Följ regler eller lämna Indien: MoS IT till VPN

0
47

MoS IT Rajeev Chandrasekhar.

Statsminister för elektronik och IT Rajeev Chandrashekhar varnade på onsdagen tjänsteleverantörer för virtuella privata nätverk (VPN) att om de inte följer de senaste cybersäkerhetsreglerna släppt av Indian Computer Emergency Response Team (CERT-In), kommer de att behöva avsluta sin verksamhet i Indien.

Medan han lanserade förtydliganden om CERT-Ins cybersäkerhetsnormer sa han: “Om du är en VPN som vill gömma dig och vara anonym om de som använder VPN och du inte vill följa dessa regler, då om du vill dra ut (från landet), ärligt talat, det är den enda möjligheten du kommer att ha. Du måste dra dig ur.”

Kommentarerna kommer vid en tidpunkt då många VPN-leverantörer, vars värdeförslag till stor del är att säkerställa anonymitet för användare på Internet, har ifrågasatt direktiven för att potentiellt kränka användare integritet, med vissa leverantörer som NordVPN säger att de överväger att dra sina servrar från Indien om reglerna skulle tillämpas på dem.

https://images.indianexpress.com/2020/08/1×1.png

På frågan om farhågor från vissa VPN-leverantörer som NordVPN, SurfShark och Proton VPN som påstår sig inte föra loggar över hur deras kunder använder deras tjänst – något som reglerna tvingar dem att göra – sa Chandrashekhar: “Det finns ingen möjlighet för någon att säga vi kommer inte att följa Indiens lagar och regler. Om du inte har loggarna, börja underhålla loggarna.”

Best of Express Premium

Premium

DU’s Hindu College-professor greps för post den ‘ Shivling&#…

Premium

UPSC CSE-nyckel – 20 maj 2022: Vad du behöver läsa idagPremium

På rättegång MVA-regeringen som BJP tar Center mot varandra i domstolar

Premium< /figure>Förklarat: Krishna Janmabhoomi-fallet i Mathura, och utmaningen att …Fler premiumhistorier >>

CERT-Ins cybersäkerhetsnormer, som släpptes den 28 april, bad VPN-tjänsteleverantörer tillsammans med datacenter och molntjänstleverantörer att lagra information som namn, e-post-ID, kontaktnummer och IP-adresser (bland annat) för sina kunder för en period på fem år.

“Om du är en VPN-leverantör, om du är en datacenteroperatör, om du är en molnleverantör och om du är ett företag, har du en skyldighet att veta vem som använder din VPN-infrastruktur; vem som använder molnet; vem använder datacentret? Varför? Om det finns en upptäckt cyberincident eller cyberintrång — från en av personerna som använder ditt VPN eller ditt moln eller ditt datacenter, är det din skyldighet att producera data”, sa ministern. “Nu vid den tidpunkten kan du inte säga 'Nej, det är vår regel att vi inte kommer att underhålla loggar'. Om du inte upprätthåller rullloggar är detta inte ett bra ställe att göra affärer på.”

Reglerna kräver också att enheter rapporterar cybersäkerhetsincidenter till CERT-In inom sex timmar efter att de blivit medvetna om dem. Som svar på branschens oro över att sex timmar var för kort tid för att rapportera sådana incidenter, sa Sanjay Bahl, generaldirektör för CERT-In, att rapporteringskraven var i linje med globala standarder. ”Frankrike, inom finanssektorn, kräver att enheter rapporterar cybersäkerhetsrelaterade incidenter inom fyra timmar; i Indonesien, inom en timme; Italien kräver avslöjande inom tre timmar; Japan kräver att enheter rapporterar omedelbart; i Singapore är det inom en timme”, sa Bahl.

Chandrashekhar sa att snabb rapportering av sådana incidenter är avgörande för att säkerställa att Internet förblir “säkert och pålitligt”. “Cybersäkerhet är en mycket komplex fråga där situationsmedvetenhet om flera incidenter gör att vi kan förstå konspirationen bakom den, eller om det finns en större kraft bakom den. Så att rapportera korrekt och i tid är en absolut viktig del av CERT-Ins förmåga att säkerställa att internet alltid är säkert och pålitligt”, sa han.