होलीमाट्काasia.kgm

Rediff.com»व्यवसाय» वैश्विक तकनीकी निकायों ने भारत के नए साइबर सुरक्षा नियम की आलोचना की

वैश्विक तकनीकी निकायों ने भारत के नए साइबर सुरक्षा नियम की खिंचाई की

स्रोत:पीटीआई
मई 27, 2022 22:38 IST
रेडिफ समाचार प्राप्त करेंआपके इनबॉक्स में:

भारत का नया निर्देश जो छह घंटे के भीतर साइबर हमले की घटनाओं की रिपोर्टिंग और उपयोगकर्ताओं के लॉग को 5 साल तक संग्रहीत करना अनिवार्य बनाता है, कंपनियों के लिए देश में व्यापार करना मुश्किल हो जाएगा, 11 अंतरराष्ट्रीय निकायों में Google, फेसबुक और एचपी जैसे तकनीकी दिग्गज हैं, जैसा कि सदस्यों ने एक में कहा सरकार को संयुक्त पत्र

फोटोग्राफ: सौजन्य pixabay.com

11 संगठनों द्वारा लिखित संयुक्त पत्र जो मुख्य रूप से अमेरिका, यूरोप और एशिया में स्थित प्रौद्योगिकी कंपनियों का प्रतिनिधित्व करते हैं, 26 मई को भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सीईआरटी-इन) के महानिदेशक संजय बहल को भेजा गया था।

अंतरराष्ट्रीय निकायों ने चिंता व्यक्त की है कि निर्देश, जैसा कि लिखा गया है, भारत में काम करने वाले संगठनों के लिए साइबर सुरक्षा पर हानिकारक प्रभाव पड़ेगा, और भारत और उसके सहयोगियों की सुरक्षा मुद्रा को कमजोर करते हुए अधिकार क्षेत्र में साइबर सुरक्षा के लिए एक असंबद्ध दृष्टिकोण पैदा करेगा। क्वाड देश, यूरोप और उससे आगे।

 

पत्र में कहा गया है, "आवश्यकताओं की कठिन प्रकृति भी कंपनियों के लिए भारत में कारोबार करना मुश्किल बना सकती है।"

जिन वैश्विक निकायों ने संयुक्त रूप से चिंता व्यक्त की है उनमें सूचना प्रौद्योगिकी उद्योग परिषद (आईटीआई), एशिया सिक्योरिटीज इंडस्ट्री एंड फाइनेंशियल मार्केट्स एसोसिएशन (एएसआईएफएमए), बैंक पॉलिसी इंस्टीट्यूट, बीएसए - सॉफ्टवेयर एलायंस, साइबर जोखिम को कम करने के लिए गठबंधन (सीआर 2), साइबर सुरक्षा गठबंधन, डिजिटल यूरोप, टेकयूके, यूएस चैंबर ऑफ कॉमर्स, यूएस-इंडिया बिजनेस काउंसिल और यूएस-इंडिया स्ट्रेटेजिक पार्टनरशिप फोरम।

28 अप्रैल को जारी नया निर्देश कंपनियों को किसी भी साइबर उल्लंघन की सूचना सीईआरटी-इन को नोटिस देने के छह घंटे के भीतर रिपोर्ट करने के लिए अनिवार्य करता है।

यह डेटा केंद्रों, वर्चुअल प्राइवेट सर्वर (वीपीएस) प्रदाताओं, क्लाउड सेवा प्रदाताओं और वर्चुअल प्राइवेट नेटवर्क (वीपीएन) सेवा प्रदाताओं को सेवाओं को काम पर रखने वाले ग्राहकों और ग्राहकों के नाम, काम पर रखने की अवधि, ग्राहकों के स्वामित्व पैटर्न आदि को मान्य करने और बनाए रखने के लिए अनिवार्य करता है। कानून द्वारा अनिवार्य रूप से 5 साल या उससे अधिक की अवधि के लिए रिकॉर्ड।

निर्देश के अनुसार, आईटी कंपनियों को अपने ग्राहक को जानिए (केवाईसी) के हिस्से के रूप में प्राप्त सभी जानकारी और पांच साल की अवधि के लिए वित्तीय लेनदेन के रिकॉर्ड को बनाए रखने की आवश्यकता है ताकि भुगतान और वित्तीय बाजारों के क्षेत्र में साइबर सुरक्षा सुनिश्चित की जा सके। नागरिक।

अंतर्राष्ट्रीय निकायों ने साइबर घटना की रिपोर्टिंग के लिए प्रदान की गई 6 घंटे की समय-सीमा पर चिंता जताई है और मांग की है कि इसे बढ़ाकर 72 घंटे किया जाना चाहिए।

"सीईआरटी-इन ने कोई तर्क नहीं दिया है कि 6 घंटे की समय-सीमा क्यों जरूरी है, न ही यह वैश्विक मानकों के अनुरूप या संरेखित है।

पत्र में कहा गया है, "ऐसी समयरेखा अनावश्यक रूप से संक्षिप्त है और ऐसे समय में अतिरिक्त जटिलता पैदा करती है जब संस्थाएं साइबर घटना को समझने, प्रतिक्रिया देने और उसे दूर करने के कठिन कार्य पर अधिक उपयुक्त रूप से केंद्रित होती हैं।"

इसने कहा कि छह घंटे के शासनादेश के मामले में, संस्थाओं के पास इस बात का उचित निर्धारण करने के लिए पर्याप्त जानकारी की संभावना नहीं होगी कि क्या वास्तव में कोई साइबर घटना हुई है जो अधिसूचना को ट्रिगर करने का वारंट करेगी।

अंतर्राष्ट्रीय निकायों ने कहा कि उनकी सदस्य कंपनियां उच्च-गुणवत्ता वाली आंतरिक घटना प्रबंधन प्रक्रियाओं के साथ उन्नत सुरक्षा अवसंरचना संचालित करती हैं, जो एक तृतीय-पक्ष प्रणाली के बारे में सरकार द्वारा निर्देशित निर्देश की तुलना में अधिक कुशल और चुस्त प्रतिक्रिया प्राप्त करेगी, जिससे CERT-In परिचित नहीं है।

संयुक्त पत्र में कहा गया है कि जांच और स्कैनिंग जैसी गतिविधियों को शामिल करने के लिए रिपोर्ट करने योग्य घटनाओं की वर्तमान परिभाषा बहुत व्यापक है क्योंकि जांच और स्कैन रोजमर्रा की घटनाएं हैं।

इसने कहा कि सीईआरटी-इन द्वारा निर्देश में दिए गए स्पष्टीकरण में उल्लेख किया गया है कि भारत में लॉग को संग्रहीत करने की आवश्यकता नहीं है, लेकिन निर्देश में इसका उल्लेख नहीं है।

"यहां तक ​​​​कि अगर यह परिवर्तन किया जाता है, हालांकि, हमें कुछ प्रकार के लॉग डेटा के बारे में चिंता है जो भारत सरकार को अनुरोध पर प्रस्तुत करने की आवश्यकता है, क्योंकि इसमें से कुछ संवेदनशील है और यदि एक्सेस किया जाता है, तो प्रदान करके नया सुरक्षा जोखिम पैदा कर सकता है। एक संगठन की सुरक्षा मुद्रा में अंतर्दृष्टि, “पत्र ने कहा।

संयुक्त पत्र में कहा गया है कि इंटरनेट सेवा प्रदाता आमतौर पर ग्राहकों की जानकारी एकत्र करते हैं लेकिन इन दायित्वों को वीएसपी, सीएसपी और वीपीएन प्रदाताओं तक पहुंचाना बोझिल और कठिन है।

"डेटा सेंटर प्रदाता आईपी पते निर्दिष्ट नहीं करता है। डेटा सेंटर प्रदाता के लिए आईएसपी द्वारा अपने ग्राहकों को सौंपे गए सभी आईपी पते एकत्र करना और रिकॉर्ड करना एक कठिन काम होगा।

"यह लगभग असंभव कार्य हो सकता है जब आईपी पते गतिशील रूप से असाइन किए जाते हैं," पत्र ने कहा।

वैश्विक निकायों ने कहा कि ग्राहक के जीवन चक्र के लिए स्थानीय रूप से डेटा संग्रहीत करना और उसके बाद पांच वर्षों के लिए भंडारण और सुरक्षा संसाधनों की आवश्यकता होगी, जिसके लिए लागत ग्राहक को पारित की जानी चाहिए, जिसने विशेष रूप से इस डेटा को संग्रहीत करने के लिए नहीं कहा है। उनकी सेवा समाप्ति के बाद।

लैंग ने अतिरिक्त रूप से कहा, सीईआरटी-इन द्वारा जारी किए गए एफएक्यू छह घंटे की रिपोर्टिंग समयरेखा सहित समस्याग्रस्त प्रावधानों को संबोधित नहीं करते हैं।

लैंग ने कहा, "हम सीईआरटी-इन से निर्देश के कार्यान्वयन को रोकने और पत्र में व्यक्त की गई चिंताओं को पूरी तरह से दूर करने के लिए एक हितधारक परामर्श खोलने का आग्रह करना जारी रखते हैं।"

रेडिफ समाचार प्राप्त करेंआपके इनबॉक्स में:
स्रोत:पीटीआई © कॉपीराइट 2022 पीटीआई। सर्वाधिकार सुरक्षित। पीटीआई सामग्री का पुनर्वितरण या पुनर्वितरण, जिसमें फ्रेमिंग या इसी तरह के माध्यम शामिल हैं, पूर्व लिखित सहमति के बिना स्पष्ट रूप से निषिद्ध है।
 

मनीविज़ लाइव!

मैं