Közel egy tucat, technológiai szektort képviselő, vagy ahhoz kötődő szervezet és szövetség intézett levelet az indiai hatóságokhoz, amelyben számos ponton kifogásolják az országban április végén bevezetett, elvben a digitális világ biztonságát szavatolni hivatott új szabályokat - adták hírül helyi lapok a hétvégén. 

Az aláírók között találjuk többek között a U.S. Chamber of Commerce, a Business Software Alliance (BSA), a Digital Europe, vagy éppen az Information Technology Industry Council (ITI) vezetőit. A gyakorlatilag a teljes informatikai szektor nevében felszólaló közös levél az információbiztonság nevében hozott rendelkezések sürgős felülvizsgálatát szorgalmazza.

Mindenkit listázni, mindent jelenteni

Az alig pár hete érvényben lévő rendelkezések nagyon széles körben értelmezik a témával kapcsolatos teendőket, ráadásul a paragrafusok megfogalmazása több helyen egyáltalán nem könnyíti meg az intézkedéssel megcélzott vállalatok életét. Utóbbiak közé tartoznak például az adatközpontok és felhős szolgáltatók, illetve a VPN-üzemeltetők. Ezeknek a cégeknek rögzíteniük kell ügyfeleik nevét,  a szolgáltatások igénybevételének időpontját, sőt még a felhasználók IP-címét is. Ezt a hatalmas és igen érzékenynek minősíthető adattengert pedig legalább öt évig meg is kell őrizni a szolgáltatóknak.

Egy másik, már eddig is rendszeresen kritizált kötelezettsége lett a cégeknek, hogy gyakorlatilag bármilyen típusú és léptékű információbiztonsági incidenst 6 órán belül jelentsenek a hatóságok felé. A példa nélkül álló rövidség mellett itt különösen nehéz kitalálni, pontosan milyen jellegű és mértékű probléma lépi át a szövegben szereplő "rosszindulatú/gyanús tevékenységek" határát.

A kiberbiztonsági incidensek kezelésével megbízott indiai kormányügynökséghez (CERT-In) köthető szabályozással felmerült kérdésekre, kritikákra a CERT-In egy utólag kiadott dokumentumban igyekezett válaszokat adni, ám ezek az ellenzők szerint önmagukban nem alkalmasak a helyzet megnyugtató kezelésére.

Iparági nyomásgyakorlás

A technológiai szektorért lobbizó szervezetek levele például kifogásolja a hatórás jelentéstételi kötelezettséget, ami az aláírók szerint teljesen betarthatatlan és egyetlen más nemzet vagy gazdasági blokk hasonló szabályozása sem tartalmaz. Az ügyféladatok ilyen szintű begyűjtését és tárolását szintén nem tartják megvalósíthatónak, mert az indokolatlan terheket ró a vállalatokra, miközben jelentősen növeli a biztonsági kockázatokat, ráadásul a naplózás mind üzleti, mind személyiségi jogi megfontolásokból is kérdéses gyakorlatnak minősül.

Az egyértelműen nyomásgyakorlásnak szánt levél azt is megemlíti, hogy a rendelkezések megnehezíti az üzleti tevékenységet a külföldi cégek számára Indiában, miközben a megnövekedett költségeket jó eséllyel az indiai fogyasztóknak kell majd viselniük áremelések formájában.

A CERT-In részéről egyelőre nem nyilatkoztak a fentiekkel kapcsolatban, az eltérő álláspontok közeledésének esélyét azonban nem növelik a korábbi kormányzati megszólalások. A digitális témákért felelős miniszter, Rajeev Chandrasekhar például nemrégiben a VPN-szolgáltatókat érintő problémára reagálva csak annyit mondott, hogy akiknek nem tetszenek a szabályok, nyugodtan kivonulhatnak az országból.