印度正在推进其新的网络安全规则,该规则将要求云服务提供商和 VPN 运营商维护其客户的名称和 IP 地址,尽管许多公司威胁要因新准则而离开世界第二大互联网市场。
印度计算机应急响应小组周三澄清(PDF),“虚拟专用服务器 (VPS) 提供商、云服务提供商、VPN 服务提供商、虚拟资产服务提供商、虚拟资产交换提供商、托管钱包提供商和政府组织”应遵循指令,称为网络安全指示,要求他们存储客户的姓名、电子邮件地址、IP 地址、了解您的客户记录、财务交易五年。
政府机构澄清说,新规则于上月底公布并于 6 月底生效,不适用于企业和企业 VPN。
新德里也没有放松一项新规定,该规定要求公司在发现此类情况后六小时内报告数据泄露等安全漏洞事件。
印度初级 IT 部长 Rajeev Chandrasekhar 周三对记者表示,印度“非常慷慨”地给予公司 6 小时的时间报告安全事件,并指出印度尼西亚和新加坡等国家有更严格的要求。
“如果你看看世界各地的优先级——并了解网络安全是一个非常复杂的问题,对多起事件的态势感知使我们能够了解其背后的更大力量——准确、及时和强制性地报告是绝对重要的部分CERT 和政府确保互联网始终安全的能力,”他说。
几家 VPN 提供商对印度的新网络安全规则表示担忧。最受欢迎的 VPN 运营商之一 NordVPN 早些时候表示,如果“没有其他选择”,它可能会从印度移除其服务。
包括 ExpressVPN 和 ProtonVPN 在内的其他服务提供商也表达了他们的担忧。 “新的印度 VPN 法规是对隐私的攻击,并有可能将公民置于监视的显微镜下。我们仍然致力于我们的无日志政策,”ProtonVPN 说。
本月早些时候,总部位于新德里的数字权利倡导组织互联网自由基金会表示,新方向含糊不清,损害了用户隐私和信息安全,“违背了 CERT 的授权”。
另一方面,许多人对一些变化表示欢迎。 “随着印度各地报告大规模数据泄露事件,CERT-In 面临很大压力。这些公司否认了大多数违规行为,尽管有其授权,但 CERT-In 从未对这些报告采取行动,”研究员 Srinivas Kodali 说。