企業、エンタープライズ VPN は顧客ログを維持する必要はありません: CERT-In
公開: 2022-05-18CERT-In は、CERT-In が発行した新しいサイバー セキュリティの方向性に関する明確化文書をリリースしました。
新しい規則に関する懸念にもかかわらず、政府は変更を加える気はないようです
政府はまた、新しい指示によって「個人の情報プライバシーの権利は影響を受けない」ことを明確にしました
インドのコンピューター緊急対応チーム (CERT-In) は、4 月 28 日に発行された新しいサイバー セキュリティの方向性に関する待望の説明を FAQ 形式でリリースしました。 ノードのサイバーセキュリティ機関は、顧客ログを維持するためのルールは、企業および企業の仮想プライベートネットワーク (VPN) には適用されないと述べました.
VPNサービスプロバイダーという用語は、標準または独自のVPNテクノロジーを使用して、一般的なインターネット加入者/ユーザーに「インターネットプロキシのようなサービス」を提供するエンティティを指すことを明確にしました.
明確化の発表はまた、新しい規則が受けた批判にもかかわらず、政府がそれを再考する気はないことを示しています.
新しい規則では、 VPNプロバイダー、仮想プライベート サーバー (VPS) プロバイダー、およびクラウド サービス プロバイダーが、顧客データを収集して 5 年以上保存することを義務付けています。
「国内のユーザーにサービスを提供するサービス プロバイダーは、インドの管轄区域での金融取引のログと記録を有効にして維持する必要があります」と説明文書は述べています。
ドキュメントには、44 の質問への回答と、CERT-In に報告されるサイバーセキュリティ インシデントの種類の説明があります。
プライバシーの権利は失われますか?
政府によると、新しい指示は、CERT-In へのサイバー インシデントのタイムリーな報告を確実にすることを目的としており、そのようなインシデントの分析に必要な必要な情報によって補完され、最終的にサイバー セキュリティの状況認識を強化し、サイバー セキュリティ インシデント/攻撃などを軽減します。 、データ保護と市民へのサービスの可用性を確保します。
「これらの取り組みは、全体的なサイバーセキュリティ体制を強化し、国内でオープンで安全で信頼できる責任あるインターネットを確保するでしょう」と文書は述べています。
しかし、多くの専門家は、国内にデータ保護法がないため、新しい規則に疑問を呈しています.
Inc42 とのインタビューで、Pioneer Legal のパートナーである Anupam Shukla 氏は、VPN サービス プロバイダーのような民間団体が個人に属するデータを保存することを義務付ける規制を策定する前に、政府はプライバシー法を制定する必要があると述べていました。
あなたにおすすめ:
プライバシーの権利に関して、Shukla 氏はまた、政府が個人のプライバシーを侵害する可能性がある場合、かなり高い必要性のしきい値が必要であると述べました。 これは例外であり、ルールではありません。
最新の文書では、政府は「個人の情報プライバシーの権利は影響を受けない」と明確に述べています。
「これらの指示は、CERT-In が継続的にサービス プロバイダーから情報を求めることを想定したものではありません。 CERT-In は、サイバー セキュリティ インシデントおよびサイバー インシデントが発生した場合、国内のサイバー セキュリティを強化するための法定義務を履行するために、ケースバイケースでサービス プロバイダーから情報を求める場合があります」と付け加えました。
ログの保管について、CERT-In は、ログに対する「ログを作成する義務」が合理的な期間内にエンティティによって遵守される限り、ログは国外でも保管される可能性があると述べました。
データの維持と提供
CERT-In の役員は、インド政府の副長官以下の階級ではなく、ログに関する情報を求める権限を持っています。
サービス プロバイダーが維持する必要があるログの種類について、ドキュメントは次のように述べています。 web/ database/mail /FTP/ プロキシ サーバー ログ、重要なシステムのイベント ログ、アプリケーション ログ、ATM スイッチ ログ、SSH ログ、VPN ログなど」
政府はまた、正確で標準的な時刻ソースを使用するように組織に要請しました。 現在の指令では、タイム ゾーンに関係なく、すべての情報通信技術 (ICT) システムで均一な時刻同期が必要です。 「必要なときに正確な変換を容易にするために、タイムゾーン情報も時刻とともに記録する必要があります」と文書には記載されています。
コンプライアンス違反のコスト
新しい指示は、発行日から 60 日後、つまり 4 月 28 日から有効になります。
仮想資産サービス プロバイダー、仮想資産交換プロバイダー、カストディアン ウォレット プロバイダー、および政府機関も規則の対象となります。
この文書はまた、新しい指示に従わなかった場合の結果についても言及しています。 「2000 年情報技術法のセクション 70B のサブセクション (6) に基づいて発行された 2022 年 4 月 28 日のサイバー セキュリティ指令の不遵守の行為は、IT のセクション 70B のサブセクション (7) の罰則を引き付ける可能性があります。活動。"
2020 年 IT 法のセクション 70 B (7) は、サブセクション (6) に基づく指示に従わない場合、1 年間に延長される可能性のある懲役または 1 年間に延長される可能性のある罰金を科すと述べています。十万ルピーまたはその両方。
ルールは、ログなしポリシーに固執するためにインドを出る可能性についても話しているいくつかの国際的な VPN サービス プロバイダーから批判を受けています. 政府機関が発表した説明に彼らがどのように反応するかはまだ分からない.
Surfshark の法務部門の責任者である Gytis Malinauskas 氏は以前、同社は新しい規制とその影響を理解しようとしていると述べていましたが、全体的な目的は、すべてのユーザーにログなしサービスを提供し続けることでした.
一方、Nord Security の広報責任者である Laura Tyrylyte 氏は、同社は何が求められているかをよりよく理解するために新しい法律を検討していると述べましたが、どうやら、会社はインフラストラクチャ内で根本的な変更を行う必要があるように見えました。 、そのポリシーと価値、そして「そのようなシナリオが実現するのを見るのは難しい」.