Nova Delhi: Os provedores de serviços de rede privada virtual que não estão prontos para cumprir as novas diretrizes têm a única opção de sair da Índia, disse o ministro de estado de eletrônicos e TI Rajeev Chandrasekhar na quarta-feira. O ministro, ao divulgar as FAQs (Perguntas Frequentes) sobre a recente diretiva sobre relatórios de incidentes de violação cibernética, disse que toda empresa ou entidade bem-intencionada entende que uma Internet segura e confiável vai ajudá-la.
"Não há oportunidade para alguém dizer que não seguiremos as regras e leis da Índia. Se você não possui os logs, comece a mantê-los. Se você é um VPN que deseja ocultar e ser anônimo sobre aqueles que usam sua VPN e não querem seguir essas regras, se quiserem desistir, francamente não têm outra oportunidade a não ser desistir", disse ele.
O Ministério da Eletrônica e TI determinou que provedores de serviços em nuvem, empresas de VPN (Rede Privada Virtual), empresas de data centers e provedores de servidores privados virtuais armazenem os dados dos usuários por pelo menos cinco anos.
Algumas das empresas de VPN alegaram que a nova regra pode levar a brechas de segurança cibernética no sistema - um argumento que foi rejeitado pelo ministro.
Chandrasekhar disse que o governo também não fará nenhuma alteração nas regras que obrigam as entidades a relatar uma violação cibernética em seu sistema dentro de seis horas após saber disso.
"A criminalidade e a incidência cibernética, natureza, tipo, forma, forma disso são muito complexos. Eles têm elementos muito sinistros por trás disso. Existem muitos atores estatais que estão usando a vulnerabilidade. Aqueles que cometem essas violações podem seguir em frente muito rapidamente. O relato imediato é fundamental para a investigação, análise forense, consciência situacional da natureza do incidente", disse ele.
O órgão da indústria de tecnologia com sede nos EUA, ITI, que tem empresas globais de tecnologia como Google, Facebook, IBM e Cisco como seus membros, buscou uma revisão na diretriz do governo indiano sobre relatórios de incidentes de violação de segurança cibernética.
A ITI disse que as disposições sob o novo mandato podem impactar negativamente as organizações e minar a segurança cibernética no país.
O órgão da indústria pediu uma consulta mais ampla às partes interessadas com a indústria antes de finalizar a diretiva.
A Equipe Indiana de Resposta a Emergências de Computadores (CERT-In) em 28 de abril emitiu uma diretriz pedindo a todas as agências governamentais e privadas, incluindo provedores de serviços de Internet, plataformas de mídia social e centros de dados, que relatassem obrigatoriamente incidentes de violação de segurança cibernética dentro de seis horas de percebê-los.
A nova circular emitida pelo CERT-In obriga todos os provedores de serviços, intermediários, data centers, empresas e organizações governamentais a habilitar obrigatoriamente logs de todos os seus sistemas de TIC (Tecnologia da Informação e Comunicação) e mantê-los seguros por um período contínuo de 180 dias, e o mesmo será mantido dentro da jurisdição indiana. Leia também: Proibição do canudo de plástico: Frooti, Parle Agro, fabricante da Appy Fizz, quer que o governo adie a decisão, eis o porquê
A ITI levantou preocupações sobre a notificação obrigatória de incidentes de violação dentro de seis horas após a notificação, para permitir registros de todos os sistemas de TIC e mantê-los dentro da jurisdição indiana por 180 dias, a definição ampla de incidentes reportáveis e a exigência de que as empresas se conectem a os servidores de entidades governamentais indianas. Leia também: Não pagou ITR? Prepare-se para enfrentar TDS mais alto, salário em mãos mais baixo