भारत के हाल ही में घोषित साइबर सुरक्षा नियम, जो आईटी कंपनियों और क्लाउड सेवा प्रदाताओं को साइबर सुरक्षा की घटनाओं की तेजी से रिपोर्ट करने और डेटा स्टोर करने के लिए मजबूर करते हैं, बढ़ती चिंताओं का सामना कर रहे हैं। यूएस चैंबर ऑफ कॉमर्स और यूएस-इंडिया बिजनेस काउंसिल सहित यूरोपीय संघ, यूनाइटेड किंगडम और संयुक्त राज्य अमेरिका के ग्यारह उद्योग समूहों ने देश के साइबर सुरक्षा नियमों के बारे में अपनी चिंताओं को व्यक्त करने के लिए भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) को लिखा है।
उद्योग समूहों ने कहा कि निर्देश की “कठोर प्रकृति” कंपनियों के लिए भारत में व्यापार करना अधिक कठिन बना सकती है। पत्र पर हस्ताक्षर करने वालों में फेसबुक, गूगल, एप्पल, एमेजॉन और माइक्रोसॉफ्ट जैसी बड़ी तकनीकी कंपनियां भी शामिल हैं। इसमें एशिया सिक्योरिटीज इंडस्ट्री एंड फाइनेंशियल मार्केट्स एसोसिएशन (एएसआईएफएमए), बैंक पॉलिसी इंस्टीट्यूट, बीएसए, साइबर जोखिम को कम करने के लिए गठबंधन, साइबर सुरक्षा गठबंधन, डिजिटल यूरोप, सूचना प्रौद्योगिकी उद्योग परिषद (आईटीआई), टेकयूके, यूएस चैंबर ऑफ कॉमर्स, यूएस-इंडिया शामिल हैं। बिजनेस काउंसिल (USIBC), और यूएस-इंडिया स्ट्रेटेजिक पार्टनरशिप फोरम (USISPF)।
ये संगठन वीपीएन प्रदाताओं और नागरिक समाज सहित हितधारकों की एक विस्तृत श्रृंखला में शामिल होते हैं, जिन्होंने पहले सीईआरटी-इन के मानदंडों की आलोचना की है। इससे पहले, वीपीएन प्रदाताओं ने भी नए नियमों से संबंधित चिंता व्यक्त की क्योंकि उनका मानना है कि नए नियम देश में उनके काम करने के तरीके को बदल देंगे।
सीईआरटी-इन को पत्र
यह पत्र सीईआरटी-इन द्वारा अनुपालन बोझ के बारे में उद्योग की चिंताओं के जवाब में अपने दिशानिर्देशों पर स्पष्टीकरण का एक सेट जारी करने के बाद आया है। नियम 28 अप्रैल को जारी किए गए थे और 60 दिनों में प्रभावी होंगे।
हालांकि, सीईआरटी-इन के महानिदेशक संजय बहल को संबोधित पत्र में, समूह ने कहा कि नए नियमों का भारतीय व्यवसायों के लिए साइबर सुरक्षा पर “हानिकारक प्रभाव” पड़ेगा और साइबर सुरक्षा के लिए एक खंडित दृष्टिकोण पैदा करेगा। , क्वाड देशों, यूरोप और उसके बाहर देश और उसके भागीदारों की सुरक्षा स्थिति को नुकसान पहुंचा रहा है।
उन्होंने साइबर सुरक्षा की घटनाओं के लिए छह घंटे की रिपोर्टिंग समय सीमा के बारे में चिंता जताई है, आवश्यकता है कि कंपनियां सरकार को संवेदनशील लॉग प्रदान करें, रिपोर्ट करने योग्य घटनाओं की “ओवरब्रॉड” परिभाषा, और आवश्यकता है कि वर्चुअल प्राइवेट नेटवर्क (वीपीएन) अपने उपयोगकर्ताओं पर डेटा स्टोर करें पाँच वर्ष के लिए।
पत्र में कहा गया है, “अगर इस पर ध्यान नहीं दिया जाता है, तो इन प्रावधानों का उन संगठनों पर महत्वपूर्ण प्रतिकूल प्रभाव पड़ेगा जो भारत में काम करते हैं और साइबर सुरक्षा के लिए कोई समान लाभ नहीं है।” इंडियन एक्सप्रेस.
उद्योग समूहों ने रिपोर्टिंग की समय सीमा को मौजूदा छह घंटे से बढ़ाकर 72 घंटे करने का आग्रह किया है, जो दावा करते हैं कि बाद वाला दुनिया भर में सर्वोत्तम प्रथाओं के अनुसार है। पत्र के अनुसार, सीईआरटी-इन ने छह घंटे की समयसीमा के लिए कोई औचित्य प्रस्तुत नहीं किया है, न ही इसे विश्वव्यापी मानदंडों के अनुपात में या उससे जोड़ा गया है। पत्र में कहा गया है कि इस तरह का शेड्यूल अनुचित रूप से छोटा है और ऐसे समय में जटिलता में इजाफा करता है जब संगठनों को साइबर आपदा को समझने, प्रतिक्रिया देने और उसे दूर करने की कठिन प्रक्रिया पर ध्यान केंद्रित करना चाहिए।
संगठनों के समूह ने यह भी कहा: “हमारी कंपनियां उच्च गुणवत्ता वाली आंतरिक घटना प्रबंधन प्रक्रियाओं के साथ उन्नत सुरक्षा बुनियादी ढांचे का संचालन करती हैं, जो एक तृतीय-पक्ष प्रणाली के बारे में सरकार द्वारा निर्देशित निर्देश की तुलना में अधिक कुशल और चुस्त प्रतिक्रियाएं प्राप्त करेगी जो सीईआरटी-इन परिचित नहीं है साथ। सीईआरटी-इन को इस प्रावधान को हटाने के निर्देश में संशोधन करना चाहिए।
उनका मानना है कि एक अधिक उपयुक्त दृष्टिकोण प्रदाताओं से यह प्रदर्शित करने के लिए कहेगा कि उनकी घटना और जोखिम प्रबंधन विधियां अंतरराष्ट्रीय मानकों को पूरा करती हैं, जैसे कि आईएसओ -27000 प्रमाणन में पाए गए। लेकिन इलेक्ट्रॉनिक्स और आईटी राज्य मंत्री राजीव चंद्रशेखर ने पहले कहा था कि सरकार छह घंटे की रिपोर्टिंग समय सीमा के साथ “बहुत उदार” थी।
वीपीएन प्रदाताओं की चिंताएं
सरकार के अनुसार, वीपीएन प्रदाताओं के पास कानूनों का पालन करने और डेटा संग्रह शुरू करने के लिए दो महीने का समय होता है।
सीईआरटी-इन द्वारा दिया गया कारण यह है कि इसके लिए संभावित साइबर अपराध की जांच करने की क्षमता की आवश्यकता होती है, लेकिन वीपीएन कंपनियां असहमत हैं, कुछ का कहना है कि वे आदेशों की अवहेलना करेंगी।
इंस्टासेफ के सीईओ और सह-संस्थापक साइबर सुरक्षा विशेषज्ञ संदीप कुमार पांडा ने बताया समाचार18: “जबकि हर कोई अभी भी इस देश में एक स्पष्ट डेटा गोपनीयता कानून की प्रतीक्षा कर रहा है, ऐसे चुपचाप जारी किए गए नए निर्देश के लिए उपयोगकर्ता डेटा लॉगिंग शुरू करने के लिए प्रौद्योगिकी कंपनियों की एक सरणी की आवश्यकता सेवा प्रदाताओं के बीच अधिक भ्रम पैदा कर रही है।”
“कुछ सबसे बड़ी वीपीएन कंपनियां बताती हैं कि वे अपने उपयोगकर्ताओं के बारे में केवल न्यूनतम जानकारी एकत्र करती हैं और अपने उपयोगकर्ताओं को बड़े पैमाने पर गुमनाम रहने के तरीकों की भी अनुमति देती हैं। इसलिए, उनके आंतरिक नियम अब उन्हें आईटी मंत्रालय के साथ टकराव में लाने के लिए तैयार हैं, ”उन्होंने कहा।
उद्योग के अंदरूनी सूत्र ने कहा कि सरकार ने जिन डेटा बिंदुओं को संग्रहीत करने का निर्देश दिया है, उनकी सूची काफी लंबी है क्योंकि इन डेटा बिंदुओं को इतनी लंबी अवधि के लिए संग्रहीत करने से वीपीएन विक्रेताओं को भारी लागत आएगी क्योंकि उन्हें इन्हें क्लाउड में संग्रहीत करना होगा। इसके अलावा, नए दिशानिर्देशों के लिए उन्हें अपने उत्पाद को बदलने की भी आवश्यकता होगी जो वीपीएन प्रदाताओं के लिए एक बड़ा उपद्रव होगा, उन्होंने कहा।
अंकुर कंसल्टिंग ग्रुप के सीनियर मैनेजिंग डायरेक्टर अमित जाजू ने बताया समाचार18: “वीपीएन सेवा प्रदाताओं को योजना के अनुसार काम नहीं करने के लिए कुछ जनादेश। वीपीएन सेवा प्रदाताओं के पास एक वैश्विक पदचिह्न है और उनकी भारत उपस्थिति मुख्य रूप से अन्य देशों में उपयोगकर्ताओं को भारत से एक उपयोगकर्ता के रूप में इंटरनेट नेविगेट करने के लिए प्रदान करने पर केंद्रित है। इसका उपयोग मुख्य रूप से प्रवासी भारतीय भारत में ओटीटी प्लेटफॉर्म ब्राउज़ करने के लिए करते हैं।”
इसके अतिरिक्त, उन्होंने कहा: “भारत में हमले की योजना बनाने वाले साइबर अपराधी को भारत में वीपीएन सर्वर की आवश्यकता नहीं होगी। हमलावर एक विदेशी सर्वर का उपयोग कर सकता है, या भारत में किसी अन्य समझौता मशीन का उपयोग कर सकता है जो ऐसे अपराधियों के लिए व्यापक रूप से उपलब्ध है।”
“यहां तक कि वे अगर [VPN service providers] अपने भारत सर्वर से लॉगिंग शुरू करें, हमलावर अभी भी वीपीएन सेवा प्रदाताओं के विदेशी सर्वरों का उपयोग कर सकते हैं जो भारतीय अधिकारियों के पूर्वावलोकन से बाहर रहेंगे, ”उद्योग विशेषज्ञ ने कहा। हालांकि, वीपीएन कारोबारियों को केंद्रीय मंत्री चंद्रशेखर ने आगाह किया है कि अगर वे नियमों का पालन नहीं करते हैं तो वे देश छोड़ने के लिए स्वतंत्र हैं.
सभी नवीनतम समाचार, ब्रेकिंग न्यूज और आईपीएल 2022 लाइव अपडेट यहां पढ़ें।
