• Homepage
  • Articoli
  • Tech
  • Le VPN aziendali e aziendali non avranno bisogno di mantenere i registri dei clienti: CERT-In

Le VPN aziendali e aziendali non avranno bisogno di mantenere i registri dei clienti: CERT-In

Pubblicato: 2022-05-18

CERT-In ha rilasciato un documento di chiarimento sulle nuove indicazioni di cyber security da esso emanate

Nonostante le preoccupazioni per le nuove regole, il governo non sembra essere dell'umore giusto per apportare modifiche

Il governo ha anche chiarito che il "diritto alla privacy informativa delle persone non è pregiudicato" dalle nuove direzioni

L'Indian Computer Emergency Response Team (CERT-In) ha rilasciato i tanto attesi chiarimenti sulle sue nuove indicazioni sulla sicurezza informatica, emesse il 28 aprile, in formato FAQ. L'agenzia di sicurezza informatica nodale ha affermato che la regola per mantenere i registri dei clienti non sarebbe applicabile alle reti private virtuali (VPN) aziendali e aziendali.

Ha chiarito che il termine provider di servizi VPN si riferisce a un'entità che fornisce "servizi simili a proxy Internet" attraverso l'uso di tecnologie VPN, standard o proprietarie, ad abbonati/utenti Internet generali.

Il rilascio di chiarimenti segnala anche che, nonostante le critiche che hanno ricevuto le nuove regole, il governo non ha voglia di ripensarci.

Le nuove regole impongono ai provider VPN , ai provider di Virtual Private Server (VPS) e ai provider di servizi cloud di raccogliere e archiviare i dati dei propri clienti per cinque anni o più.

"Qualsiasi fornitore di servizi che offre servizi agli utenti nel paese deve abilitare e mantenere registri e registrazioni delle transazioni finanziarie nella giurisdizione indiana", afferma il documento di chiarimento.

Ci sono risposte a 44 domande nel documento insieme a una spiegazione per i tipi di incidenti di sicurezza informatica da segnalare a CERT-In.

Il diritto alla privacy è perso?

Secondo il governo, le nuove indicazioni mirano a garantire la segnalazione tempestiva di incidenti informatici a CERT-In, integrata dalle informazioni necessarie per l'analisi di tali incidenti, che alla fine miglioreranno la consapevolezza situazionale della sicurezza informatica, mitigheranno incidenti/attacchi di sicurezza informatica e altro ancora , garantendo la protezione dei dati e la disponibilità dei servizi ai cittadini.

"Questi sforzi miglioreranno la posizione generale di sicurezza informatica e garantiranno un Internet aperto, sicuro, affidabile e responsabile nel paese", afferma il documento.

Tuttavia, molti esperti hanno messo in dubbio le nuove regole in assenza di una legge sulla protezione dei dati nel Paese.

Parlando con Inc42, Anupam Shukla, partner di Pioneer Legal, aveva affermato che il governo avrebbe dovuto garantire l'emanazione di una legge sulla privacy prima di elaborare un regolamento che richiedesse a soggetti privati ​​come i fornitori di servizi VPN di archiviare dati appartenenti a privati.

Raccomandato per te:

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India
Risorse

In che modo l'Account Aggregator Framework di RBI è destinato a trasformare il fintech in India

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": CEO di CitiusTech
Notizia

Gli imprenditori non possono creare startup sostenibili e scalabili attraverso "Jugaad": Cit...

Come Metaverse trasformerà l'industria automobilistica indiana
Risorse

Come Metaverse trasformerà l'industria automobilistica indiana

Cosa significa la disposizione anti-profitto per le startup indiane?
Risorse

Cosa significa la disposizione anti-profitto per le startup indiane?

In che modo le startup Edtech stanno aiutando il potenziamento delle competenze e a rendere la forza lavoro pronta per il futuro
Risorse

In che modo le startup Edtech stanno aiutando la forza lavoro indiana a migliorare le competenze e a diventare pronte per il futuro...

Notizia

Azioni tecnologiche new-age questa settimana: i problemi di Zomato continuano, EaseMyTrip pubblica stro...

Riferendosi al diritto alla privacy, Shukla ha anche affermato che deve esserci una soglia di necessità abbastanza alta in cui il governo può invadere la privacy di un individuo. Questa deve essere un'eccezione e non una regola.

Nell'ultimo documento, il governo ha affermato chiaramente: "Il diritto alla privacy informativa delle persone non è pregiudicato".

“Queste indicazioni non prevedono la ricerca di informazioni da parte di CERT-In presso i fornitori di servizi su base continuativa come accordo permanente. CERT-In può richiedere informazioni ai fornitori di servizi in caso di incidenti di sicurezza informatica e incidenti informatici, caso per caso, per l'adempimento dei suoi obblighi legali per migliorare la sicurezza informatica nel paese", ha aggiunto.

In merito alla conservazione dei log, CERT-In ha affermato che i log possono essere conservati anche al di fuori del Paese, a condizione che “l'obbligo di produrre log” sia rispettato dalle entità in un tempo ragionevole.

Conservazione e fornitura di dati

Un funzionario di CERT-In, non al di sotto del grado di vice segretario del governo indiano, avrebbe l'autorità di chiedere informazioni riguardo ai registri.

In merito ai tipi di registri che devono essere gestiti dai fornitori di servizi, il documento afferma: "I registri che dovrebbero essere mantenuti dipenderanno dal settore in cui si trova l'organizzazione, come i registri del firewall, i registri dei sistemi di prevenzione delle intrusioni, i registri SIEM, web/ database/posta / FTP/ Registri del server proxy, Registri eventi di sistemi critici, Registri applicazioni, Registri switch ATM, Registri SSH, Registri VPN, ecc."

Il governo ha anche chiesto alle organizzazioni di utilizzare fonti orarie precise e standard. L'attuale direttiva richiede una sincronizzazione dell'ora uniforme in tutti i sistemi di tecnologia della comunicazione dell'informazione (TIC) indipendentemente dal fuso orario. "Anche le informazioni sul fuso orario devono essere registrate insieme all'ora per facilitare una conversione accurata al momento del bisogno", afferma il documento.

Costo della non conformità

Le nuove disposizioni entreranno in vigore dopo 60 giorni dalla data di emissione, ovvero il 28 aprile.

Anche i fornitori di servizi di risorse virtuali, i fornitori di servizi di scambio di risorse virtuali, i fornitori di portafogli di custodia e le organizzazioni governative sarebbero coperti dalle regole.

Il documento citava anche la conseguenza del mancato rispetto delle nuove indicazioni. “L'atto di inosservanza delle Cyber ​​Security Directions del 28.04.2022 emanato ai sensi del comma (6) della sezione 70B dell'Information Technology Act, 2000 può comportare le disposizioni penali del comma (7) della sezione 70B del Atto."

La sezione 70 B (7) dell'IT Act, 2020 afferma che il mancato rispetto della direttiva di cui alla sottosezione (6) comporterà la punizione per un periodo, che può estendersi a un anno, o con una multa, che può estendersi a un lakh rupie o entrambi.

Le regole hanno ricevuto critiche da diversi fornitori di servizi VPN internazionali che hanno anche parlato della possibilità di uscire dall'India per attenersi alla loro politica di no-log. Resta da vedere come reagiranno al chiarimento rilasciato dall'agenzia.

Gytis Malinauskas, capo dell'ufficio legale di Surfshark, aveva precedentemente affermato che l'azienda stava cercando di comprendere le nuove normative e le loro implicazioni, ma l'obiettivo generale era quello di continuare a fornire servizi no-log a tutti i suoi utenti.

D'altra parte, Laura Tyrylyte, responsabile delle pubbliche relazioni di Nord Security, ha affermato che l'azienda stava esaminando la nuova legge per capire meglio cosa è richiesto, ma da quello che sembrava, l'azienda sarebbe stata tenuta ad apportare modifiche fondamentali all'interno della sua infrastruttura , le sue politiche e i suoi valori, ed è stato “difficile vedere realizzarsi uno scenario del genere”.