VPN สำหรับองค์กรและองค์กรไม่จำเป็นต้องรักษาบันทึกของลูกค้า: CERT-In

ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของอินเดีย (CERT-In) ได้เผยแพร่คำชี้แจงที่รอคอยมานานเกี่ยวกับทิศทางการรักษาความปลอดภัยทางไซเบอร์แบบใหม่ ซึ่งออกเมื่อวันที่ 28 เมษายน ในรูปแบบคำถามที่พบบ่อย หน่วยงานความปลอดภัยทางไซเบอร์ที่สำคัญกล่าวว่ากฎในการดูแลบันทึกของลูกค้าจะไม่มีผลบังคับใช้กับเครือข่ายส่วนตัวเสมือน (VPN) ขององค์กรและองค์กร

มันชี้แจงว่าคำว่าผู้ให้บริการ VPN หมายถึงเอนทิตีที่ให้บริการ "อินเทอร์เน็ตพร็อกซีเช่นบริการ" ผ่านการใช้เทคโนโลยี VPN มาตรฐานหรือกรรมสิทธิ์แก่สมาชิก / ผู้ใช้อินเทอร์เน็ตทั่วไป

การออกคำชี้แจงยังส่งสัญญาณว่าแม้จะมีการวิพากษ์วิจารณ์ว่ากฎใหม่ได้รับ แต่รัฐบาลก็ไม่มีอารมณ์ที่จะคิดใหม่

กฎใหม่ กำหนดให้ผู้ให้บริการ VPN ผู้ให้บริการ Virtual Private Server (VPS) และผู้ให้บริการระบบคลาวด์ ต้องรวบรวม และจัดเก็บข้อมูลลูกค้าของตนเป็นเวลาห้าปีขึ้นไป

“ผู้ให้บริการใดๆ ที่ให้บริการแก่ผู้ใช้ในประเทศจำเป็นต้องเปิดใช้งานและบำรุงรักษาบันทึกและบันทึกธุรกรรมทางการเงินในเขตอำนาจศาลของอินเดีย” เอกสารชี้แจงดังกล่าว

มีคำตอบสำหรับคำถาม 44 ข้อในเอกสารพร้อมคำอธิบายเกี่ยวกับประเภทของเหตุการณ์ความปลอดภัยทางไซเบอร์ที่จะรายงานไปยัง CERT-In

สิทธิในความเป็นส่วนตัวสูญหายหรือไม่?

ตามที่รัฐบาลกำหนด แนวทางใหม่นี้มีจุดมุ่งหมายเพื่อให้แน่ใจว่าการรายงานเหตุการณ์ทางไซเบอร์ไปยัง CERT-In ในเวลาที่เหมาะสม เสริมด้วยข้อมูลที่จำเป็นสำหรับการวิเคราะห์เหตุการณ์ดังกล่าว ซึ่งในที่สุดจะช่วยเพิ่มการรับรู้สถานการณ์ความปลอดภัยในโลกไซเบอร์ ลดเหตุการณ์/การโจมตีด้านความปลอดภัยทางไซเบอร์ และอื่นๆ อีกมากมาย ให้การปกป้องข้อมูลและความพร้อมในการให้บริการแก่ประชาชน

“ความพยายามเหล่านี้จะช่วยยกระดับการรักษาความปลอดภัยทางไซเบอร์โดยรวม และรับประกันว่าอินเทอร์เน็ตที่เปิดกว้าง ปลอดภัย และเชื่อถือได้ และมีความรับผิดชอบในประเทศ” เอกสารระบุ

อย่างไรก็ตาม ผู้เชี่ยวชาญหลายคนตั้งคำถามกับกฎใหม่ในกรณีที่ไม่มีกฎหมายคุ้มครองข้อมูลในประเทศ

ในการพูดคุยกับ Inc42 Anupam Shukla หุ้นส่วนของ Pioneer Legal ได้กล่าว ว่ารัฐบาลควรตรวจสอบให้แน่ใจว่ามีการออกกฎหมายความเป็นส่วนตัวก่อนที่จะมีกฎระเบียบที่กำหนดให้หน่วยงานเอกชนเช่นผู้ให้บริการ VPN จัดเก็บข้อมูลที่เป็นของบุคคลส่วนตัว

แนะนำสำหรับคุณ:

ทรัพยากร

วิธีการตั้งค่ากรอบงานผู้รวบรวมบัญชีของ RBI เพื่อเปลี่ยน Fintech ในอินเดีย

อามิต ดาส

31 กรกฎาคม 2565

ข่าว

ผู้ประกอบการไม่สามารถสร้างการเริ่มต้นที่ยั่งยืนและปรับขนาดได้ผ่าน 'Jugaad': Cit...

Jaspreet K.

31 กรกฎาคม 2565

ทรัพยากร

Metaverse จะพลิกโฉมอุตสาหกรรมยานยนต์อินเดียได้อย่างไร

วิภาวดี ส.

31 กรกฎาคม 2565

ทรัพยากร

บทบัญญัติต่อต้านการแสวงหากำไรสำหรับสตาร์ทอัพในอินเดียมีความหมายอย่างไร?

จรัญญา ล.

31 กรกฎาคม 2565

ทรัพยากร

Edtech Startups ช่วยให้แรงงานอินเดียเพิ่มพูนทักษะและเตรียมพร้อมสู่อนาคตได้อย่างไร...

อังคุช เอส

31 กรกฎาคม 2565

ข่าว

หุ้นเทคโนโลยียุคใหม่ในสัปดาห์นี้: ปัญหาของ Zomato ยังคงดำเนินต่อไป, EaseMyTrip Posts Stro...

ตปัญจนา ร.

31 กรกฎาคม 2565

อ้างถึงสิทธิในความเป็นส่วนตัว Shukla ยังกล่าวอีกว่าจำเป็นต้องมีเกณฑ์ความจำเป็นที่ค่อนข้างสูงซึ่งรัฐบาลสามารถบุกรุกความเป็นส่วนตัวของบุคคลได้ สิ่งนี้จะต้องเป็นข้อยกเว้นและไม่ใช่กฎ

ในเอกสารล่าสุด รัฐบาลกล่าวอย่างชัดเจนว่า “สิทธิในความเป็นส่วนตัวของข้อมูลของบุคคลไม่ได้รับผลกระทบ”

“คำแนะนำเหล่านี้ไม่ได้จินตนาการถึงการแสวงหาข้อมูลโดย CERT-In จากผู้ให้บริการในลักษณะที่ต่อเนื่องกัน CERT-In อาจขอข้อมูลจากผู้ให้บริการในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยทางไซเบอร์และเหตุการณ์ทางไซเบอร์ แล้วแต่กรณี เพื่อปฏิบัติตามภาระผูกพันตามกฎหมายในการเพิ่มความปลอดภัยในโลกไซเบอร์ในประเทศ” กล่าวเสริม

เกี่ยวกับการจัดเก็บบันทึก CERT-In กล่าวว่าบันทึกอาจถูกเก็บไว้นอกประเทศเช่นกัน ตราบใดที่ "ภาระผูกพันในการผลิตบันทึก" นั้นได้รับการปฏิบัติตามโดยหน่วยงานในเวลาที่เหมาะสม

การดูแลรักษาและการให้ข้อมูล

เจ้าหน้าที่ของ CERT-In ซึ่งไม่ต่ำกว่าตำแหน่งรองเลขาธิการรัฐบาลอินเดีย จะมีอำนาจในการแสวงหาข้อมูลเกี่ยวกับบันทึก

สำหรับประเภทของบันทึกที่ผู้ให้บริการต้องดูแล เอกสารดังกล่าวระบุว่า “บันทึกที่ควรได้รับการบำรุงรักษาจะขึ้นอยู่กับภาคส่วนขององค์กร เช่น บันทึกไฟร์วอลล์ บันทึกระบบป้องกันการบุกรุก บันทึก SIEM เว็บ / ฐานข้อมูล / เมล / FTP / บันทึกเซิร์ฟเวอร์พร็อกซี, บันทึกเหตุการณ์ของระบบที่สำคัญ, บันทึกแอปพลิเคชัน, บันทึกสวิตช์ ATM, บันทึก SSH, บันทึก VPN ฯลฯ”

รัฐบาลยังได้ขอให้องค์กรใช้แหล่งเวลาที่ถูกต้องและเป็นมาตรฐาน คำสั่งปัจจุบันต้องการการซิงโครไนซ์เวลาอย่างสม่ำเสมอในทุกระบบเทคโนโลยีการสื่อสารข้อมูล (ICT) โดยไม่คำนึงถึงเขตเวลา “ข้อมูลโซนเวลา จะถูกบันทึกพร้อมกับเวลาเพื่ออำนวยความสะดวกในการแปลงที่แม่นยำใน เวลาที่ต้องการ” เอกสารกล่าว

ต้นทุนของการไม่ปฏิบัติตามข้อกำหนด

ทิศทางใหม่จะมีผลบังคับใช้หลังจาก 60 วันนับจากวันที่ออก นั่นคือวันที่ 28 เมษายน

ผู้ให้บริการสินทรัพย์เสมือน ผู้ให้บริการแลกเปลี่ยนสินทรัพย์เสมือน ผู้ให้บริการกระเป๋าเงินผู้รับฝากทรัพย์สิน และ องค์กรของรัฐจะอยู่ภายใต้กฎด้วยเช่นกัน

เอกสารดังกล่าวยังกล่าวถึงผลที่ตามมาของการไม่ปฏิบัติตามแนวทางใหม่ “การกระทำที่ไม่ปฏิบัติตามคำสั่งความปลอดภัยทางไซเบอร์ของ 28.04.2022 ที่ออกภายใต้มาตรา (6) ของมาตรา 70B ของพระราชบัญญัติเทคโนโลยีสารสนเทศ 2000 อาจดึงดูดบทบัญญัติทางอาญาของอนุมาตรา (7) ของมาตรา 70B ของ กระทำ."

มาตรา 70 ข (7) แห่งพระราชบัญญัติไอที พ.ศ. 2563 ระบุว่าการไม่ปฏิบัติตามคำแนะนำในมาตราย่อย (6) จะดึงดูดการลงโทษเป็นระยะเวลาหนึ่งซึ่งอาจขยายเป็นหนึ่งปีหรือปรับซึ่งอาจขยายได้ถึงหนึ่งปี แสนรูปีหรือทั้งสองอย่าง

กฎเหล่านี้ได้รับการวิพากษ์วิจารณ์จากผู้ให้บริการ VPN ระหว่างประเทศหลายรายที่พูดถึงความเป็นไปได้ที่จะออกจากอินเดียเพื่อปฏิบัติตามนโยบายไม่บันทึกข้อมูลการใช้งาน ยังคงต้องดูว่าพวกเขาตอบสนองต่อคำชี้แจงที่ออกโดยหน่วยงานอย่างไร

Gytis Malinauskas หัวหน้าฝ่ายกฎหมายของ Surfshark ได้กล่าวไว้ก่อนหน้านี้ว่าบริษัทกำลังพยายามทำความเข้าใจกฎระเบียบใหม่และความหมายที่เกี่ยวข้อง แต่เป้าหมายโดยรวมคือเพื่อให้บริการแบบไม่บันทึกข้อมูลการใช้งานแก่ผู้ใช้ทั้งหมด

ในทางกลับกัน Laura Tyrylyte หัวหน้าฝ่ายประชาสัมพันธ์ของ Nord Security กล่าวว่าบริษัทกำลังพิจารณากฎหมายใหม่เพื่อให้เข้าใจถึงสิ่งที่จำเป็นมากขึ้น แต่จากสิ่งที่ดูเหมือนบริษัทจะต้องทำการเปลี่ยนแปลงพื้นฐานภายในโครงสร้างพื้นฐาน นโยบายและค่านิยมของมัน และ "ยากที่จะเห็นสถานการณ์ดังกล่าวเกิดขึ้นจริง"