По словам групп, новые правила неразумные, обременительные и не способные повысить кибербезопасность Индии. Более того, правила могут нанести ущерб экономике страны. Согласно правилам, операторы ЦОД, облачных сервисов и VPN обязаны регистрировать и хранить в течение 5 лет имена клиентов, даты использования услуг и IP-адреса пользователей. Также компании должны сообщать о более 20 типах киберинцидентов в течение 6 часов после обнаружения. В инциденты также входят «злонамеренные/подозрительные действия», но грань между ними не указана.
Помимо индийских СМИ, Центру реагирования на компьютерные инциденты Индии (Indian Computer Emergency Response, CERT-In) свои возражения против новых правил высказали 11 инстанций, включая:
Совет индустрии информационных технологий (Information Technology Industry Council, ITI);
Торговая палата США (United States Chamber of Commerce, USCC);
Британская торговая ассоциация технологической индустрии (TechUK);
Деловой совет США и Индии (US-India Business Council, USIBC);
Возражения групп включают следующие аргументы:
6-часовой отчет неразумен и не требуется другими странами;
Хранение данных клиентов создает угрозу безопасности;
Некоторые из требуемых данных являются конфиденциальными;
Правила требуют сохранение данных в юрисдикции Индии, но в FAQ
приемлемо оффшорное хранение, если оно не помешает индийским следователям. Несогласованность правил приводит к путанице.
Согласно письму, правила затруднят ведение бизнеса в Индии, поставят страну в конфликт с союзниками и приведут к большим расходам потребителей. Также министр Индии по развитию навыков и предпринимательству, электронике и IT-технологиям Раджив Чандрасекар заявил, что VPN провайдеры, которым не нравятся правила, могут покинуть страну.
Источник: SecurityLab