企業、企業 VPN 不需要維護客戶日誌：CERT-In

已發表: 2022-05-18

CERT-In發布了其發布的新網絡安全方向的澄清文件

儘管對新規則存在擔憂，但政府似乎沒有心情做出任何改變

政府還明確表示，“個人的信息隱私權不受新方向的影響”

印度計算機應急響應小組 (CERT-In) 於 4 月 28 日以常見問題解答格式發布了備受期待的關於其新網絡安全方向的說明。節點網絡安全機構表示，維護客戶日誌的規則不適用於企業和企業虛擬專用網絡 (VPN)。

它澄清說，VPN 服務提供商一詞是指通過使用標准或專有的 VPN 技術向普通互聯網訂戶/用戶提供“互聯網代理類服務”的實體。

澄清的發布也表明，儘管新規則受到了批評，但政府沒有心情重新考慮。

新規則要求 VPN提供商、虛擬專用服務器 (VPS) 提供商和雲服務提供商收集和存儲其客戶數據五年或更長時間。

澄清文件稱：“任何向該國用戶提供服務的服務提供商都需要在印度管轄範圍內啟用和維護金融交易的日誌和記錄。”

文檔中有 44 個問題的答案，以及對向 CERT-In 報告的網絡安全事件類型的解釋。

政府表示，新方向旨在確保及時向 CERT-In 報告網絡事件，並輔以分析此類事件所需的必要信息，最終將增強網絡安全態勢感知，減輕網絡安全事件/攻擊等，確保數據保護和公民服務的可用性。

文件稱：“這些努力將加強整體網絡安全態勢，並確保該國互聯網的開放、安全、可信和負責任。”

然而，在該國沒有數據保護法的情況下，許多專家質疑新規則。

Pioneer Legal 的合夥人 Anupam Shukla 在與 Inc42 交談時曾表示，政府應該先確保頒布隱私法，然後再製定一項法規，要求 VPN 服務提供商等私人實體存儲屬於私人的數據。

資源

RBI 的賬戶聚合器框架將如何改變印度的金融科技

消息

資源

資源

資源

消息

談到隱私權，舒克拉還表示，政府可以侵犯個人隱私的必要性門檻必須相當高。這必須是一個例外，而不是一個規則。

政府在最新文件中明確表示，“個人信息隱私權不受影響”。

“這些指示並未將 CERT-In 繼續從服務提供商那裡尋求信息作為一項長期安排。 CERT-In 可能會在發生網絡安全事件和網絡事件時，根據具體情況向服務提供商尋求信息，以履行其加強該國網絡安全的法定義務，”它補充說。

關於日誌的存儲，CERT-In 表示，只要實體在合理時間內遵守“生成日誌的義務”，日誌也可以存儲在國外。

不低於印度政府副部長級別的 CERT-In 官員將有權尋求有關日誌的信息。

關於需要由服務提供商維護的日誌類型，該文件說，“應該維護的日誌將取決於組織所在的部門，例如防火牆日誌、入侵防禦系統日誌、SIEM 日誌、 web/數據庫/郵件/FTP/代理服務器日誌、關鍵系統的事件日誌、應用程序日誌、ATM交換機日誌、SSH日誌、VPN日誌等”

政府還要求這些組織使用準確和標準的時間來源。當前指令要求在所有信息通信技術 (ICT) 系統之間進行統一的時間同步，無論時區如何。 “時區信息還應與時間一起記錄，以便在需要時進行準確轉換，”該文件稱。

新指令將於發布之日起 60 天后生效，即 4 月 28 日。

虛擬資產服務提供商、虛擬資產交換提供商、託管錢包提供商和政府組織也將被納入規則。

該文件還提到了不遵守新方向的後果。 “根據 2000 年《信息技術法》第 70B 條第 (6) 款發布的不遵守 2022 年 4 月 28 日的網絡安全指示的行為可能會引起《2000 年信息技術法》第 70B 條第 (7) 款的處罰規定。行為。”

2020 年 IT 法案第 70 B (7) 條規定，不遵守第 (6) 款下的指示將受到可延長至一年的處罰，或可延長至一年的罰款十萬盧比或兩者兼而有之。

這些規則受到了幾家國際 VPN 服務提供商的批評，他們還談到了退出印度以堅持其無日誌政策的可能性。他們對該機構發布的澄清有何反應還有待觀察。

Surfshark 法律部門負責人 Gytis Malinauskas 早些時候曾表示，該公司正試圖了解新法規及其影響，但總體目標是繼續為其所有用戶提供無日誌服務。

另一方面，Nord Security 公共關係負責人 Laura Tyrylyte 表示，該公司正在研究新法律以更好地了解要求，但從表面上看，該公司將被要求對其基礎設施進行根本性改變，它的政策和價值觀，而且“很難看到這樣的場景變成現實”。