Новые правила кибербезопасности Индии подверглись критике мирового сообщества

По словам групп, новые правила неразумные, обременительные и не способные повысить кибербезопасность Индии. Более того, правила могут нанести ущерб экономике страны. Согласно правилам, операторы ЦОД, облачных сервисов и VPN обязаны регистрировать и хранить в течение 5 лет имена клиентов, даты использования услуг и IP-адреса пользователей. Также компании должны сообщать о более 20 типах киберинцидентов в течение 6 часов после обнаружения. В инциденты также входят «злонамеренные/подозрительные действия», но грань между ними не указана.

Помимо индийских СМИ, Центру реагирования на компьютерные инциденты Индии (Indian Computer Emergency Response, CERT-In) свои возражения против новых правил высказали 11 инстанций, включая:

• Совет индустрии информационных технологий (Information Technology Industry Council, ITI);
• Торговая палата США (United States Chamber of Commerce, USCC);
• Британская торговая ассоциация технологической индустрии (TechUK);
• Деловой совет США и Индии (US-India Business Council, USIBC);

Возражения групп включают следующие аргументы:

• 6-часовой отчет неразумен и не требуется другими странами;
• Хранение данных клиентов создает угрозу безопасности;
• Некоторые из требуемых данных являются конфиденциальными;
• Правила требуют сохранение данных в юрисдикции Индии, но в FAQ приемлемо оффшорное хранение, если оно не помешает индийским следователям. Несогласованность правил приводит к путанице.

Согласно письму, правила затруднят ведение бизнеса в Индии, поставят страну в конфликт с союзниками и приведут к большим расходам потребителей. Также министр Индии по развитию навыков и предпринимательству, электронике и IT-технологиям Раджив Чандрасекар заявил, что VPN провайдеры, которым не нравятся правила, могут покинуть страну.