Quy định mới yêu cầu các công ty phải báo cáo sự cố tấn công mạng trong vòng 6 tiếng và lưu trữ nhật ký người dùng tối thiểu 5 năm. Các công ty công nghệ quốc tế cho rằng những nội dung này ảnh hưởng tiêu cực tới việc kinh doanh của họ tại quốc gia tỷ dân.
Trong bức thư kiến nghị, 11 tổ chức, chủ yếu là các Big Tech tại Mỹ, châu Âu và châu Á bày tỏ lo ngại rằng nội dung của quy định nêu trên sẽ tác động tiêu cực đến công tác bảo vệ an ninh mạng của các công ty đang hoạt động tại Ấn Độ, đồng thời tạo ra sự tách biệt về cách tiếp cận đối với các khu vực pháp lý khác nhau. Từ đó, làm ảnh hưởng đến thế trận an ninh của New Delhi và những quốc gia đồng minh trong nhóm Bộ Tứ (Mỹ, Úc, Nhật, Ấn), tại châu Âu và các khu vực khác.
“Bản chất phức tạp của các yêu cầu cũng có thể gây khó khăn cho việc kinh doanh của các công ty tại Ấn Độ”, bức thư cho biết.
Nhiều tổ chức quốc tế cũng chia sẻ với quan ngại trên như: Hội đồng Công nghiệp Công nghệ thông tin (ITI), Hiệp hội Thị trường tài chính & Công nghiệp chứng khoán châu Á (ASIFMA), Viện chính sách ngân hàng, Liên minh phần mềm BSA, Liên minh giảm thiểu rủi ro mạng (CR2), Phòng Thương mại Mỹ, Hội đồng kinh doanh Mỹ – Ấn, Diễn đàn đối tác chiến lược Mỹ – Ấn,…
Quy định mới được ban hành vào ngày 28/4, yêu cầu các công ty phải báo cáo bất kỳ sự cố xâm phạm mạng nào tới CERT-In trong vòng 6 tiếng kể từ khi phát hiện.
Các trung tâm dữ liệu, nhà cung cấp máy chủ ảo tư nhân (VPS), nhà cung cấp dịch vụ đám mây và dịch vụ VPN phải xác nhận tên người đăng ký, khách hàng, thời gian sử dụng dịch vụ, hình thức sở hữu của người đăng ký… Bên cạnh đó, quy định bắt buộc lưu trữ các hồ sơ này và hồ sơ giao dịch tài chính tối thiểu 5 năm để đảm bảo an toàn cho lĩnh vực thanh toán và thị trường tài chính.
Các công ty và giới quan sát cho rằng, mốc thời gian báo cáo sự cố mạng nên được tăng lên 72 giờ thay vì 6 giờ.
“CERT-In không đưa ra lý do cụ thể tại sao lại là 6 giờ. Điều đó không phù hợp với các tiêu chuẩn toàn cầu. Thời gian như vậy quá ngắn và làm tăng thêm tính phức tạp trong lúc các bộ phận đang phải tập trung vào việc tìm hiểu, phản ứng và khắc phục sự cố”, trích bức thư kiến nghị.
Ngoài ra, các nội dung khác về lưu trữ nhật ký dữ liệu, hay yêu cầu áp dụng cả với các nhà cung cấp VSP, CSP và VPN cũng bị cho là phiền hà và không cần thiết.
“Chúng tôi chia sẻ với mục tiêu cải thiện an ninh mạng của chính phủ. Tuy nhiên, chúng tôi vẫn quan ngại về quy định của CERT-In, dù cơ quan này đã phát hành tài liệu hướng dẫn (FAQs). Các tài liệu không phải văn bản pháp lý nên nó không cung cấp cơ sở vững chắc để các công ty tiến hành hoạt động kinh doanh hàng ngày”, Giám đốc cấp cao về chính sách ITI Courtney Lang khẳng định.