पिछले सप्ताह प्रकाशित एक नई रिपोर्ट के अनुसार, भारतीय आईटी मंत्रालय ने वीपीएन कंपनियों को कम से कम पांच साल की अवधि के लिए उपयोगकर्ताओं का डेटा एकत्र करने और संग्रहीत करने का आदेश दिया है। सीईआरटी-इन, या कंप्यूटर इमरजेंसी रिस्पांस टीम ने भी डेटा केंद्रों और क्रिप्टो एक्सचेंजों को देश में साइबर सुरक्षा से संबंधित प्रतिक्रिया गतिविधियों और आपातकालीन उपायों के समन्वय के लिए समान अवधि के लिए उपयोगकर्ता डेटा एकत्र करने और संग्रहीत करने के लिए कहा है।
नए शासी कानून के अनुसार, इलेक्ट्रॉनिक्स और आईटी मंत्रालय की मांगों को पूरा करने में विफल रहने पर एक साल तक की कैद हो सकती है। उपयोगकर्ता द्वारा सेवा के लिए अपनी सदस्यता रद्द करने के बाद भी कंपनियों को उपयोगकर्ता रिकॉर्ड पर नज़र रखने और बनाए रखने की आवश्यकता होती है।
यह भारत में इंटरनेट उपयोगकर्ताओं को कैसे प्रभावित करता है?
गोपनीयता की एक परत बनाए रखने के लिए कई लोग भारत में वीपीएन सेवाओं का सहारा लेते हैं। वीपीएन या वर्चुअल प्रॉक्सी नेटवर्क उपयोगकर्ताओं को वेबसाइट ट्रैकर्स से मुक्त रहने की अनुमति देते हैं जो उपयोगकर्ता के स्थान जैसे डेटा का ट्रैक रख सकते हैं। भुगतान की गई वीपीएन सेवाएं और यहां तक कि कुछ अच्छी मुफ्त भी, अक्सर नो-लॉगिंग पॉलिसी प्रदान करती हैं। यह उपयोगकर्ताओं को पूर्ण गोपनीयता रखने की अनुमति देता है क्योंकि सेवाएं स्वयं रैम-केवल सर्वर पर संचालित होती हैं, मानक अस्थायी पैमाने से परे उपयोगकर्ता-डेटा के किसी भी भंडारण को रोकती हैं।
यदि नया परिवर्तन लागू किया जाता है, तो कंपनियों को स्टोरेज सर्वर पर स्विच करने के लिए मजबूर किया जाएगा, जो उन्हें उपयोगकर्ता-डेटा में लॉग इन करने और इसे कम से कम पांच साल की निर्धारित अवधि के लिए स्टोर करने की अनुमति देगा। स्टोरेज सर्वर पर स्विच करने का मतलब कंपनियों के लिए उच्च लागत भी होगा।
अंतिम-उपयोगकर्ता के लिए, यह कम गोपनीयता और शायद, उच्च लागत का अनुवाद करता है। डेटा लॉग होने के साथ, आपके ब्राउज़िंग और डाउनलोड इतिहास को ट्रैक करना संभव होगा। इस बीच, भुगतान की गई वीपीएन सेवाएं नए स्टोरेज सर्वर के खर्चों को कवर करने के लिए सदस्यता योजनाओं की लागत बढ़ा सकती हैं, जिनका उन्हें अब उपयोग करना चाहिए।
आप कब बदलाव की उम्मीद कर सकते हैं?
नए कानून जारी होने के 60 दिनों से लागू होने की उम्मीद है, जिसका अर्थ है कि वे 27 जुलाई, 2022 से लागू हो सकते हैं।
वीपीएन कंपनियां सरकार को क्या डेटा भेज रही हैं?
सीईआरटी-इन को कथित तौर पर कंपनियों को सोशल मीडिया खातों, आईटी सिस्टम, सर्वर पर हमलों और अधिक की अनधिकृत पहुंच सहित कुल बीस कमजोरियों की रिपोर्ट करने की आवश्यकता होगी। नीचे दी गई बीस कमजोरियों की पूरी सूची देखें।
महत्वपूर्ण नेटवर्क/सिस्टम की लक्षित स्कैनिंग/जांच।
महत्वपूर्ण प्रणालियों/सूचनाओं का समझौता।
आईटी सिस्टम/डेटा की अनधिकृत पहुंच।
वेबसाइट को विकृत करना या वेबसाइट में घुसपैठ करना और अनधिकृत परिवर्तन जैसे कि दुर्भावनापूर्ण कोड डालना, बाहरी वेबसाइटों के लिंक आदि।
दुर्भावनापूर्ण कोड हमले जैसे वायरस/वर्म/ट्रोजन/बॉट्स/स्पाइवेयर/रैंसमवेयर/क्रिप्टोमिनर्स का प्रसार।
डेटाबेस, मेल और डीएनएस जैसे सर्वरों और राउटर जैसे नेटवर्क उपकरणों पर हमला।
पहचान की चोरी, स्पूफिंग और फ़िशिंग हमले,
डेनियल ऑफ सर्विस (DoS) और डिस्ट्रिब्यूटेड डेनियल ऑफ सर्विस (DDoS) अटैक।
महत्वपूर्ण बुनियादी ढांचे, स्काडा और परिचालन प्रौद्योगिकी प्रणालियों और वायरलेस नेटवर्क पर हमले।
ई-गवर्नेंस, ई-कॉमर्स आदि जैसे एप्लिकेशन पर हमले।
डेटा भंग।
डेटा लीक।
इंटरनेट ऑफ थिंग्स (IoT) उपकरणों और संबंधित सिस्टम, नेटवर्क, सॉफ्टवेयर, सर्वर पर हमले।
डिजिटल भुगतान प्रणाली को प्रभावित करने वाले हमले या घटना।
दुर्भावनापूर्ण मोबाइल ऐप्स के माध्यम से हमले।
नकली मोबाइल ऐप।
सोशल मीडिया खातों तक अनधिकृत पहुंच।
क्लाउड कंप्यूटिंग सिस्टम/सर्वर/सॉफ़्टवेयर/एप्लिकेशन को प्रभावित करने वाले हमले या दुर्भावनापूर्ण/संदिग्ध गतिविधियां।
बिग डेटा, ब्लॉक चेन, वर्चुअल एसेट्स, वर्चुअल एसेट एक्सचेंज, कस्टोडियन वॉलेट, रोबोटिक्स, 3डी और 4डी प्रिंटिंग, एडिटिव मैन्युफैक्चरिंग, ड्रोन से संबंधित सिस्टम/सर्वर/नेटवर्क/सॉफ्टवेयर/एप्लीकेशन को प्रभावित करने वाले हमले या दुर्भावनापूर्ण/संदिग्ध गतिविधियां।
आर्टिफिशियल इंटेलिजेंस और मशीन लर्निंग से संबंधित सिस्टम/सर्वर/सॉफ्टवेयर/एप्लिकेशन को प्रभावित करने वाले हमले या दुर्भावनापूर्ण/संदिग्ध गतिविधियां।
