• Beranda
  • Artikel
  • Tech
  • VPN Perusahaan, Perusahaan Tidak Perlu Memelihara Log Pelanggan: CERT-In

VPN Perusahaan, Perusahaan Tidak Perlu Memelihara Log Pelanggan: CERT-In

Diterbitkan: 2022-05-18

CERT-In merilis dokumen klarifikasi tentang arahan keamanan cyber baru yang dikeluarkan olehnya

Terlepas dari kekhawatiran seputar aturan baru, pemerintah tampaknya tidak berminat untuk membuat perubahan apa pun

Pemerintah juga menjelaskan bahwa “hak atas privasi informasi individu tidak terpengaruh” oleh arahan baru

Tim Tanggap Darurat Komputer India (CERT-In) merilis klarifikasi yang ditunggu-tunggu tentang arahan keamanan siber barunya, yang dikeluarkan pada 28 April, dalam format FAQ. Badan keamanan siber nodal mengatakan bahwa aturan untuk mempertahankan log pelanggan tidak akan berlaku untuk jaringan pribadi virtual (VPN) perusahaan dan perusahaan.

Ini mengklarifikasi bahwa istilah penyedia layanan VPN mengacu pada entitas yang menyediakan "layanan seperti proxy Internet" melalui penggunaan teknologi VPN, standar atau kepemilikan, kepada pelanggan/pengguna Internet umum.

Penerbitan klarifikasi juga menandakan bahwa meskipun ada kritik bahwa aturan baru telah diterima, pemerintah tidak berminat untuk memikirkannya kembali.

Aturan baru mengamanatkan penyedia VPN , penyedia Virtual Private Server (VPS) dan penyedia layanan cloud untuk mengumpulkan dan menyimpan data pelanggan mereka selama lima tahun atau lebih.

“Setiap penyedia layanan yang menawarkan layanan kepada pengguna di negara tersebut perlu mengaktifkan dan memelihara log dan catatan transaksi keuangan di yurisdiksi India,” kata dokumen klarifikasi.

Ada jawaban atas 44 pertanyaan dalam dokumen beserta penjelasan jenis insiden keamanan siber yang akan dilaporkan ke CERT-In.

Apakah Hak Atas Privasi Hilang?

Menurut pemerintah, arahan baru ini dimaksudkan untuk memastikan pelaporan insiden siber secara tepat waktu ke CERT-In, dilengkapi dengan informasi yang diperlukan untuk analisis insiden tersebut, yang pada akhirnya akan meningkatkan kesadaran situasi keamanan siber, mengurangi insiden/serangan keamanan siber dan banyak lagi. , memastikan perlindungan data dan ketersediaan layanan bagi warga negara.

“Upaya ini akan meningkatkan postur keamanan siber secara keseluruhan dan memastikan Internet Terbuka, Aman & Tepercaya dan Akuntabel di negara ini,” kata dokumen itu.

Namun, banyak pakar yang mempertanyakan aturan baru tersebut karena belum adanya undang-undang perlindungan data di negara tersebut.

Berbicara dengan Inc42, Anupam Shukla, Mitra di Pioneer Legal, mengatakan bahwa pemerintah seharusnya memastikan berlakunya undang-undang privasi sebelum membuat peraturan yang mewajibkan entitas swasta seperti penyedia layanan VPN untuk menyimpan data milik individu pribadi.

Direkomendasikan untukmu:

Bagaimana Kerangka Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India
Sumber daya

Bagaimana Kerangka Kerja Agregator Akun RBI Ditetapkan Untuk Mengubah Fintech Di India

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Terukur Melalui 'Jugaad': CEO CitiusTech
Berita

Pengusaha Tidak Dapat Menciptakan Startup yang Berkelanjutan dan Skalabel Melalui 'Jugaad': Cit...

Bagaimana Metaverse Akan Mengubah Industri Otomotif India
Sumber daya

Bagaimana Metaverse Akan Mengubah Industri Otomotif India

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?
Sumber daya

Apa Arti Ketentuan Anti-Profiteering Bagi Startup India?

Bagaimana Startup Edtech Membantu Meningkatkan Keterampilan & Mempersiapkan Tenaga Kerja untuk Masa Depan
Sumber daya

Bagaimana Startup Edtech Membantu Tenaga Kerja India Meningkatkan Keterampilan & Menjadi Siap Masa Depan...

Berita

Saham Teknologi Zaman Baru Minggu Ini: Masalah Zomato Berlanjut, EaseMyTrip Posting Stro...

Mengacu pada hak privasi, Shukla juga mengatakan bahwa perlu ada ambang batas yang cukup tinggi di mana pemerintah dapat menyerang privasi individu. Ini harus menjadi pengecualian dan bukan aturan.

Dalam dokumen terbaru, pemerintah dengan jelas mengatakan, “Hak atas privasi informasi individu tidak terpengaruh.”

“Petunjuk ini tidak membayangkan pencarian informasi oleh CERT-In dari penyedia layanan secara berkelanjutan sebagai pengaturan tetap. CERT-In dapat mencari informasi dari penyedia layanan jika terjadi insiden keamanan siber dan insiden siber, berdasarkan kasus per kasus, untuk memenuhi kewajiban hukumnya untuk meningkatkan keamanan siber di negara tersebut,” tambahnya.

Mengenai penyimpanan kayu gelondongan, CERT-In mengatakan bahwa kayu gelondongan juga dapat disimpan di luar negeri, selama “kewajiban untuk memproduksi kayu gelondongan” dipatuhi oleh entitas dalam waktu yang wajar.

Memelihara Dan Menyediakan Data

Seorang petugas CERT-In, tidak di bawah pangkat Wakil Sekretaris Pemerintah India, akan memiliki wewenang untuk mencari informasi sehubungan dengan kayu gelondongan.

Tentang jenis log yang perlu dipelihara oleh penyedia layanan, dokumen tersebut mengatakan, “Log yang harus dipelihara akan bergantung pada sektor tempat organisasi berada, seperti log Firewall, log Sistem Pencegahan Intrusi, log SIEM, web/ database/mail/FTP/ Log server proxy, Log peristiwa sistem kritis, Log aplikasi, log sakelar ATM, log SSH, log VPN, dll.”

Pemerintah juga telah meminta organisasi untuk menggunakan sumber waktu yang akurat dan standar. Arahan saat ini membutuhkan sinkronisasi waktu yang seragam di semua sistem teknologi komunikasi informasi (TIK) terlepas dari zona waktu. “Informasi zona waktu juga harus dicatat bersamaan dengan waktu untuk memfasilitasi konversi yang akurat pada saat dibutuhkan,” kata dokumen itu.

Biaya Ketidakpatuhan

Arahan baru tersebut akan berlaku efektif setelah 60 hari sejak tanggal dikeluarkan, yakni 28 April.

Penyedia layanan aset virtual, penyedia pertukaran aset virtual, penyedia dompet kustodian, dan organisasi pemerintah juga akan tercakup dalam aturan.

Dokumen tersebut juga menyebutkan konsekuensi dari ketidakpatuhan terhadap arahan baru. “Tindakan ketidakpatuhan terhadap Arahan Keamanan Siber 28.04.2022 yang dikeluarkan berdasarkan sub-bagian (6) pasal 70B Undang-Undang Teknologi Informasi, 2000 dapat menarik ketentuan pidana sub-bagian (7) pasal 70B Undang-undang Bertindak."

Bagian 70 B (7) dari IT Act, 2020 menyatakan bahwa ketidakpatuhan terhadap arahan di bawah sub-bagian (6) akan dikenakan hukuman untuk jangka waktu, yang dapat diperpanjang hingga satu tahun, atau dengan denda, yang dapat diperpanjang hingga satu tahun. lakh rupee atau keduanya.

Aturan tersebut telah menerima kritik dari beberapa penyedia layanan VPN internasional yang juga berbicara tentang kemungkinan keluar dari India untuk tetap pada kebijakan larangan masuk mereka. Masih harus dilihat bagaimana mereka bereaksi terhadap klarifikasi yang dikeluarkan oleh agensi.

Gytis Malinauskas, kepala departemen hukum di Surfshark, sebelumnya mengatakan bahwa perusahaan berusaha memahami peraturan baru dan implikasinya, tetapi tujuan keseluruhannya adalah untuk terus menyediakan layanan tanpa pencatatan kepada semua penggunanya.

Di sisi lain, Laura Tyrylyte, kepala hubungan masyarakat di Nord Security, mengatakan bahwa perusahaan sedang mempelajari undang-undang baru untuk lebih memahami apa yang diperlukan, tetapi dari apa yang tampak, perusahaan akan diminta untuk membuat perubahan mendasar dalam infrastrukturnya. , kebijakan dan nilai-nilainya, dan "sulit untuk melihat skenario seperti itu menjadi kenyataan".