Les fournisseurs de services de réseau privé virtuel qui ne sont pas prêts à se conformer aux nouvelles directives ont la seule option de quitter l'Inde, a déclaré mercredi le ministre d'État à l'électronique et à l'informatique Rajeev Chandrasekhar.
Le ministre, tout en publiant des FAQ (Foire aux questions) sur la récente directive sur le signalement des incidents de cyber-violation, a déclaré que chaque entreprise ou entité bien intentionnée comprend qu'un Internet sûr et fiable va l'aider.
"Il n'y a aucune possibilité pour quelqu'un de dire que nous ne suivrons pas les règles et les lois de l'Inde. Si vous n'avez pas les journaux, commencez à les maintenir. Si vous êtes un VPN qui veut se cacher et être anonyme à propos de ceux qui utilisent son VPN et que vous ne voulez pas respecter ces règles, si vous voulez vous retirer, alors franchement, vous n'avez pas d'autre possibilité que de vous retirer », a-t-il déclaré.
Le ministère de l'électronique et de l'informatique a mandaté les fournisseurs de services cloud, les sociétés de VPN (réseau privé virtuel), les sociétés de centres de données et les fournisseurs de serveurs privés virtuels pour stocker les données des utilisateurs pendant au moins cinq ans.
Certaines des sociétés VPN ont affirmé que la nouvelle règle pourrait entraîner des failles de cybersécurité dans le système - un argument qui a été rejeté par le ministre.
Chandrasekhar a déclaré que le gouvernement n'apporterait pas non plus de changement aux règles obligeant les entités à signaler une cyber-violation dans leur système dans les six heures après en avoir pris connaissance.
"La criminalité et la cyberincidence, la nature, le type, la forme, la forme de celle-ci sont très complexes. Ils ont des éléments très sinistres derrière. De nombreux acteurs étatiques utilisent la vulnérabilité. Ceux qui commettent ces infractions peuvent passer à autre chose très rapidement. Un signalement immédiat est fondamental pour l'enquête, l'analyse médico-légale, la connaissance de la situation de la nature de l'incident », a-t-il déclaré.
L'ITI, l'organisme de l'industrie technologique basé aux États-Unis, qui compte parmi ses membres des entreprises technologiques mondiales telles que Google, Facebook, IBM et Cisco, a demandé une révision de la directive du gouvernement indien sur le signalement des incidents de violation de la cybersécurité.
LIRE | Cars24 a licencié 600 employés malgré la croissance de l'entreprise, voici pourquoi
ITI a déclaré que les dispositions du nouveau mandat pourraient avoir un impact négatif sur les organisations et saper la cybersécurité dans le pays. L'organisme de l'industrie a demandé une consultation plus large des parties prenantes avec l'industrie avant de finaliser la directive.
Le 28 avril, l'équipe indienne d'intervention en cas d'urgence informatique (CERT-In) a publié une directive demandant à tous les organismes gouvernementaux et privés, y compris les fournisseurs de services Internet, les plateformes de médias sociaux et les centres de données, de lui signaler obligatoirement les incidents de cybersécurité dans les six ans. des heures à les remarquer.
La nouvelle circulaire émise par le CERT-In oblige tous les fournisseurs de services, intermédiaires, centres de données, entreprises et organisations gouvernementales à activer obligatoirement les journaux de tous leurs systèmes TIC (technologies de l'information et de la communication) et à les maintenir en toute sécurité pendant une période continue de 180 jours, et la même chose doit être maintenue dans la juridiction indienne.
ITI a fait part de ses inquiétudes concernant le signalement obligatoire des incidents de violation dans les six heures suivant leur détection, pour activer les journaux de tous les systèmes TIC et les conserver dans la juridiction indienne pendant 180 jours, la définition trop large des incidents à signaler et l'obligation pour les entreprises de se connecter à les serveurs des entités gouvernementales indiennes.