Firmen- und Unternehmens-VPNs müssen keine Kundenprotokolle führen: CERT-In

Veröffentlicht: 2022-05-18

CERT-In veröffentlichte ein Klarstellungsdokument zu den neuen Cyber-Sicherheitsanweisungen, die von ihm herausgegeben wurden

Trotz der Bedenken hinsichtlich neuer Regeln scheint die Regierung nicht in der Stimmung zu sein, Änderungen vorzunehmen

Die Regierung stellte auch klar, dass das „Recht auf informationellen Schutz des Einzelnen“ durch die neuen Richtlinien nicht berührt wird

Das Indian Computer Emergency Response Team (CERT-In) veröffentlichte die lang erwarteten Klarstellungen zu seinen neuen Cyber-Sicherheitsanweisungen, die am 28. April im FAQ-Format herausgegeben wurden. Die Nodal Cyber ​​Security Agency sagte, dass die Regel zur Führung von Kundenprotokollen nicht auf virtuelle private Netzwerke (VPN) von Unternehmen und Unternehmen anwendbar sei.

Es wurde klargestellt, dass sich der Begriff VPN-Dienstanbieter auf eine Einheit bezieht, die „Internet-Proxy-ähnliche Dienste“ durch die Verwendung von VPN-Technologien, standardmäßig oder proprietär, für allgemeine Internet-Abonnenten/Benutzer bereitstellt.

Die Veröffentlichung der Klarstellung signalisiert auch, dass die Regierung trotz der Kritik an den neuen Regeln nicht in der Stimmung ist, sie zu überdenken.

Die neuen Regeln verpflichten VPN -Anbieter, Virtual Private Server (VPS)-Anbieter und Cloud-Service-Anbieter , ihre Kundendaten für fünf Jahre oder länger zu sammeln und zu speichern.

„Jeder Dienstanbieter, der den Benutzern im Land Dienste anbietet, muss Protokolle und Aufzeichnungen über Finanztransaktionen in der indischen Gerichtsbarkeit ermöglichen und führen“, heißt es in dem Klarstellungsdokument.

Das Dokument enthält Antworten auf 44 Fragen sowie Erläuterungen zu den Arten von Cybersicherheitsvorfällen, die CERT-In gemeldet werden müssen.

Geht das Recht auf Privatsphäre verloren?

Nach Angaben der Regierung sollen die neuen Anweisungen sicherstellen, dass CERT-In rechtzeitig Cyber-Vorfälle gemeldet werden, ergänzt durch notwendige Informationen, die für die Analyse solcher Vorfälle erforderlich sind, was letztendlich das Situationsbewusstsein für die Cyber-Sicherheit verbessern, Cyber-Sicherheitsvorfälle/-angriffe und mehr mindern wird , Gewährleistung des Datenschutzes und der Verfügbarkeit von Diensten für die Bürger.

„Diese Bemühungen werden die allgemeine Cyber-Sicherheitslage verbessern und ein offenes, sicheres und vertrauenswürdiges und rechenschaftspflichtiges Internet im Land gewährleisten“, heißt es in dem Dokument.

Viele Experten haben die neuen Regeln jedoch in Frage gestellt, da es im Land kein Datenschutzgesetz gibt.

Im Gespräch mit Inc42 hatte Anupam Shukla, Partner bei Pioneer Legal, gesagt , dass die Regierung die Verabschiedung eines Datenschutzgesetzes hätte sicherstellen sollen, bevor sie eine Verordnung erlassen hätte, die private Unternehmen wie die VPN-Dienstleister dazu verpflichtet, Daten von Privatpersonen zu speichern.

Für dich empfohlen:

Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird
Ressourcen

Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird

Unternehmer können durch „Jugaad“ keine nachhaltigen, skalierbaren Startups schaffen: CEO von CitiusTech
Nachrichten

Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...

Wie Metaverse die indische Automobilindustrie verändern wird
Ressourcen

Wie Metaverse die indische Automobilindustrie verändern wird

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?
Ressourcen

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?

Wie Edtech-Startups dabei helfen, die Mitarbeiter weiterzubilden und zukunftsfähig zu machen
Ressourcen

Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...

Nachrichten

New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...

In Bezug auf das Recht auf Privatsphäre sagte Shukla auch, dass es eine ziemlich hohe Schwelle der Notwendigkeit geben müsse, ab der die Regierung in die Privatsphäre einer Person eindringen kann. Dies muss eine Ausnahme sein und keine Regel.

In dem neuesten Dokument sagte die Regierung eindeutig: „Das Recht auf Privatsphäre von Einzelpersonen wird nicht berührt.“

„Diese Anweisungen sehen keine dauerhafte Einholung von Informationen durch CERT-In bei den Dienstleistern als dauerhafte Vereinbarung vor. CERT-In kann im Falle von Cyber-Sicherheitsvorfällen und Cyber-Vorfällen von Fall zu Fall Informationen von Dienstanbietern einholen, um seinen gesetzlichen Verpflichtungen zur Verbesserung der Cyber-Sicherheit im Land nachzukommen“, fügte es hinzu.

Zur Speicherung von Protokollen sagte CERT-In, dass die Protokolle auch außerhalb des Landes gespeichert werden können, solange die „Verpflichtung zur Erstellung von Protokollen“ von den Stellen innerhalb einer angemessenen Frist eingehalten wird.

Pflege und Bereitstellung von Daten

Ein Beamter des CERT-In, nicht unter dem Rang eines stellvertretenden Sekretärs der indischen Regierung, wäre befugt, Informationen in Bezug auf die Protokolle einzuholen.

In Bezug auf die Arten von Protokollen, die von den Dienstanbietern verwaltet werden müssen, heißt es in dem Dokument: „Die Protokolle, die verwaltet werden sollten, hängen von dem Sektor ab, in dem sich die Organisation befindet, wie z. Web-/Datenbank-/Mail-/FTP-/Proxy-Serverprotokolle, Ereignisprotokolle kritischer Systeme, Anwendungsprotokolle, ATM-Switch-Protokolle, SSH-Protokolle, VPN-Protokolle usw.“

Die Regierung hat die Organisationen auch aufgefordert, genaue und standardisierte Zeitquellen zu verwenden. Die aktuelle Richtlinie fordert eine einheitliche Zeitsynchronisation über alle Systeme der Informations- und Kommunikationstechnik (IKT) unabhängig von der Zeitzone. „Die Zeitzoneninformationen müssen auch zusammen mit der Uhrzeit aufgezeichnet werden, um eine genaue Umrechnung zum Zeitpunkt der Notwendigkeit zu ermöglichen“, heißt es in dem Dokument.

Kosten der Nichteinhaltung

Die neuen Anweisungen treten nach 60 Tagen ab dem Datum der Veröffentlichung, also dem 28. April, in Kraft.

Anbieter von Diensten für virtuelle Vermögenswerte, Anbieter von Börsen für virtuelle Vermögenswerte, Anbieter von Depotbanken und Regierungsorganisationen würden ebenfalls unter die Regeln fallen.

Das Dokument erwähnte auch die Folgen der Nichteinhaltung der neuen Richtlinien. „Die Handlung der Nichteinhaltung der Cyber-Sicherheitsanweisungen vom 28.04.2022, die gemäß Unterabschnitt (6) des Abschnitts 70B des Informationstechnologiegesetzes von 2000 erlassen wurden, kann die Strafbestimmungen des Unterabschnitts (7) des Abschnitts 70B des Informationstechnologiegesetzes nach sich ziehen Gesetz."

Abschnitt 70 B (7) des IT-Gesetzes von 2020 besagt, dass die Nichteinhaltung der Anweisungen in Unterabschnitt (6) mit einer Strafe von bis zu einem Jahr oder mit einer Geldstrafe von bis zu einem Jahr geahndet wird Lakh Rupien oder beides.

Die Regeln wurden von mehreren internationalen VPN-Dienstanbietern kritisiert, die auch über die Möglichkeit sprachen, Indien zu verlassen, um an ihrer No-Log-Richtlinie festzuhalten. Es bleibt abzuwarten, wie sie auf die Klarstellung der Agentur reagieren.

Gytis Malinauskas, Leiter der Rechtsabteilung bei Surfshark, hatte zuvor gesagt, dass das Unternehmen versuche, die neuen Vorschriften und ihre Auswirkungen zu verstehen, aber das übergeordnete Ziel sei es, allen seinen Benutzern weiterhin No-Logs-Dienste anzubieten.

Auf der anderen Seite sagte Laura Tyrylyte, Leiterin der Öffentlichkeitsarbeit bei Nord Security, dass das Unternehmen das neue Gesetz prüfe, um besser zu verstehen, was erforderlich ist, aber wie es schien, müsste das Unternehmen grundlegende Änderungen an seiner Infrastruktur vornehmen , seine Richtlinien und Werte, und es sei „schwierig, ein solches Szenario zum Leben zu erwecken“.