印度的資訊安全新指引在4月28日發佈後,就迅速引起業界的不同反饋批評,其中理由包含:20種不同類型的資安事件發生時需要在6個小時內報告,要求儲存個人VPN用戶的詳細資訊且要留存各種日誌檔案(log files)達180天。
印度政府5月19日發布了一份關於新指引的常見問題文件作為回應。
其中,澄清了輕微安全事件(例如:未授權的社群媒體帳戶存取),不需在6小時內報告。只有嚴重性質的事件,包含骨幹網路在內的公共資訊基礎設施,有資料洩露或者危及公共安全的事件才必須迅速報告。新指引也放寬了只能使用印度的網路時間協定(Network Time Protocol,NTP)伺服器的要求,允許能使用與兩家獲得印度批准的NTP伺服器服務一致或同步的服務伺服器。
常見問題文件也針對沒有實體分部但有在印度營運的組織提出了要求。這些組織必須指定一個聯絡點,與負責執行新指引的印度電腦電腦網路危機處理暨協調中心(India’s Computer Emergency Response Team,CERT-In)聯繫。也就是說非印度組織可以在海外儲存日誌檔案,但還是必須提供給CERT-In。
常見問題文件中再次重申,新指引是為了確保印度工業、政府和社會的安全,而這些規則是在2022年3月初開始與相關利害關係人協商後所制定的,但該文件沒有解決所有對新指引的批評。
對於保留VPN用戶及其活動資料的反對意見並沒有得到解決,反之,該文件寫明這項要求是保護國家安全的當務之急,並沒有隱私方面的問題。對於保存日誌檔案技術上的負擔也沒有提出解決方法,只說明了日誌檔案含有韌性(resilience)與安全性(security)的條件,所以需要提供給CERT-In。
CERT-In承認新指引能從事件報告中收集大量的個人資訊,而報告中還包括一些組織IT系統的描述資訊,某些方面來說那是非常有價值的。對於擔心與其他組織分享資訊的人,CERT-In在文件中承諾內容會受到隱私保護法的約束,並以監管鏈方式(chain-of-custody)管理。
印度的軟體自由法律中心擔憂此文件的承諾沒有約束力,會使文件沒有任何遵循效果,也表示會尋找相關協商過程的參與者和資訊。此外,VPN 服務供應商也再次批評了新指引,但印度科技與創業部部長Rajeev Chandrashekhar表示,如果VPN供應商不喜歡印度的法律,就應該離開印度。對於各機構的抗議CERT-In和部長Chandrashekhar都沒有讓步,仍訂6月27日是達成所有新指引要求的最後期限。
相關連結:
Simon Sharwood(2022). India slightly softens infosec incident reporting and data retention rules. The Register.
檢自:
https://www.theregister.com/2022/05/20/cert_in_rules_faq/ (May. 30, 2022)
