Erklärt: Die neuen Cybersicherheitsnormen von CERT-In und warum es wahrscheinlich eine Klarstellung dazu herausgeben wird

0
56

Quellen zufolge konnte die Agentur klarstellen, dass die Normen nur für VPN-Anbieter gelten, die “Internet-Proxy-ähnliche Dienste” anbieten. an “allgemeine Internet-Abonnenten” und nicht an Firmen-VPN-Dienstanbieter. (Foto: Pixabay)

Die im vergangenen Monat vom indischen Computer Emergency Response Team (CERT-In) angekündigten Cybersicherheitsnormen verlangen von virtuellen privaten Netzwerken (VPNs), dass sie eine breite Palette von Daten über ihre Kunden aufbewahren für fünf Jahre gilt möglicherweise nicht für Unternehmen und Unternehmens-VPN-Anbieter, hat The Indian Express erfahren.

CERT-In soll an der Veröffentlichung weiterer Einzelheiten der im April herausgegebenen Cybersicherheitsrichtlinie arbeiten, die von Interessenvertretern der Branche abgelehnt wurde. Quellen zufolge könnte die Agentur klarstellen, dass die Normen nur für VPN-Anbieter gelten, die „Internet-Proxy-ähnliche Dienste“ anbieten. an “allgemeine Internet-Abonnenten” und nicht an Firmen-VPN-Dienstanbieter.

Welche Normen stellt CERT-In klar?

< p>Die am 28. April veröffentlichten Normen fragten VPN-Dienstanbieter zusammen mit Rechenzentren und Cloud-Dienstanbietern, um Informationen wie Namen, E-Mail-IDs, Telefonnummern und IP-Adressen (unter anderem) ihrer Kunden für einen Zeitraum von fünf Jahren zu speichern. Unternehmen sind außerdem verpflichtet, Cybersicherheitsvorfälle CERT-In innerhalb von sechs Stunden, nachdem sie davon Kenntnis erlangt oder davon Kenntnis erlangt haben, zu melden.

https://images.indianexpress.com/2020/08/1×1.png

Best of Express Premium

Premium

Chintan Shivir endet heute: Hindutva-Debatte in Cong, Partei duckt sich hart…

Prämie

Erklärt: Warum das Verbot von Weizenexporten eine reflexartige Reaktion ist, trifft Landwirte…Premium

Die Hand der Rajapaksas

Premium

Der giftige Glanz des RampenlichtsMore Premium Stories &gt ;>

Die Normen haben Bedenken hinsichtlich des Datenschutzes ausgelöst, und CERT-In soll klarstellen, dass private Informationen von Einzelpersonen von den Anweisungen nicht betroffen sind.

Best of Explained

Klicken Sie hier für mehr

“Diese Anweisungen sehen nicht vor, dass CERT-In kontinuierlich Informationen von Dienstanbietern als ständige Vereinbarung einholt. CERT-In kann im Falle von Cyber-Sicherheitsvorfällen und Cyber-Vorfällen von Fall zu Fall Informationen von Dienstanbietern einholen, um seinen gesetzlichen Verpflichtungen zur Verbesserung der Cyber-Sicherheit im Land nachzukommen,” laut einer Person, die Kenntnis von den Klarstellungen hat, die CERT-In gerade abschließt.

Die Agentur wird wahrscheinlich auch in ihre Klarstellungen aufnehmen, dass die Richtlinie vom 28. April zur Speicherung solcher Informationen und Weitergabe an CERT-In „außer Kraft gesetzt“ wird; jegliche vertragliche Verpflichtung von VPN-Anbietern gegenüber ihren Kunden, solche Informationen nicht offenzulegen.

Anfragen an das IT-Ministerium und CERT-In-Generaldirektor Sanjay Bahl wurden nicht sofort beantwortet.

< strong>Aber warum hat CERT-In das Bedürfnis verspürt, eine Klarstellung herauszugeben?

Prominente VPN-Anbieter, deren Wertversprechen zu einem großen Teil darin besteht, die Anonymität ihrer Benutzer im Internet zu gewährleisten, haben die Richtlinien in Frage gestellt, und einige Anbieter wie NordVPN erwägen sogar, ihre Server aus Indien abzuziehen, falls die Richtlinie ihnen auferlegt wird.

“Im Moment untersucht unser Team die neue Richtlinie, die kürzlich von der indischen Regierung verabschiedet wurde, und ermittelt die beste Vorgehensweise. Da bis zum Inkrafttreten des Gesetzes noch mindestens zwei Monate Zeit sind, arbeiten wir derzeit wie gewohnt. Wir verpflichten uns, die Privatsphäre unserer Kunden zu schützen, daher können wir unsere Server aus Indien entfernen, wenn keine anderen Optionen übrig bleiben,” Laura Tyrylyte, Leiterin der Öffentlichkeitsarbeit bei Nord Security, sagte.

VPN-Anbieter wie Surfshark haben behauptet, dass ihre Technologie das Protokollieren von Benutzern nicht zulässt’ Information. “Surfshark hat eine strikte No-Logs-Richtlinie, was bedeutet, dass wir unsere Kunden-Browsing-Daten oder Nutzungsinformationen nicht sammeln oder weitergeben,” sagte Gytis Malinauskas, Leiter der Rechtsabteilung bei Surfshark.

Newsletter | Klicken Sie hier, um die besten Erklärungen des Tages in Ihren Posteingang zu bekommen

“Darüber hinaus arbeiten wir nur mit RAM-only-Servern, die automatisch benutzerbezogene Daten überschreiben. Daher könnten wir derzeit die Protokollierungsanforderungen nicht einmal technisch erfüllen. Wir untersuchen immer noch die neuen Vorschriften und ihre Auswirkungen auf uns, aber das übergeordnete Ziel ist es, allen unseren Benutzern weiterhin No-Logs-Dienste bereitzustellen” sagte Malinauskas.

Wie hat die Regierung auf diese Bedenken reagiert?

In einem Gespräch mit The Indian Express Anfang dieses Monats hatte IT-Minister Ashwini Vaishnaw gesagt, es gebe „keinen Grund zur Sorge“. über” CERT-In’s-Normen. “Es bestehen keine Datenschutzbedenken. Angenommen, jemand nimmt eine Maske und schießt, würden Sie ihn dann nicht bitten, diese Maske abzunehmen? So ist es,” hatte Vaishnaw während eines Interviews gesagt.

Er erklärte die Notwendigkeit der Regeln und sagte: „Cybersicherheit ist etwas, das sich ständig weiterentwickelt. Deshalb haben wir sehr umfassende Richtlinien von CERT-In herausgegeben. Letztendlich müssten die Polizei und Sie beide zusammenarbeiten, wenn Sie bedroht werden.”

“Das Grundkonzept (der Richtlinien) ist, dass die Menschen, die es sind der eigentliche Betrieb der Infrastruktur sollte alle möglichen Schritte unternehmen, um sicherzustellen, dass die Dinge vorhanden sind, und wenn es einen Verstoß gibt, informieren Sie uns sofort, damit wir Maßnahmen ergreifen können,” Vaishnaw sagte.