MoS IT Rajeev Chandrasekhar.
Le ministre d'État à l'Électronique et à l'informatique Rajeev Chandrashekhar a averti mercredi les fournisseurs de services de réseau privé virtuel (VPN) que s'ils ne respectent pas les dernières règles de cybersécurité libérés par l'équipe indienne d'intervention d'urgence informatique (CERT-In), ils devront mettre fin à leurs opérations en Inde.
Tout en lançant des clarifications sur les normes de cybersécurité du CERT-In, il a déclaré : « Si vous êtes un VPN qui veut cacher et rester anonyme à propos de ceux qui utilisent des VPN et que vous ne voulez pas respecter ces règles, alors si vous voulez tirer hors (du pays), franchement, c'est la seule opportunité que vous aurez. Vous devrez vous retirer.”
Les commentaires interviennent à un moment où de nombreux fournisseurs de VPN, dont une grande partie de la proposition de valeur est d'assurer l'anonymat des utilisateurs sur Internet, ont remis en question les directives pour les utilisateurs potentiellement enfreignant confidentialité, certains fournisseurs comme NordVPN ayant déclaré qu'ils envisageaient de retirer leurs serveurs d'Inde si les règles leur étaient appliquées.
https://images.indianexpress.com/2020/08/1×1.png
Interrogé sur les préoccupations soulevées par certains fournisseurs de VPN comme NordVPN, SurfShark et Proton VPN qui prétendent ne pas conserver de journaux sur la façon dont leurs clients utilisent leur service – ce que les règles leur imposent de faire – Chandrashekhar a déclaré : « Il n'y a aucune possibilité pour quelqu'un de dire nous ne suivrons pas les lois et les règles de l'Inde. Si vous n'avez pas les journaux, commencez à les maintenir ».
Le meilleur d'Express Premium
PremiumUn professeur du Collège Hindou du DU’a été arrêté pour avoir posté le ‘ Shivling&#…
PremiumClé UPSC CSE – 20 mai 2022 : ce que vous devez lire aujourd'hui
PremiumEn procès, le gouvernement MVA en tant que BJP, le Centre s'affrontent devant les tribunaux -content/plugins/lazy-load/images/1×1.trans.gif” />
Premium< /figure>Explication : l'affaire Krishna Janmabhoomi à Mathura et le défi de …Plus d'histoires premium >>
Les normes de cybersécurité de CERT-In, publiées le 28 avril, demandaient aux fournisseurs de services VPN ainsi qu'aux centres de données et aux fournisseurs de services cloud de stocker des informations telles que les noms, les identifiants de messagerie, les numéros de contact et les adresses IP (entre autres) de leurs clients pour un période de cinq ans.
« Si vous êtes un fournisseur de VPN, si vous êtes un opérateur de centre de données, si vous êtes un fournisseur de cloud et si vous êtes une entreprise, vous avez l'obligation de savoir qui utilise votre infrastructure VPN ; qui utilise le cloud ; qui utilise le centre de données ? Pourquoi? En cas de détection d'un cyberincident ou d'une cyberviolation — d'une des personnes utilisant votre VPN ou votre cloud ou votre datacenter, c'est votre obligation de produire les données », a déclaré le ministre. “Maintenant, à ce stade, vous ne pouvez pas dire” Non, c'est notre règle que nous ne conserverons pas de journaux “. Si vous ne tenez pas de journaux de bord, ce n'est pas un bon endroit pour faire des affaires”.
Les règles exigent également que les entités signalent les incidents de cybersécurité au CERT-In dans les six heures suivant leur prise de connaissance ou leur prise de connaissance. Répondant aux préoccupations de l'industrie selon lesquelles six heures étaient trop courtes pour signaler de tels incidents, Sanjay Bahl, directeur général du CERT-In, a déclaré que les exigences de déclaration étaient conformes aux normes mondiales. « La France, dans le secteur financier, oblige les entités à signaler les incidents liés à la cybersécurité dans les quatre heures ; en Indonésie, dans l'heure ; L'Italie exige des divulgations dans les trois heures; Le Japon exige que les entités fassent rapport immédiatement ; à Singapour, c'est moins d'une heure », a déclaré Bahl.
Chandrashekhar a déclaré que le signalement rapide de tels incidents est crucial pour garantir qu'Internet reste « sûr et fiable ». “La cybersécurité est un problème très complexe où la connaissance de la situation de plusieurs incidents nous permet de comprendre la conspiration derrière elle, ou s'il y a une force plus importante derrière elle. Ainsi, des rapports précis et à temps sont un élément absolument essentiel de la capacité de CERT-In à garantir qu'Internet est toujours sûr et fiable », a-t-il déclaré.