기업, 기업 VPN은 고객 로그를 유지할 필요가 없습니다: CERT-In
게시 됨: 2022-05-18CERT-In이 발행한 새로운 사이버 보안 지침에 대한 설명 문서를 발표했습니다.
새로운 규칙에 대한 우려에도 불구하고 정부는 변경할 분위기가 아닌 것 같습니다.
정부는 또한 "개인의 정보 사생활에 대한 권리는 새로운 지침에 의해 영향을받지 않는다"는 것을 분명히했습니다.
CERT-In(Indian Computer Emergency Response Team)은 4월 28일에 발표된 새로운 사이버 보안 지침에 대한 대망의 설명을 FAQ 형식으로 발표했습니다. 노달 사이버 보안 기관은 고객 로그를 유지 관리하는 규칙이 기업 및 기업 가상 사설망(VPN)에 적용되지 않을 것이라고 말했다.
VPN 서비스 공급자라는 용어는 표준 또는 독점 VPN 기술을 사용하여 일반 인터넷 가입자/이용자에게 "인터넷 프록시와 같은 서비스"를 제공하는 주체를 의미함을 명확히 했습니다.
해명 발표는 또한 새로운 규정에 대한 비판에도 불구하고 정부가 이를 재고할 분위기가 아니라는 신호이기도 합니다.
새로운 규칙 에 따르면 VPN 제공업체, VPS(가상 사설 서버) 제공업체 및 클라우드 서비스 제공업체 는 고객 데이터를 5년 이상 수집 하고 저장해야 합니다.
설명 문서에는 "국가의 사용자에게 서비스를 제공하는 모든 서비스 제공업체는 인도 관할권의 금융 거래 기록과 기록을 활성화하고 유지해야 합니다."라고 설명했습니다.
문서에는 CERT-In에 보고되는 사이버 보안 사고 유형에 대한 설명과 함께 44개의 질문에 대한 답변이 있습니다.
프라이버시 권리가 상실됩니까?
정부에 따르면, 새로운 지침은 사이버 보안 사고/공격 등을 완화하고 궁극적으로 사이버 보안 상황 인식을 향상시킬 이러한 사고 분석에 필요한 필요한 정보를 보완하여 사이버 사고를 적시에 CERT-In에 보고할 수 있도록 하기 위한 것입니다. , 데이터 보호 및 시민에 대한 서비스 가용성 보장.
문서는 "이러한 노력은 전반적인 사이버 보안 태세를 강화하고 국가에서 개방적이고 안전하며 신뢰할 수 있는 인터넷을 보장할 것"이라고 말했습니다.
그러나 많은 전문가들은 국가에 데이터 보호법이 없는 상황에서 새로운 규칙에 의문을 제기했습니다.
Inc42와 대화하면서 Pioneer Legal의 파트너인 Anupam Shukla 는 정부가 VPN 서비스 제공업체와 같은 민간 기업이 개인 소유의 데이터를 저장하도록 요구하는 규정을 마련하기 전에 개인정보 보호법 제정을 보장했어야 한다고 말했습니다 .
당신을 위해 추천 된:
인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator Framework를 설정하는 방법
기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...
메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?
인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?
Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...
이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...
사생활에 대한 권리와 관련하여 Shukla는 정부가 개인의 사생활을 침해할 수 있는 상당한 수준의 필요성이 필요하다고 말했습니다. 이것은 규칙이 아니라 예외여야 합니다.
정부는 최근 문서에서 “개인의 정보 사생활 보호권은 영향을 받지 않는다”고 분명히 밝혔다.
"이러한 지침은 CERT-In이 서비스 제공자로부터 정보를 지속적으로 찾는 것을 상정하는 것으로 생각하지 않습니다. CERT-In은 국가의 사이버 보안을 강화해야 하는 법적 의무를 이행하기 위해 경우에 따라 사이버 보안 사고 및 사이버 사고의 경우 서비스 제공자로부터 정보를 요청할 수 있습니다.”라고 덧붙였습니다.
로그 저장과 관련하여 CERT-In은 "로그 생성 의무"가 적절한 시간에 엔티티에 의해 준수되는 한 로그를 국가 밖에서도 저장할 수 있다고 말했습니다.
데이터 유지 및 제공
인도 정부 차관보 이하가 아닌 CERT-In의 장교는 로그와 관련된 정보를 찾을 수 있는 권한을 갖습니다.
문서에서는 서비스 제공자가 유지해야 하는 로그 유형에 대해 “유지해야 하는 로그는 방화벽 로그, 침입 방지 시스템 로그, SIEM 로그, 웹/데이터베이스/메일/FTP/프록시 서버 로그, 중요 시스템의 이벤트 로그, 애플리케이션 로그, ATM 스위치 로그, SSH 로그, VPN 로그 등”
정부는 또한 조직에 정확하고 표준적인 시간 소스를 사용하도록 요청했습니다. 현재 지침은 시간대에 관계없이 모든 정보 통신 기술(ICT) 시스템에서 균일한 시간 동기화를 요구합니다. 문서 에는 "시간대 정보도 시간과 함께 기록되어 필요할 때 정확한 변환이 가능하도록 해야 합니다."라고 문서에 나와 있습니다.
비준수 비용
새로운 지침은 발표일(4월 28일)로부터 60일 이후부터 적용됩니다.
가상 자산 서비스 제공자, 가상 자산 교환 제공자, 수탁자 지갑 제공자 및 정부 기관도 이 규칙의 적용을 받습니다.
이 문서는 또한 새로운 지침을 준수하지 않을 경우의 결과에 대해서도 언급했습니다. "2000년 정보 기술법 섹션 70B의 하위 섹션 (6)에 따라 발행된 28.04.2022의 사이버 보안 지침을 준수하지 않는 행위는 섹션 70B의 하위 섹션 (7)의 처벌 조항을 끌 수 있습니다. 행동."
2020년 IT법 섹션 70 B(7)에 따르면 하위 섹션(6)의 지시를 준수하지 않을 경우 1년 이하의 징역 또는 1년 이하의 벌금에 처해질 수 있습니다. 백만 루피 또는 둘 다.
이 규칙은 노로그 정책을 고수하기 위해 인도를 떠날 가능성에 대해서도 언급한 여러 국제 VPN 서비스 제공업체로부터 비판을 받았습니다. 기관의 해명에 그들이 어떤 반응을 보일지 귀추가 주목된다.
Surfshark의 법무 부서장인 Gytis Malinauskas는 회사가 새로운 규정과 그 의미를 이해하려고 노력하고 있지만 전반적인 목표는 모든 사용자에게 계속 무로그 서비스를 제공하는 것이라고 말했습니다.
반면 Nord Security의 홍보 책임자인 Laura Tyrylyte는 회사가 필요한 것이 무엇인지 더 잘 이해하기 위해 새로운 법을 검토하고 있지만 겉보기에는 회사가 인프라 내에서 근본적인 변화를 만들어야 한다고 말했습니다. , 정책과 가치, 그리고 "이러한 시나리오가 현실화되는 것을 보기는 어렵다".