भारत में बदल गए VPN के नियम
VPN सर्विस प्रोवाइडर्स को CERT-in(Computer Emergency Response Team) ने निर्देश जारी किया है ,भारत सरकार कि नई पालिसी जून 2022 के अंत तक लागु होगी .वर्चुअल प्राइवेट नेटवर्क कि सर्विसेज देने वाली कंपनियों को यूजर्स का डेटा उनके अकाउंट डिलीट होने के बाद भी सिक्योर रखना होगा .
ऐसी कंपनियों को उसेर्स का नाम ,IP एड्रेस, यूसेज पैटर्न और आइडेंटिफाईड करने लायक दूसरी जानकारियों को स्टोर करना होगा .सामान्य रूप से VPN नो-लोगिंग पालिसी पर काम करता है .कंपनिया केवल RAM डिस्क सर्वर और दूसरी log-less टेक्नोलॉजी के साथ ऑपरेट करती है .इस वजह से डेटा और यूज़ को मॉनिटर नही किया जा सकता है |
क्या होगा असर ?
हाल में ही भारत में ऑनलाइन एक्टिविटी को लेकर शख्त कदम उठाए है और इसका अंजाम ही VPN नियमों
में बदलाव हिया ,आसान भाषा में समझे तो VPN कि मदद से यूजर अपनी ब्राउज़िंग हिस्ट्री ,आईपी एड्रेस और जियोग्राफी लोकेशन को हाईड कर सकते है . साथ ही उनके वेब एक्टिविटी और डिवाइस कि डिटेल्स भी हाईड रहती है अब कंपनियों को ऐसे उसेर्स के डाटा को कम से कम 5 साल के लिए स्टोर करना होगा .ऐसा नही करने पर उन्हें एक साल तक कि जेल हो सकती है
MeitY के नए आदेश में यह भी कहा गया है कि उपयोगकर्ता द्वारा अपना खाता निष्क्रिय करने या सदस्यता रद्द करने के बाद भी कंपनियां उपयोगकर्ता के रिकॉर्ड को संग्रहीत और बनाए रखना जारी रखेंगी। साथ ही भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) ने भी डेटा केंद्रों और क्रिप्टो एक्सचेंजों को इस महीने की शुरुआत में पारित नए आदेश का पालन करने के लिए कहा है।
सरकारी एजेंसी ने किया ऐसी कमजोरियों को सूचीबद्ध
Service providers, intermediaries और data centres को भी CERT-in. को किसी भी प्रकार की साइबर सुरक्षा घटनाओं की रिपोर्ट करने का आदेश दिया गया है। सरकारी एजेंसी ने 20 ऐसी कमजोरियों को सूचीबद्ध किया है जिन्हें रिपोर्ट करने की आवश्यकता है। इनमें महत्वपूर्ण नेटवर्क/सिस्टम की लक्षित स्कैनिंग या जांच, महत्वपूर्ण सिस्टम या सूचना से समझौता, और आईटी सिस्टम या डेटा की अनधिकृत पहुंच शामिल है। अन्य कमजोरियां जिनके बारे में MeitY चाहता है कि सेवा प्रदाता रिपोर्ट करें, वे इस प्रकार हैं:
1. बाहरी वेबसाइटों पर दुर्भावनापूर्ण कोड लिंक डालना आदि।
2. दुर्भावनापूर्ण कोड हमले जैसे वायरस/वर्म/ट्रोजन/बॉट्स/स्पाइवेयर/रैंसमवेयर/क्रिप्टो माइनर्स का प्रसार।
3. डेटाबेस, मेल और DNS जैसे सर्वरों और राउटर जैसे नेटवर्क उपकरणों पर अटैक।
4. आइडेंटिटी थेफ़्ट , स्पूफ़िंग और फिशिंग अटैक।
5. डेनियल ऑफ सर्विस (DoS) और डिस्ट्रिब्यूटेड डेनियल ऑफ सर्विस (DDoS) अटैक।
6. क्रिटिकल इन्फ्रास्ट्रक्चर, SCADA और ऑपरेशनल टेक्नोलॉजी सिस्टम और वायरलेस नेटवर्क पर अटैक ।
7. ई-गवर्नेंस, ई-कॉमर्स आदि जैसे अनुप्रयोगों पर अटैक।
8. डेटा भंग।
9. डेटा लीक।
10. इंटरनेट ऑफ थिंग्स (IoT) उपकरणों और संबंधित सिस्टम, नेटवर्क, सॉफ्टवेयर, सर्वर पर अटैक।
11. डिजिटल भुगतान प्रणाली को प्रभावित करने वाले हमले या घटनाएं।
12. दुर्भावनापूर्ण मोबाइल ऐप्स के माध्यम से अटैक।
13. नकली मोबाइल ऐप।
14. क्लाउड कंप्यूटिंग को प्रभावित करने वाले हमले या दुर्भावनापूर्ण/संदिग्ध गतिविधियां ।
15. बिग डेटा, ब्लॉकचैन, वर्चुअल एसेट्स, वर्चुअल एसेट एक्सचेंज, कस्टोडियन वॉलेट, रोबोटिक्स, 3डी और 4डी प्रिंटिंग, एडिटिव मैन्युफैक्चरिंग, ड्रोन से संबंधित सिस्टम/सर्वर/नेटवर्क/सॉफ्टवेयर/एप्लीकेशन को प्रभावित करने वाले हमले या दुर्भावनापूर्ण/संदिग्ध गतिविधियां।