As VPNs corporativas e corporativas não precisarão manter os logs do cliente: CERT-In

Publicados: 2022-05-18

O CERT-In divulgou um documento de esclarecimento sobre as novas orientações de segurança cibernética emitidas por ele

Apesar das preocupações em torno das novas regras, o governo não parece estar disposto a fazer alterações

O governo também deixou claro que o “direito à privacidade informacional dos indivíduos não é afetado” pelas novas orientações

A Indian Computer Emergency Response Team (CERT-In) divulgou os tão esperados esclarecimentos sobre suas novas orientações de segurança cibernética, emitidas em 28 de abril, no formato FAQ. A agência de segurança cibernética nodal disse que a regra para manter os logs de clientes não seria aplicável a redes privadas virtuais (VPN) corporativas e corporativas.

Esclareceu que o termo provedores de serviços VPN se refere a uma entidade que fornece “serviços semelhantes a proxy de Internet” por meio do uso de tecnologias VPN, padrão ou proprietárias, para assinantes/usuários de Internet em geral.

A emissão do esclarecimento também sinaliza que, apesar das críticas que as novas regras têm recebido, o governo não tem disposição para repensar.

As novas regras obrigam os provedores de VPN , provedores de Virtual Private Server (VPS) e provedores de serviços em nuvem a coletar e armazenar os dados de seus clientes por cinco anos ou mais.

“Qualquer provedor de serviços que ofereça serviços aos usuários no país precisa habilitar e manter logs e registros de transações financeiras na jurisdição indiana”, disse o documento de esclarecimento.

Há respostas para 44 perguntas no documento, juntamente com uma explicação sobre os tipos de incidentes de segurança cibernética a serem relatados ao CERT-In.

O direito à privacidade é perdido?

De acordo com o governo, as novas orientações visam garantir a comunicação oportuna de incidentes cibernéticos ao CERT-In, complementada pelas informações necessárias para a análise de tais incidentes, o que acabará por aumentar a consciência situacional de segurança cibernética, mitigar incidentes/ataques de segurança cibernética e muito mais. , garantindo a proteção dos dados e a disponibilização dos serviços aos cidadãos.

“Esses esforços melhorarão a postura geral de segurança cibernética e garantirão uma Internet aberta, segura, confiável e responsável no país”, afirmou o documento.

No entanto, muitos especialistas questionaram as novas regras na ausência de uma lei de proteção de dados no país.

Em conversa com a Inc42, Anupam Shukla, sócio da Pioneer Legal, disse que o governo deveria ter garantido a promulgação de uma lei de privacidade antes de criar um regulamento exigindo que entidades privadas como os provedores de serviços VPN armazenassem dados pertencentes a particulares.

Recomendado para você:

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia
Recursos

Como a estrutura do agregador de contas do RBI está definida para transformar as fintechs na Índia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do ‘Jugaad’: CEO da CitiusTech
Notícia

Empreendedores não podem criar startups sustentáveis ​​e escaláveis ​​por meio do 'Jugaad':...

Como o Metaverse transformará a indústria automobilística indiana
Recursos

Como o Metaverse transformará a indústria automobilística indiana

O que significa a provisão antilucratividade para startups indianas?
Recursos

O que significa a provisão antilucratividade para startups indianas?

Como as startups de Edtech estão ajudando a melhorar a qualificação e a preparar a força de trabalho para o futuro
Recursos

Como as startups de Edtech estão ajudando a qualificação da força de trabalho da Índia e se preparando para o futuro

Notícia

Ações de tecnologia da nova era esta semana: os problemas do Zomato continuam, EaseMyTrip publica...

Referindo-se ao direito à privacidade, Shukla também disse que é preciso haver um limite bastante alto de necessidade onde o governo possa invadir a privacidade de um indivíduo. Isso tem que ser uma exceção e não uma regra.

No documento mais recente, o governo disse claramente: “O direito à privacidade informacional dos indivíduos não é afetado”.

“Essas instruções não prevêem a busca de informações pelo CERT-In dos prestadores de serviços de forma continuada como um acordo permanente. O CERT-In pode buscar informações de provedores de serviços em caso de incidentes de segurança cibernética e incidentes cibernéticos, caso a caso, para cumprir suas obrigações estatutárias de melhorar a segurança cibernética no país”, acrescentou.

Sobre o armazenamento das toras, o CERT-In referiu que as toras também podem ser armazenadas fora do país, desde que a “obrigação de produzir toras” a ela seja cumprida em tempo razoável pelas entidades.

Mantendo e fornecendo dados

Um oficial do CERT-In, não abaixo do posto de Vice-Secretário do Governo da Índia, teria autoridade para buscar informações sobre os logs.

Sobre os tipos de logs que precisam ser mantidos pelos provedores de serviços, o documento dizia: “Os logs que devem ser mantidos dependeriam do setor em que a organização está, como logs de firewall, logs de sistemas de prevenção de intrusão, logs SIEM, web/banco de dados/mail/FTP/logs do servidor proxy, logs de eventos de sistemas críticos, logs de aplicativos, logs de switch ATM, logs SSH, logs VPN, etc.”

O governo também pediu às organizações que usem fontes de tempo precisas e padronizadas. A diretiva atual exige sincronização de horário uniforme em todos os sistemas de tecnologia de comunicação da informação (TIC), independentemente do fuso horário. “As informações de fuso horário também devem ser registradas junto com o horário para facilitar a conversão precisa no momento da necessidade”, diz o documento.

Custo de não conformidade

As novas orientações entrarão em vigor após 60 dias a partir da data de emissão, ou seja, 28 de abril.

Provedores de serviços de ativos virtuais, provedores de troca de ativos virtuais, provedores de carteiras de custódia e organizações governamentais também seriam cobertos pelas regras.

O documento também mencionou a consequência do descumprimento das novas orientações. “O ato de descumprimento das Diretrizes de Segurança Cibernética de 28.04.2022 emitido sob a subseção (6) da seção 70B da Lei de Tecnologia da Informação de 2000 pode atrair as disposições penais da subseção (7) da seção 70B da Agir."

A Seção 70 B (7) da Lei de TI de 2020 afirma que o descumprimento da orientação da subseção (6) trará punição por um prazo, que pode se estender a um ano, ou com multa, que pode se estender a um lakh rúpias ou ambos.

As regras receberam críticas de vários provedores internacionais de serviços VPN que também falaram sobre a possibilidade de sair da Índia para manter sua política de não registro. Resta saber como eles reagem ao esclarecimento emitido pela agência.

Gytis Malinauskas, chefe do departamento jurídico da Surfshark, havia dito anteriormente que a empresa estava tentando entender os novos regulamentos e suas implicações, mas o objetivo geral era continuar fornecendo serviços sem registro para todos os seus usuários.

Por outro lado, Laura Tyrylyte, chefe de relações públicas da Nord Security, disse que a empresa estava analisando a nova lei para entender melhor o que é necessário, mas pelo que parecia, a empresa seria obrigada a fazer mudanças fundamentais em sua infraestrutura , suas políticas e valores, e era “difícil ver esse cenário ganhar vida”.