Các quy tắc an ninh mạng nghiêm ngặt có nguy cơ tạo ra 'môi trường sợ hãi'

Các quy tắc an ninh mạng của Ấn Độ sẽ có hiệu lực vào cuối tháng này sẽ tạo ra một "môi trường của sự sợ hãi hơn là sự tin tưởng", một cơ quan đại diện cho các công ty công nghệ hàng đầu đã cảnh báo chính phủ, kêu gọi trì hoãn một năm trước khi các quy tắc này có hiệu lực.

Cụ thể, Hiệp hội Internet và Di động của Ấn Độ (IAMAI), đại diện cho các công ty bao gồm Facebook, Google và Reliance đã viết báo cáo trong tuần qua đệ trình lên cho Bộ CNTT của Ấn Độ chỉ trích một chỉ thị về an ninh mạng được đề ra vào cuối tháng 4 vừa qua.

Trong số những thay đổi, chỉ thị từ Nhóm Ứng cứu Khẩn cấp Máy tính Ấn Độ (CERT) yêu cầu các công ty công nghệ báo cáo các vi phạm dữ liệu trong vòng sáu giờ, kể từ khi nhận thấy những sự cố đó, và phải duy trì nhật ký CNTT và vận hành truyền thông trong sáu tháng.

Trong bức thư mà tờ Reuters nhìn thấy, IAMAI đề xuất phải mở rộng thời hạn sáu giờ, lưu ý rằng tiêu chuẩn toàn cầu để báo cáo các sự cố an ninh mạng nói chung là 72 giờ.

Ở đây, các quy tắc đã gây ra sự bất bình rộng rãi. Trong một cuộc họp kín vào tuần trước, nhiều phương tiện truyền thông xã hội và giám đốc điều hành công ty công nghệ đã thảo luận về các chiến lược để thúc giục New Delhi tạm dừng các quy tắc, theo một nguồn tin nắm rõ vấn đề này chia sẻ. Nguồn tin cho biết, các nhà chức trách châu Âu yêu cầu báo cáo vi phạm dữ liệu trong vòng khoảng 72 giờ, đồng thời nói thêm rằng rất khó để báo cáo sự cố trong sáu giờ.

Thậm chí, Nhóm Ứng cứu Khẩn cấp Máy tính Ấn Độ (CERT) trực thuộc Bộ CNTT, cũng đã yêu cầu các nhà cung cấp dịch vụ đám mây như Amazon, và các công ty mạng riêng ảo (VPN) giữ lại tên khách hàng và địa chỉ IP của họ trong ít nhất 5 năm, ngay cả khi họ ngừng hoạt động.

Tuy nhiên, Bộ trưởng CNTT cấp dưới của Ấn Độ Rajeev Chandrasekhar cho biết sẽ không có thay đổi nào bất chấp những lo lắng, đồng thời cho biết các công ty công nghệ có nghĩa vụ phải biết ai đang sử dụng dịch vụ của họ. Tuy nhiên, Chandrasekhar cho biết Ấn Độ đã rất hào phóng, vì một số quốc gia yêu cầu báo cáo sự cố ngay lập tức.

Tuy nhiên, chi phí tuân thủ các chỉ thị như vậy có thể là "lớn" và các hình phạt vi phạm được đề xuất bao gồm cả tù giam sẽ dẫn đến việc "các thực thể ngừng hoạt động ở Ấn Độ vì sợ phải chạy trốn", bức thư của IAMAI nêu rõ.

Hôm 2/6, nhà cung cấp dịch vụ VPN ExpressVPN đã xóa các máy chủ của mình khỏi Ấn Độ, nói rằng họ "từ chối tham gia vào các nỗ lực của chính phủ Ấn Độ nhằm hạn chế quyền tự do internet". Các nhà hoạt động quyền riêng tư cho biết các quy tắc mâu thuẫn với ý tưởng của VPN, đó là bảo vệ danh tính của các cá nhân khỏi bị giám sát.

"Nếu bạn không muốn tuân theo những quy tắc này, và nếu bạn muốn rút lui, thì nói thẳng ra là… bạn phải rút ra", Chandrasekhar nói với các phóng viên.

Bức mới của IAMAI theo sau một động thái từ 11 tổ chức hiệp hội ngành công nghiệp liên quan đến công nghệ quan trọng vào đầu tuần trước. Bức thư chung được viết bởi 11 tổ chức chủ yếu đại diện cho các công ty công nghệ có trụ sở tại Mỹ, Châu Âu và Châu Á đã được gửi tới Tổng giám đốc Sanjay Bahl của Nhóm Ứng cứu Khẩn cấp Máy tính Ấn Độ (CERT-In) vào ngày 26/5. Ở đây, họ đồng loạt cho biết các yêu cầu mới gây khó khăn cho hoạt động kinh doanh ở Ấn Độ.

Các tổ chức quốc tế bày tỏ lo ngại rằng chỉ thị như đã viết, sẽ có tác động bất lợi đến an ninh mạng đối với các tổ chức hoạt động ở Ấn Độ và tạo ra một cách tiếp cận riêng biệt đối với an ninh mạng giữa các khu vực pháp lý, làm suy yếu thế trận an ninh của Ấn Độ và các đồng minh trong quốc gia, Châu Âu và hơn thế nữa. "Bản chất phức tạp của các yêu cầu cũng có thể gây khó khăn hơn cho các công ty kinh doanh ở Ấn Độ", bức thư viết.

Hiện các tổ chức toàn cầu đã cùng bày tỏ quan ngại bao gồm Hội đồng Công nghiệp Công nghệ Thông tin (ITI), Hiệp hội Thị trường Tài chính & Công nghiệp Chứng khoán Châu Á (ASIFMA), Viện Chính sách Ngân hàng, BSA - Liên minh Phần mềm, Liên minh Giảm thiểu Rủi ro Mạng (CR2), Liên minh An ninh Mạng Châu Âu kỹ thuật số, TechUK, Phòng Thương mại Hoa Kỳ, Hội đồng Kinh doanh Hoa Kỳ-Ấn Độ và Diễn đàn Đối tác Chiến lược Hoa Kỳ-Ấn Độ. Chỉ thị mới được ban hành vào ngày 28 tháng 4 yêu cầu các công ty báo cáo bất kỳ vi phạm mạng nào cho CERT-In trong vòng sáu giờ kể từ khi nhận thấy nó.

Có thể thấy, Ấn Độ đã thắt chặt quy định đối với các công ty công nghệ lớn trong những năm gần đây, khiến ngành công nghiệp này phản đối và trong một số trường hợp, thậm chí còn làm căng thẳng quan hệ thương mại giữa New Delhi và Washington.

New Delhi cho biết các quy tắc mới là cần thiết vì các sự cố an ninh mạng được báo cáo thường xuyên, nhưng thông tin cần thiết để điều tra chúng không phải lúc nào cũng có sẵn từ các nhà cung cấp dịch vụ.