भारत का नया निर्देश जो छह घंटे के भीतर साइबर हमले की घटनाओं की रिपोर्टिंग और उपयोगकर्ताओं के लॉग को 5 साल तक संग्रहीत करना अनिवार्य बनाता है, कंपनियों के लिए देश में व्यापार करना मुश्किल हो जाएगा, 11 अंतरराष्ट्रीय निकायों में Google, फेसबुक और एचपी जैसे तकनीकी दिग्गज हैं, जैसा कि सदस्यों ने एक में कहा सरकार को संयुक्त पत्र
11 संगठनों द्वारा लिखित संयुक्त पत्र जो मुख्य रूप से अमेरिका, यूरोप और एशिया में स्थित प्रौद्योगिकी कंपनियों का प्रतिनिधित्व करते हैं, 26 मई को भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) के महानिदेशक संजय बहल को भेजा गया था।
boAt, OnePlus और Realme के नेतृत्व में किफायती नेकबैंड इयरफ़ोन ख़रीदने वाले ज़्यादातर भारतीय
अंतर्राष्ट्रीय निकायों ने चिंता व्यक्त की है कि निर्देश, जैसा कि लिखा गया है, भारत में काम करने वाले संगठनों के लिए साइबर सुरक्षा पर हानिकारक प्रभाव डालेगा, और साइबर सुरक्षा के लिए एक असंबद्ध दृष्टिकोण पैदा करेगा, जो सुरक्षा मुद्रा को कमजोर करेगा। भारत और क्वाड देशों, यूरोप और उसके बाहर इसके सहयोगी। पत्र में कहा गया है, “आवश्यकताओं की कठिन प्रकृति भी कंपनियों के लिए भारत में कारोबार करना मुश्किल बना सकती है।”
जिन वैश्विक निकायों ने संयुक्त रूप से चिंता व्यक्त की है उनमें सूचना शामिल है तकनीकी उद्योग परिषद (आईटीआई), एशिया सिक्योरिटीज इंडस्ट्री एंड फाइनेंशियल मार्केट्स एसोसिएशन (एएसआईएफएमए), बैंक पॉलिसी इंस्टीट्यूट, बीएसए – सॉफ्टवेयर एलायंस, साइबर जोखिम को कम करने के लिए गठबंधन (सीआर 2), साइबर सुरक्षा गठबंधन, डिजिटल यूरोप, टेकयूके, यूएस चैंबर ऑफ कॉमर्स, यूएस -भारत व्यवसाय परिषद और यूएस-इंडिया स्ट्रेटेजिक पार्टनरशिप फोरम। 28 अप्रैल को जारी नया निर्देश कंपनियों को किसी भी साइबर उल्लंघन की सूचना सीईआरटी-इन को नोटिस देने के छह घंटे के भीतर रिपोर्ट करने के लिए अनिवार्य करता है।
हरियाणा में मौसम: जून में भीषण गर्मी का प्रकोप रहेगा जारी, 47 डिग्री सेल्सियस तक पहुंच सकता है पारा
यह डेटा केंद्रों, वर्चुअल प्राइवेट सर्वर (वीपीएस) प्रदाताओं, क्लाउड सेवा प्रदाताओं और वर्चुअल प्राइवेट नेटवर्क (वीपीएन) सेवा प्रदाताओं को सेवाओं को काम पर रखने वाले ग्राहकों और ग्राहकों के नाम, काम पर रखने की अवधि, ग्राहकों के स्वामित्व पैटर्न आदि को मान्य करने और बनाए रखने के लिए अनिवार्य करता है। कानून द्वारा अनिवार्य रूप से 5 साल या उससे अधिक की अवधि के लिए रिकॉर्ड।
निर्देश के अनुसार, आईटी कंपनियों को अपने ग्राहक को जानिए (केवाईसी) के हिस्से के रूप में प्राप्त सभी जानकारी और पांच साल की अवधि के लिए वित्तीय लेनदेन के रिकॉर्ड को बनाए रखने की आवश्यकता है ताकि भुगतान और वित्तीय बाजारों के क्षेत्र में साइबर सुरक्षा सुनिश्चित की जा सके। नागरिक।
अंतर्राष्ट्रीय निकायों ने साइबर घटना की रिपोर्टिंग के लिए प्रदान की गई 6 घंटे की समय-सीमा पर चिंता जताई है और मांग की है कि इसे बढ़ाकर 72 घंटे किया जाना चाहिए। “सीईआरटी-इन ने कोई तर्क प्रदान नहीं किया है कि क्यों 6-घंटे की समयावधि आवश्यक है, न ही यह वैश्विक मानकों के अनुरूप या संरेखित है। इस तरह की समयरेखा अनावश्यक रूप से संक्षिप्त है और ऐसे समय में अतिरिक्त जटिलता को इंजेक्ट करती है जब संस्थाएं अधिक उचित रूप से ध्यान केंद्रित करती हैं। एक साइबर घटना को समझने, उसका जवाब देने और उसका निवारण करने का कठिन कार्य,” पत्र में कहा गया है।
हरियाणा में मौसम: जून में भीषण गर्मी का प्रकोप रहेगा जारी, 47 डिग्री सेल्सियस तक पहुंच सकता है पारा
इसने कहा कि छह घंटे के शासनादेश के मामले में, संस्थाओं के पास इस बात का उचित निर्धारण करने के लिए पर्याप्त जानकारी की संभावना नहीं होगी कि क्या वास्तव में कोई साइबर घटना हुई है जो अधिसूचना को ट्रिगर करने का वारंट करेगी। अंतर्राष्ट्रीय निकायों ने कहा कि उनकी सदस्य कंपनियां उच्च-गुणवत्ता वाली आंतरिक घटना प्रबंधन प्रक्रियाओं के साथ उन्नत सुरक्षा अवसंरचना संचालित करती हैं, जो एक तृतीय-पक्ष प्रणाली के बारे में सरकार द्वारा निर्देशित निर्देश की तुलना में अधिक कुशल और चुस्त प्रतिक्रिया प्राप्त करेगी, जिससे CERT-In परिचित नहीं है।
संयुक्त पत्र में कहा गया है कि जांच और स्कैनिंग जैसी गतिविधियों को शामिल करने के लिए रिपोर्ट करने योग्य घटनाओं की वर्तमान परिभाषा बहुत व्यापक है क्योंकि जांच और स्कैन रोजमर्रा की घटनाएं हैं। इसने कहा कि सीईआरटी-इन द्वारा निर्देश में दिए गए स्पष्टीकरण में उल्लेख किया गया है कि भारत में लॉग को संग्रहीत करने की आवश्यकता नहीं है, लेकिन निर्देश में इसका उल्लेख नहीं है।
“यहां तक कि अगर यह परिवर्तन किया जाता है, हालांकि, हमें कुछ प्रकार के लॉग डेटा के बारे में चिंता है जो भारत सरकार को अनुरोध पर प्रस्तुत करने की आवश्यकता है, क्योंकि इसमें से कुछ संवेदनशील है और यदि एक्सेस किया जाता है, तो प्रदान करके नया सुरक्षा जोखिम पैदा कर सकता है। एक संगठन की सुरक्षा मुद्रा में अंतर्दृष्टि,” पत्र में कहा गया है। संयुक्त पत्र में कहा गया है कि इंटरनेट सेवा प्रदाता आमतौर पर ग्राहकों की जानकारी एकत्र करते हैं लेकिन इन दायित्वों को वीएसपी, सीएसपी और वीपीएन प्रदाताओं तक पहुंचाना बोझिल और कठिन है।
“डेटा सेंटर प्रदाता आईपी पते निर्दिष्ट नहीं करता है। डेटा सेंटर प्रदाता के लिए आईएसपी द्वारा अपने ग्राहकों को सौंपे गए सभी आईपी पते एकत्र करना और रिकॉर्ड करना एक कठिन काम होगा। यह लगभग असंभव कार्य हो सकता है जब आईपी पते गतिशील रूप से असाइन किए जाते हैं, “पत्र ने कहा। वैश्विक निकायों ने कहा कि ग्राहक के जीवन चक्र के लिए स्थानीय रूप से डेटा संग्रहीत करना और उसके बाद पांच वर्षों के लिए भंडारण और सुरक्षा संसाधनों की आवश्यकता होगी, जिसके लिए लागत ग्राहक को पारित की जानी चाहिए, जिसने विशेष रूप से इस डेटा को संग्रहीत करने के लिए नहीं कहा है। उनकी सेवा समाप्ति के बाद।
“हम साइबर सुरक्षा में सुधार के लिए सरकार के लक्ष्य को साझा करते हैं। हालांकि, हम सीईआरटी-इन निर्देश के बारे में चिंतित हैं, निर्देश को स्पष्ट करने के उद्देश्य से हाल ही में पूछे जाने वाले प्रश्न दस्तावेज़ जारी करने के बावजूद, क्योंकि एफएक्यू एक कानूनी दस्तावेज नहीं है, यह अनुदान नहीं देता है आईटीआई नीति के वरिष्ठ निदेशक कोर्टनी लैंग ने कहा, “कानूनी निश्चितता वाली कंपनियों को रोजमर्रा के कारोबार का संचालन करने की आवश्यकता होती है।” लैंग ने अतिरिक्त रूप से कहा, सीईआरटी-इन द्वारा जारी किए गए एफएक्यू छह घंटे की रिपोर्टिंग समयरेखा सहित समस्याग्रस्त प्रावधानों को संबोधित नहीं करते हैं।
लैंग ने कहा, “हम सीईआरटी-इन से निर्देश के कार्यान्वयन को रोकने और पत्र में व्यक्त की गई चिंताओं को पूरी तरह से दूर करने के लिए एक हितधारक परामर्श खोलने का आग्रह करना जारी रखते हैं।”
.
.