भारत में व्यापार करना कठिन बनाने के लिए नया साइबर सुरक्षा नियम

नई दिल्ली: भारत का नया निर्देश जो छह घंटे के भीतर साइबर हमले की घटनाओं की रिपोर्ट करना और उपयोगकर्ताओं के लॉग को 5 साल तक संग्रहीत करना अनिवार्य बनाता है, कंपनियों के लिए देश में व्यापार करना मुश्किल हो जाएगा, 11 अंतर्राष्ट्रीय निकाय जिनके सदस्य Google, फेसबुक और एचपी जैसे तकनीकी दिग्गज हैं। सरकार को लिखे संयुक्त पत्र में कहा।

11 संगठनों द्वारा लिखित संयुक्त पत्र जो मुख्य रूप से अमेरिका, यूरोप और एशिया में स्थित प्रौद्योगिकी कंपनियों का प्रतिनिधित्व करते हैं, 26 मई को भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) के महानिदेशक संजय बहल को भेजा गया था।

अंतर्राष्ट्रीय निकायों ने चिंता व्यक्त की है कि निर्देश, जैसा कि लिखा गया है, भारत में काम करने वाले संगठनों के लिए साइबर सुरक्षा पर हानिकारक प्रभाव पड़ेगा, और भारत और उसके सहयोगियों की सुरक्षा मुद्रा को कमजोर करते हुए, अधिकार क्षेत्र में साइबर सुरक्षा के लिए एक असंबद्ध दृष्टिकोण पैदा करेगा। क्वाड देश, यूरोप और उससे आगे।

पत्र में कहा गया है, “आवश्यकताओं की कठिन प्रकृति भी कंपनियों के लिए भारत में कारोबार करना मुश्किल बना सकती है।”

जिन वैश्विक निकायों ने संयुक्त रूप से चिंता व्यक्त की है उनमें सूचना प्रौद्योगिकी उद्योग परिषद (आईटीआई), एशिया सिक्योरिटीज इंडस्ट्री एंड फाइनेंशियल मार्केट्स एसोसिएशन (एएसआईएफएमए), बैंक पॉलिसी इंस्टीट्यूट, बीएसए – सॉफ्टवेयर एलायंस, साइबर जोखिम को कम करने के लिए गठबंधन (सीआर 2), साइबर सुरक्षा गठबंधन, डिजिटल यूरोप, टेकयूके, यूएस चैंबर ऑफ कॉमर्स, यूएस-इंडिया बिजनेस काउंसिल और यूएस-इंडिया स्ट्रेटेजिक पार्टनरशिप फोरम।

28 अप्रैल को जारी नया निर्देश कंपनियों को किसी भी साइबर उल्लंघन की सूचना सीईआरटी-इन को नोटिस देने के छह घंटे के भीतर रिपोर्ट करने के लिए अनिवार्य करता है।

यह डेटा केंद्रों, वर्चुअल प्राइवेट सर्वर (वीपीएस) प्रदाताओं, क्लाउड सेवा प्रदाताओं और वर्चुअल प्राइवेट नेटवर्क (वीपीएन) सेवा प्रदाताओं को सेवाओं को काम पर रखने वाले ग्राहकों और ग्राहकों के नाम, काम पर रखने की अवधि, ग्राहकों के स्वामित्व पैटर्न आदि को मान्य करने और बनाए रखने के लिए अनिवार्य करता है। कानून द्वारा अनिवार्य रूप से 5 साल या उससे अधिक की अवधि के लिए रिकॉर्ड।

निर्देश के अनुसार, आईटी कंपनियों को अपने ग्राहक को जानिए (केवाईसी) के हिस्से के रूप में प्राप्त सभी जानकारी और पांच साल की अवधि के लिए वित्तीय लेनदेन के रिकॉर्ड को बनाए रखने की आवश्यकता है ताकि भुगतान और वित्तीय बाजारों के क्षेत्र में साइबर सुरक्षा सुनिश्चित की जा सके। नागरिक।

अंतरराष्ट्रीय निकायों ने साइबर घटना की रिपोर्टिंग के लिए प्रदान की गई 6 घंटे की समयसीमा पर चिंता जताई है और मांग की है कि इसे बढ़ाकर 72 घंटे किया जाना चाहिए।

“सीईआरटी-इन ने कोई तर्क प्रदान नहीं किया है कि क्यों 6-घंटे की समयावधि आवश्यक है, न ही यह वैश्विक मानकों के अनुरूप या संरेखित है। इस तरह की समयरेखा अनावश्यक रूप से संक्षिप्त है और ऐसे समय में अतिरिक्त जटिलता को इंजेक्ट करती है जब संस्थाएं अधिक उचित रूप से ध्यान केंद्रित करती हैं। एक साइबर घटना को समझने, उसका जवाब देने और उसका निवारण करने का कठिन कार्य,” पत्र में कहा गया है।

इसने कहा कि छह घंटे के शासनादेश के मामले में, संस्थाओं के पास इस बात का उचित निर्धारण करने के लिए पर्याप्त जानकारी की संभावना नहीं होगी कि क्या वास्तव में कोई साइबर घटना हुई है जो अधिसूचना को ट्रिगर करने का वारंट करेगी।

अंतर्राष्ट्रीय निकायों ने कहा कि उनकी सदस्य कंपनियां उच्च-गुणवत्ता वाली आंतरिक घटना प्रबंधन प्रक्रियाओं के साथ उन्नत सुरक्षा अवसंरचना संचालित करती हैं, जो एक तृतीय-पक्ष प्रणाली के बारे में सरकार द्वारा निर्देशित निर्देश की तुलना में अधिक कुशल और चुस्त प्रतिक्रिया प्राप्त करेगी, जिससे CERT-In परिचित नहीं है।

संयुक्त पत्र में कहा गया है कि जांच और स्कैनिंग जैसी गतिविधियों को शामिल करने के लिए रिपोर्ट करने योग्य घटनाओं की वर्तमान परिभाषा बहुत व्यापक है क्योंकि जांच और स्कैन रोजमर्रा की घटनाएं हैं।

इसने कहा कि सीईआरटी-इन द्वारा निर्देश में दिए गए स्पष्टीकरण में उल्लेख किया गया है कि भारत में लॉग को संग्रहीत करने की आवश्यकता नहीं है, लेकिन निर्देश में इसका उल्लेख नहीं है।

“यहां तक ​​​​कि अगर यह परिवर्तन किया जाता है, हालांकि, हमें कुछ प्रकार के लॉग डेटा के बारे में चिंता है जो भारत सरकार को अनुरोध पर प्रस्तुत करने की आवश्यकता है, क्योंकि इसमें से कुछ संवेदनशील है और यदि एक्सेस किया जाता है, तो प्रदान करके नया सुरक्षा जोखिम पैदा कर सकता है। एक संगठन की सुरक्षा मुद्रा में अंतर्दृष्टि,” पत्र में कहा गया है।

संयुक्त पत्र में कहा गया है कि इंटरनेट सेवा प्रदाता आमतौर पर ग्राहकों की जानकारी एकत्र करते हैं लेकिन इन दायित्वों को वीएसपी, सीएसपी और वीपीएन प्रदाताओं तक पहुंचाना बोझिल और कठिन है।

“डेटा सेंटर प्रदाता आईपी पते निर्दिष्ट नहीं करता है। डेटा सेंटर प्रदाता के लिए आईएसपी द्वारा अपने ग्राहकों को सौंपे गए सभी आईपी पते एकत्र करना और रिकॉर्ड करना एक कठिन काम होगा। यह लगभग असंभव कार्य हो सकता है जब आईपी पते गतिशील रूप से असाइन किए जाते हैं, “पत्र ने कहा।

वैश्विक निकायों ने कहा कि ग्राहक के जीवन चक्र के लिए स्थानीय रूप से डेटा संग्रहीत करना और उसके बाद पांच वर्षों के लिए भंडारण और सुरक्षा संसाधनों की आवश्यकता होगी, जिसके लिए लागत ग्राहक को पारित की जानी चाहिए, जिसने विशेष रूप से इस डेटा को संग्रहीत करने के लिए नहीं कहा है। उनकी सेवा समाप्ति के बाद।

“हम साइबर सुरक्षा में सुधार के लिए सरकार के लक्ष्य को साझा करते हैं। हालांकि, हम सीईआरटी-इन निर्देश के बारे में चिंतित हैं, निर्देश को स्पष्ट करने के उद्देश्य से हाल ही में पूछे जाने वाले प्रश्न दस्तावेज़ जारी करने के बावजूद, क्योंकि एफएक्यू एक कानूनी दस्तावेज नहीं है, यह अनुदान नहीं देता है आईटीआई नीति के वरिष्ठ निदेशक कोर्टनी लैंग ने कहा, “कानूनी निश्चितता वाली कंपनियों को रोजमर्रा के कारोबार का संचालन करने की आवश्यकता होती है।”

लैंग ने अतिरिक्त रूप से कहा, सीईआरटी-इन द्वारा जारी किए गए एफएक्यू छह घंटे की रिपोर्टिंग समयरेखा सहित समस्याग्रस्त प्रावधानों को संबोधित नहीं करते हैं।

लैंग ने कहा, “हम सीईआरटी-इन से निर्देश के कार्यान्वयन को रोकने और पत्र में व्यक्त की गई चिंताओं को पूरी तरह से दूर करने के लिए एक हितधारक परामर्श खोलने का आग्रह करते हैं।”