Les VPN d'entreprise n'auront pas besoin de conserver les journaux des clients : CERT-In
Publié: 2022-05-18Le CERT-In a publié un document de clarification sur les nouvelles orientations en matière de cybersécurité émises par celui-ci
Malgré les inquiétudes suscitées par les nouvelles règles, le gouvernement ne semble pas d'humeur à apporter des changements
Le gouvernement a également précisé que le "droit à la confidentialité des informations des individus n'est pas affecté" par les nouvelles orientations
L'équipe indienne d'intervention d'urgence informatique (CERT-In) a publié les clarifications tant attendues sur ses nouvelles orientations en matière de cybersécurité, publiées le 28 avril, sous forme de FAQ. L'agence nodale de cybersécurité a déclaré que la règle de conservation des journaux des clients ne s'appliquerait pas aux réseaux privés virtuels (VPN) d'entreprise et d'entreprise.
Il a précisé que le terme fournisseurs de services VPN fait référence à une entité qui fournit des "services de type proxy Internet" grâce à l'utilisation de technologies VPN, standard ou propriétaires, aux abonnés/utilisateurs Internet généraux.
La publication de la clarification signale également que malgré les critiques que les nouvelles règles ont reçues, le gouvernement n'est pas d'humeur à les repenser.
Les nouvelles règles obligent les fournisseurs de VPN , les fournisseurs de serveurs privés virtuels (VPS) et les fournisseurs de services cloud à collecter et stocker les données de leurs clients pendant cinq ans ou plus.
"Tout fournisseur de services offrant des services aux utilisateurs dans le pays doit activer et maintenir les journaux et les enregistrements des transactions financières dans la juridiction indienne", indique le document de clarification.
Le document contient des réponses à 44 questions ainsi qu'une explication des types d'incidents de cybersécurité à signaler au CERT-In.
Le droit à la vie privée est-il perdu ?
Selon le gouvernement, les nouvelles directives visent à assurer la notification en temps opportun des cyberincidents au CERT-In, complétées par les informations nécessaires requises pour l'analyse de ces incidents, ce qui améliorera en fin de compte la connaissance de la situation en matière de cybersécurité, atténuera les incidents/attaques de cybersécurité et plus encore. , garantissant la protection des données et la disponibilité des services aux citoyens.
"Ces efforts amélioreront la posture globale de cybersécurité et garantiront un Internet ouvert, sûr, fiable et responsable dans le pays", indique le document.
Cependant, de nombreux experts ont remis en question les nouvelles règles en l'absence d'une loi sur la protection des données dans le pays.
S'adressant à Inc42, Anupam Shukla, associé chez Pioneer Legal, avait déclaré que le gouvernement aurait dû veiller à la promulgation d'une loi sur la confidentialité avant de proposer une réglementation obligeant les entités privées comme les fournisseurs de services VPN à stocker des données appartenant à des particuliers.
Recommandé pour vous:
Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
Se référant au droit à la vie privée, Shukla a également déclaré qu'il doit y avoir un seuil de nécessité assez élevé où le gouvernement peut envahir la vie privée d'un individu. Cela doit être une exception et non une règle.
Dans le dernier document, le gouvernement a clairement déclaré : "Le droit à la confidentialité des informations des individus n'est pas affecté".
« Ces instructions n'envisagent pas la recherche d'informations par le CERT-In auprès des prestataires de services sur une base continue en tant qu'arrangement permanent. CERT-In peut demander des informations aux fournisseurs de services en cas d'incidents de cybersécurité et de cyberincidents, au cas par cas, pour s'acquitter de ses obligations légales d'améliorer la cybersécurité dans le pays », a-t-il ajouté.
Concernant le stockage des journaux, CERT-In a déclaré que les journaux peuvent également être stockés à l'extérieur du pays, tant que «l'obligation de produire des journaux» est respectée par les entités dans un délai raisonnable.
Maintenir et fournir des données
Un officier du CERT-In, ayant au moins le rang de sous-secrétaire du gouvernement indien, aurait le pouvoir de rechercher des informations concernant les journaux.
Concernant les types de journaux qui doivent être conservés par les fournisseurs de services, le document indique : "Les journaux qui doivent être conservés dépendent du secteur dans lequel se trouve l'organisation, tels que les journaux du pare-feu, les journaux des systèmes de prévention des intrusions, les journaux SIEM, Web/base de données/courrier/FTP/journaux du serveur proxy, journaux des événements des systèmes critiques, journaux des applications, journaux des commutateurs ATM, journaux SSH, journaux VPN, etc.
Le gouvernement a également demandé aux organisations d'utiliser des sources de temps précises et standard. La directive actuelle exige une synchronisation horaire uniforme sur tous les systèmes de technologies de l'information et de la communication (TIC), quel que soit le fuseau horaire. "Les informations sur le fuseau horaire doivent également être enregistrées avec l'heure pour faciliter une conversion précise au moment du besoin", indique le document.
Coût de non-conformité
Les nouvelles directives entreront en vigueur après 60 jours à compter de la date d'émission, soit le 28 avril.
Les fournisseurs de services d'actifs virtuels, les fournisseurs d'échange d'actifs virtuels, les fournisseurs de portefeuilles de garde et les organisations gouvernementales seraient également couverts par les règles.
Le document mentionne également la conséquence du non-respect des nouvelles directives. "L'acte de non-conformité des instructions de cybersécurité du 28.04.2022 émises en vertu de la sous-section (6) de l'article 70B de la loi de 2000 sur les technologies de l'information peut entraîner les dispositions pénales de la sous-section (7) de l'article 70B de la Loi."
L'article 70 B (7) de la loi de 2020 sur l'informatique stipule que le non-respect de l'instruction en vertu de la sous-section (6) entraînera une peine pouvant aller jusqu'à un an, ou une amende pouvant aller jusqu'à un an. roupies lakh ou les deux.
Les règles ont été critiquées par plusieurs fournisseurs de services VPN internationaux qui ont également évoqué la possibilité de quitter l'Inde pour s'en tenir à leur politique de non-journalisation. Reste à savoir comment ils réagissent aux précisions émises par l'agence.
Gytis Malinauskas, chef du service juridique de Surfshark, avait précédemment déclaré que la société essayait de comprendre les nouvelles réglementations et leurs implications, mais l'objectif général était de continuer à fournir des services sans journaux à tous ses utilisateurs.
D'autre part, Laura Tyrylyte, responsable des relations publiques chez Nord Security, a déclaré que l'entreprise examinait la nouvelle loi pour mieux comprendre ce qui était requis, mais d'après ce qu'il semblait, l'entreprise serait tenue d'apporter des changements fondamentaux au sein de son infrastructure. , ses politiques et ses valeurs, et il était « difficile de voir un tel scénario se concrétiser ».