Cumpra as regras ou saia da Índia, diz governo aos provedores de serviços VPN
“Não há oportunidade para alguém dizer que não seguiremos as regras e leis da Índia. Se você não tem os logs, comece a manter os logs. Se você é um VPN que quer se esconder e ser anônimo sobre aqueles que usam sua VPN e você não quer seguir essas regras, se você quiser desistir, então, francamente, você não tem outra oportunidade a não ser desistir”, disse ele.
O ministério de eletrônica e TI ordenou que provedores de serviços em nuvem, empresas de VPN (Rede Privada Virtual), empresas de data center e provedores de servidores privados virtuais armazenem os dados dos usuários por pelo menos cinco anos.
Algumas das empresas de VPN alegaram que a nova regra pode levar a brechas de segurança cibernética no sistema – um argumento que foi rejeitado pelo ministro.
Chandrasekhar disse que o governo também não fará nenhuma mudança nas regras sobre obrigar as entidades a relatar violações cibernéticas em seu sistema dentro de seis horas após o conhecimento.
“A criminalidade e a incidência cibernética, a natureza, o tipo, a forma, a forma dela são muito complexas. Eles têm elementos muito sinistros por trás disso. Há muitos atores estatais que estão usando a vulnerabilidade. Aqueles que cometem essas violações podem seguir em frente muito rapidamente. A denúncia imediata é fundamental para a investigação, análise forense, consciência situacional da natureza do incidente”, disse ele.
O órgão da indústria de tecnologia ITI, com sede nos EUA, com empresas globais de tecnologia como Google, Facebook, IBM e Cisco como seus membros, buscou uma revisão na diretriz do governo indiano sobre o relato de incidentes de violação de segurança cibernética.
O ITI disse que as disposições do novo mandato podem afetar negativamente as organizações e prejudicar a segurança cibernética no país.
O órgão da indústria solicitou uma consulta mais ampla das partes interessadas com a indústria antes de finalizar a diretiva.
A Equipe Indiana de Resposta a Emergências de Computadores (CERT-In) em 28 de abril, emitiu uma diretriz solicitando a todas as agências governamentais e privadas, incluindo provedores de serviços de Internet, plataformas de mídia social e data centers, que relatassem obrigatoriamente incidentes de violação de segurança cibernética dentro de seis horas após a notificação eles.
A nova circular emitida pelo CERT-In obriga todos os provedores de serviços, intermediários, data centers, empresas e organizações governamentais a habilitar obrigatoriamente os logs de todos os seus sistemas de TIC (Tecnologia da Informação e Comunicação) e mantê-los em segurança por um período contínuo de 180 dias, e o mesmo será mantido dentro da jurisdição indiana.
A ITI levantou preocupações sobre a notificação obrigatória de incidentes de violação dentro de seis horas após a notificação, para permitir logs de todos os sistemas de TIC e mantê-los dentro da jurisdição indiana por 180 dias, a definição ampla de incidentes reportáveis e a exigência de que as empresas se conectem aos servidores de entidades governamentais indianas.
FacebookTwitterLinkedin
Source link