后生效，即 4 月 28 日。

虚拟资产服务提供商、虚拟资产交换提供商、托管钱包提供商和政府组织也将被纳入规则。

该文件还提到了不遵守新方向的后果。 “根据 2000 年《信息技术法》第 70B 条第 (6) 款发布的不遵守 2022 年 4 月 28 日的网络安全指示的行为可能会引起《2000 年信息技术法》第 70B 条第 (7) 款的处罚规定。行为。”

2020 年 IT 法案第 70 B (7) 条规定，不遵守第 (6) 款下的指示将受到可延长至一年的处罚，或可延长至一年的罚款十万卢比或两者兼而有之。

这些规则受到了几家国际 VPN 服务提供商的批评，他们还谈到了退出印度以坚持其无日志政策的可能性。他们对该机构发布的澄清有何反应还有待观察。

Surfshark 法律部门负责人 Gytis Malinauskas 早些时候曾表示，该公司正试图了解新法规及其影响，但总体目标是继续为其所有用户提供无日志服务。

另一方面，Nord Security 公共关系负责人 Laura Tyrylyte 表示，该公司正在研究新法律以更好地了解要求，但从表面上看，该公司将被要求对其基础设施进行根本性改变，它的政策和价值观，而且“很难看到这样的场景变成现实”。