لن تحتاج شبكات VPN الخاصة بالشركات والمؤسسات إلى الاحتفاظ بسجلات العملاء: CERT-In
نشرت: 2022-05-18أصدر فريق CERT-In وثيقة توضيح بشأن توجيهات الأمن السيبراني الجديدة الصادرة عنه
على الرغم من المخاوف بشأن القواعد الجديدة ، لا يبدو أن الحكومة في حالة مزاجية لإجراء أي تغييرات
كما أوضحت الحكومة أن "الحق في الخصوصية المعلوماتية للأفراد لا يتأثر" بالتوجيهات الجديدة
أصدر فريق الاستجابة للطوارئ الحاسوبية الهندي (CERT-In) التوضيحات التي طال انتظارها بشأن توجيهاته الجديدة للأمن السيبراني ، والتي صدرت في 28 أبريل ، بتنسيق الأسئلة الشائعة. قالت وكالة الأمن السيبراني العقدية إن قاعدة الاحتفاظ بسجلات العملاء لن تكون قابلة للتطبيق على الشبكات الخاصة الافتراضية للمؤسسات والشركات (VPN).
وأوضحت أن مصطلح موفري خدمة VPN يشير إلى كيان يوفر "وكيل الإنترنت مثل الخدمات" من خلال استخدام تقنيات VPN ، القياسية أو المسجلة الملكية ، لمشتركي / مستخدمي الإنترنت بشكل عام.
يشير إصدار التوضيح أيضًا إلى أنه على الرغم من الانتقادات التي تلقتها القواعد الجديدة ، فإن الحكومة ليست في حالة مزاجية لإعادة التفكير فيها.
تفرض القواعد الجديدة على موفري VPN وموفري الخادم الافتراضي الخاص (VPS) وموفري الخدمات السحابية جمع بيانات العملاء وتخزينها لمدة خمس سنوات أو أكثر.
وقالت وثيقة التوضيح: "يحتاج أي مقدم خدمة يقدم خدمات للمستخدمين في الدولة إلى تمكين والحفاظ على سجلات وسجلات المعاملات المالية في الولاية القضائية الهندية".
توجد إجابات على 44 سؤالاً في الوثيقة بالإضافة إلى شرح لأنواع حوادث الأمن السيبراني التي يجب إبلاغ فريق الاستجابة للطوارئ بها.
هل الحق في الخصوصية مفقود؟
وفقًا للحكومة ، تهدف التوجيهات الجديدة إلى ضمان الإبلاغ في الوقت المناسب عن الحوادث الإلكترونية إلى CERT-In ، مع استكمالها بالمعلومات الضرورية المطلوبة لتحليل مثل هذه الحوادث ، والتي ستعزز في النهاية الوعي بحالة الأمن السيبراني ، وتخفيف حوادث / هجمات الأمن السيبراني والمزيد. ، وضمان حماية البيانات وتوافر الخدمات للمواطنين.
وجاء في الوثيقة: "ستعزز هذه الجهود الموقف العام للأمن السيبراني وتضمن إنترنت مفتوح وآمن وموثوق به وخاضع للمساءلة في الدولة".
ومع ذلك ، شكك العديد من الخبراء في القواعد الجديدة في غياب قانون حماية البيانات في البلاد.
في حديثه إلى Inc42 ، قال أنوبام شوكلا ، الشريك في بايونير ليجال ، إنه كان ينبغي على الحكومة ضمان سن قانون الخصوصية قبل التوصل إلى لائحة تطالب الكيانات الخاصة مثل مزودي خدمة VPN بتخزين البيانات الخاصة بالأفراد.
موصى به لك:
كيف يتم تعيين إطار عمل مجمع الحسابات في RBI لتحويل التكنولوجيا المالية في الهند
لا يمكن لرواد الأعمال إنشاء شركات ناشئة مستدامة وقابلة للتطوير من خلال 'Jugaad': المواطنون ...
كيف ستحول Metaverse صناعة السيارات الهندية
ماذا يعني توفير مكافحة الربح بالنسبة للشركات الهندية الناشئة؟
كيف تساعد الشركات الناشئة في تكنولوجيا التعليم في تطوير مهارات القوى العاملة في الهند وتصبح جاهزة للمستقبل ...
الأسهم التقنية في العصر الجديد هذا الأسبوع: مشاكل Zomato مستمرة ، EaseMyTrip تنشر Stro ...
وفي إشارة إلى الحق في الخصوصية ، قال شوكلا أيضًا إنه يجب أن يكون هناك حد مرتفع نسبيًا للضرورة حيث يمكن للحكومة أن تنتهك خصوصية الفرد. يجب أن يكون هذا استثناء وليس قاعدة.
في الوثيقة الأخيرة ، قالت الحكومة بوضوح: "لا يتأثر الحق في الخصوصية المعلوماتية للأفراد".
"لا تتوخى هذه التوجيهات السعي للحصول على المعلومات بواسطة CERT-In من مزودي الخدمة على أساس مستمر كترتيب دائم. قد يسعى فريق CERT-In إلى الحصول على معلومات من مزودي الخدمة في حالة وقوع حوادث الأمن السيبراني والحوادث الإلكترونية ، على أساس كل حالة على حدة ، للوفاء بالتزاماته القانونية لتعزيز الأمن السيبراني في الدولة ".
عند تخزين السجلات ، قال فريق CERT-In إنه يمكن تخزين السجلات خارج البلد أيضًا ، طالما أن الكيانات تلتزم بـ "الالتزام بإنتاج السجلات" في وقت معقول.
الحفاظ على البيانات وتوفيرها
سيكون لضابط CERT-In ، الذي لا يقل عن رتبة نائب سكرتير حكومة الهند ، سلطة طلب المعلومات المتعلقة بالسجلات.
فيما يتعلق بأنواع السجلات التي يجب أن يحتفظ بها مقدمو الخدمة ، قال المستند ، "إن السجلات التي يجب الاحتفاظ بها تعتمد على القطاع الذي توجد فيه المؤسسة ، مثل سجلات جدار الحماية ، وسجلات أنظمة منع التطفل ، وسجلات SIEM ، سجلات الويب / قاعدة البيانات / البريد / FTP / الخادم الوكيل ، وسجلات الأحداث للأنظمة المهمة ، وسجلات التطبيق ، وسجلات تبديل ATM ، وسجلات SSH ، وسجلات VPN ، وما إلى ذلك "
كما طلبت الحكومة من المنظمات استخدام مصادر زمنية دقيقة ومعيارية. يتطلب التوجيه الحالي مزامنة زمنية موحدة عبر جميع أنظمة تكنولوجيا اتصالات المعلومات (ICT) بغض النظر عن المنطقة الزمنية. تقول الوثيقة: "يجب أيضًا تسجيل معلومات المنطقة الزمنية جنبًا إلى جنب مع الوقت لتسهيل التحويل الدقيق في وقت الحاجة".
تكلفة عدم الامتثال
ستصبح التوجيهات الجديدة سارية المفعول بعد 60 يومًا من تاريخ الإصدار ، أي 28 أبريل.
كما ستتم تغطية مقدمي خدمات الأصول الافتراضية ومقدمي تبادل الأصول الافتراضية ومقدمي المحافظ الوديعة والمنظمات الحكومية بموجب القواعد.
كما أشارت الوثيقة إلى عواقب عدم الامتثال للتوجيهات الجديدة. "إن فعل عدم الامتثال لتوجيهات الأمن السيبراني بتاريخ 28.04.2022 الصادر بموجب القسم الفرعي (6) من القسم 70 ب من قانون تكنولوجيا المعلومات لعام 2000 قد يجذب الأحكام الجزائية للقسم الفرعي (7) من القسم 70 ب من يمثل."
ينص القسم 70 ب (7) من قانون تكنولوجيا المعلومات لعام 2020 على أن عدم الامتثال للتوجيه الوارد في القسم الفرعي (6) سيؤدي إلى عقوبة لمدة قد تمتد إلى عام واحد ، أو بغرامة ، والتي قد تمتد إلى عام واحد. روبية لكح أو كليهما.
تلقت القواعد انتقادات من العديد من مزودي خدمة VPN الدوليين الذين تحدثوا أيضًا عن إمكانية الخروج من الهند للالتزام بسياسة عدم الاحتفاظ بالسجلات. يبقى أن نرى كيف سيكون رد فعلهم على التوضيح الذي أصدرته الوكالة.
صرح Gytis Malinauskas ، رئيس القسم القانوني في Surfshark ، في وقت سابق أن الشركة كانت تحاول فهم اللوائح الجديدة وآثارها ، لكن الهدف العام هو الاستمرار في تقديم خدمات عدم الاحتفاظ بالسجلات لجميع مستخدميها.
من ناحية أخرى ، قالت Laura Tyrylyte ، رئيسة العلاقات العامة في شركة Nord Security ، إن الشركة تدرس القانون الجديد لفهم ما هو مطلوب بشكل أفضل ، ولكن مما يبدو ، فإن الشركة ستكون مطالبة بإجراء تغييرات جوهرية في بنيتها التحتية. وسياساتها وقيمها ، وكان "من الصعب رؤية مثل هذا السيناريو ينبض بالحياة".