Nueva Delhi: los proveedores de servicios de redes privadas virtuales que no están preparados para cumplir con las nuevas directrices tienen la única opción de salir de la India, dijo el miércoles el ministro de Estado de Electrónica y TI, Rajeev Chandrasekhar. El ministro, al publicar las preguntas frecuentes (FAQ, por sus siglas en inglés) sobre la directiva reciente sobre el informe de incidentes de ciberataques, dijo que toda empresa o entidad con buenas intenciones entiende que una Internet segura y confiable la ayudará.
"No hay oportunidad para que alguien diga que no seguiremos las reglas y leyes de la India. Si no tiene los registros, comience a mantenerlos. Si es una VPN que quiere ocultarse y ser anónimo acerca de aquellos que usan su VPN y no quieren seguir estas reglas, si quieren retirarse, entonces, francamente, no tienen otra oportunidad más que retirarse", dijo.
El Ministerio de Electrónica y TI ha ordenado a los proveedores de servicios en la nube, las empresas de VPN (red privada virtual), las empresas de centros de datos y los proveedores de servidores privados virtuales que almacenen los datos de los usuarios durante al menos cinco años.
Algunas de las empresas de VPN han afirmado que la nueva regla puede dar lugar a lagunas de seguridad cibernética en el sistema, un argumento que fue rechazado por el ministro.
Chandrasekhar dijo que el gobierno tampoco va a hacer ningún cambio en las reglas que obligan a las entidades a reportar las infracciones cibernéticas en su sistema dentro de las seis horas posteriores a su conocimiento.
"La criminalidad y la incidencia cibernética, la naturaleza, el tipo, la forma son muy complejos. Tienen elementos muy siniestros detrás. Hay muchos actores estatales que están usando la vulnerabilidad. Aquellos que cometen estas infracciones pueden seguir adelante muy rápidamente. El informe inmediato es fundamental para la investigación, el análisis forense, la conciencia situacional de la naturaleza del incidente ", dijo.
El organismo de la industria tecnológica con sede en EE. UU., ITI, que tiene como miembros a empresas tecnológicas globales como Google, Facebook, IBM y Cisco, solicitó una revisión de la directiva del gobierno indio sobre la notificación de incidentes de violación de la seguridad cibernética.
ITI dijo que las disposiciones bajo el nuevo mandato pueden afectar negativamente a las organizaciones y socavar la seguridad cibernética en el país.
El organismo de la industria ha solicitado una consulta más amplia con las partes interesadas de la industria antes de finalizar la directiva.
El 28 de abril, el Equipo de Respuesta a Emergencias Informáticas de la India (CERT-In) emitió una directiva solicitando a todas las agencias gubernamentales y privadas, incluidos los proveedores de servicios de Internet, las plataformas de redes sociales y los centros de datos, que informen obligatoriamente los incidentes de violación de la seguridad cibernética dentro de los seis horas de notarlos.
La nueva circular emitida por el CERT-In obliga a todos los proveedores de servicios, intermediarios, centros de datos, empresas y organizaciones gubernamentales a habilitar obligatoriamente los registros de todos sus sistemas de TIC (Tecnologías de la información y la comunicación) y mantenerlos de forma segura durante un período continuo de 180 días, y la misma se mantendrá dentro de la jurisdicción india. Lea también: Prohibición de pajitas de plástico: Frooti, el fabricante de Appy Fizz, Parle Agro, quiere que el gobierno posponga la decisión, he aquí por qué
ITI ha expresado su preocupación por el informe obligatorio de incidentes de incumplimiento dentro de las seis horas posteriores al aviso, para permitir registros de todos los sistemas de TIC y mantenerlos dentro de la jurisdicción india durante 180 días, la definición demasiado amplia de incidentes notificables y el requisito de que las empresas se conecten a los servidores de las entidades gubernamentales indias. Lea también: ¿No ha presentado ITR? Prepárese para enfrentar un TDS más alto, un salario disponible más bajo