Google, Facebook, IBM और Cisco जैसी वैश्विक टेक फर्मों के सदस्यों के रूप में US-आधारित प्रौद्योगिकी उद्योग निकाय ITI ने साइबर सुरक्षा उल्लंघन की घटनाओं की रिपोर्टिंग पर भारत सरकार के निर्देश में संशोधन की मांग की है। आईटीआई ने कहा कि नए जनादेश के तहत प्रावधान संगठनों पर प्रतिकूल प्रभाव डाल सकते हैं और देश में साइबर सुरक्षा को कमजोर कर सकते हैं।
भारत के लिए आईटीआई के कंट्री मैनेजर कुमार दीप ने सीईआरटी-इन के प्रमुख संजय बहल को 5 मई को लिखे एक पत्र में निर्देश पर अंतिम रूप देने से पहले उद्योग के साथ व्यापक हितधारक परामर्श के लिए कहा।
दीप ने कहा, “निर्देश में भारत की साइबर सुरक्षा स्थिति में सुधार करने की क्षमता है यदि उचित रूप से विकसित और कार्यान्वित किया गया है, हालांकि, बिल में कुछ प्रावधान, जिसमें प्रतिकूल घटना रिपोर्टिंग आवश्यकताएं शामिल हैं, भारतीय और वैश्विक उद्यमों को नकारात्मक रूप से प्रभावित कर सकती हैं और साइबर सुरक्षा को कमजोर कर सकती हैं।”
इंडियन कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) ने 28 अप्रैल को एक निर्देश जारी कर इंटरनेट सेवा प्रदाताओं, सोशल मीडिया प्लेटफॉर्म और डेटा केंद्रों सहित सभी सरकारी और निजी एजेंसियों को साइबर सुरक्षा उल्लंघन की घटनाओं को नोटिस करने के छह घंटे के भीतर अनिवार्य रूप से रिपोर्ट करने के लिए कहा।
सीईआरटी-इन द्वारा जारी नया सर्कुलर सभी सेवा प्रदाताओं, बिचौलियों, डेटा केंद्रों, कॉरपोरेट्स और सरकारी संगठनों को अनिवार्य रूप से अपने सभी आईसीटी (सूचना और संचार प्रौद्योगिकी) सिस्टम के लॉग को सक्षम करने और 180 दिनों की रोलिंग अवधि के लिए उन्हें सुरक्षित रूप से बनाए रखने के लिए अनिवार्य करता है। इसे भारतीय अधिकार क्षेत्र के भीतर बनाए रखा जाएगा।
आईटीआई ने सूचना के छह घंटे के भीतर उल्लंघन की घटनाओं की अनिवार्य रिपोर्टिंग, सभी आईसीटी प्रणालियों के लॉग को सक्षम करने और उन्हें 180 दिनों के लिए भारतीय अधिकार क्षेत्र में बनाए रखने, रिपोर्ट करने योग्य घटनाओं की व्यापक परिभाषा और कंपनियों के सर्वर से जुड़ने की आवश्यकता पर चिंता जताई है। भारत सरकार संस्थाओं.
दीप ने पत्र में कहा कि संगठनों को वैश्विक सर्वोत्तम प्रथाओं के अनुरूप किसी घटना की रिपोर्ट करने के लिए 72 घंटे का समय दिया जाना चाहिए, न कि केवल छह घंटे।
आईटीआई ने कहा कि सभी कवर की गई संस्थाओं की सूचना और संचार प्रौद्योगिकी प्रणालियों के लॉग को सक्षम करने, भारत के भीतर “180 दिनों की रोलिंग अवधि के लिए सुरक्षित रूप से” लॉग बनाए रखने और अनुरोध पर भारत सरकार को उपलब्ध कराने के लिए सरकार का जनादेश सबसे अच्छा अभ्यास नहीं है।
दीप ने कहा, “यह लॉग इन सूचनाओं के ऐसे भंडारों को वैश्विक खतरे वाले अभिनेताओं के लिए एक लक्ष्य बना देगा, इसके अलावा महत्वपूर्ण संसाधनों (मानव और तकनीकी दोनों) को लागू करने की आवश्यकता होगी।”
आईटीआई ने इस आवश्यकता पर भी चिंता जताई कि “सभी सेवा प्रदाता, मध्यस्थ, डेटा केंद्र, निकाय कॉर्पोरेट और सरकारी संगठन अपने सभी आईसीटी सिस्टम घड़ियों के सिंक्रनाइज़ेशन के लिए भारतीय प्रयोगशालाओं और अन्य संस्थाओं के एनटीपी सर्वर से जुड़ेंगे”।
वैश्विक निकाय ने कहा कि प्रावधान कंपनियों के सुरक्षा संचालन के साथ-साथ उनके सिस्टम, नेटवर्क और अनुप्रयोगों की कार्यक्षमता को नकारात्मक रूप से प्रभावित कर सकते हैं।
आईटीआई ने कहा कि जांच और स्कैनिंग जैसी गतिविधियों को शामिल करने के लिए रिपोर्ट करने योग्य घटना की सरकार की वर्तमान परिभाषा बहुत व्यापक है क्योंकि जांच और स्कैन रोजमर्रा की घटनाएं हैं।
दीप ने कहा, “कंपनियों या सीईआरटी-इन के लिए इतनी बड़ी मात्रा में महत्वहीन जानकारी इकट्ठा करने, संचारित करने, प्राप्त करने और संग्रहीत करने में समय व्यतीत करना उपयोगी नहीं होगा, जिसका पालन नहीं किया जाएगा।”
आईटीआई ने सरकार से नए निर्देश को लागू करने की समयसीमा टालने और इसके प्रभावी क्रियान्वयन के लिए सभी हितधारकों के साथ व्यापक परामर्श शुरू करने को कहा है।
आईटीआई ने सीईआरटी-इन से “घटना रिपोर्टिंग दायित्वों के संबंध में संबंधित प्रावधानों को संबोधित करने के निर्देश को संशोधित करने की मांग की, जिसमें रिपोर्टिंग समयरेखा, कवर की गई घटनाओं का दायरा और डेटा स्थानीयकरण आवश्यकताओं को लॉग करना शामिल है”।
