scorecardresearch
Friday, 29 March, 2024
होमदेशनए साइबर सुरक्षा नियम जरूरी पर बोझ भी, MSMEs ने कहा- समय सीमा बढ़ाने पर विचार कर रही सरकार

नए साइबर सुरक्षा नियम जरूरी पर बोझ भी, MSMEs ने कहा- समय सीमा बढ़ाने पर विचार कर रही सरकार

आईटी मंत्रालय के अधिकारियों के साथ कई बैठकों में एमएसएमई ने डेटा उल्लंघनों के संबंध में नए दिशानिर्देशों के अनुपालन के लिए समय सीमा बढ़ाने का अनुरोध किया है.

Text Size:

नई दिल्ली: माइक्रो, स्मॉल और मीडियम एंटरप्राइजेज (एमएसएमई) क्षेत्र ने तहे दिल से इस खबर का स्वागत किया है कि केंद्र सरकार कंपनियों को अपने नए साइबर सुरक्षा निर्देशों का पालन करने के लिए निर्धारित समय सीमा को बढ़ाने पर एक बार फिर से विचार कर रही है. एमएसएमई लंबे समय से सरकार से नए नियमों के लिए समय सीमा बढ़ाने की पैरवी करता आ रहा है. उनके मुताबिक, नए नियमों का पालन करने से उन पर अतिरिक्त बोझ पड़ने वाला है.

28 अप्रैल को सरकार के इलेक्ट्रॉनिक्स और सूचना प्रौद्योगिकी मंत्रालय की भारतीय कंप्यूटर इमरजेंसी रिस्पांस टीम (सीईआरटी-इन) की ओर से जारी साइबर सुरक्षा दिशानिर्देशों का उद्देश्य देश भर में हो रहे डेटा उल्लंघनों की बढ़ती संख्या से निपटना है, जो यूजर डेटा की सुरक्षा को खतरे में डाल रहा है.

नियमों में कहा गया है कि कंपनियों को यूजर्स के डाटा में सेंधमारी की घटना की छह घंटे में जानकारी देनी होगी. इसके अलावा उससे जुड़े डाटा को छह महीने यानी 180 दिनों तक स्टोर भी रखना होगा. नियमों का अनुपालन करने के लिए पहले समय सीमा 26 जून निर्धारित की गई थी.

उद्योग से मिली प्रतिक्रिया के बाद सीईआरटी-इन ने 27 जून को एक अधिसूचना जारी कर अनुपालन की समय सीमा 25 सितंबर तक बढ़ा दी और कहा कि एमएसएमई ने ‘इन निर्देशों के कार्यान्वयन के लिए आवश्यक क्षमता निर्माण के लिए वाजिब समय’ की मांग की थी, जिसके मद्देनजर ये फैसला लिया गया है.

हालांकि नई समय सीमा भी बीत चुकी है और उद्योग को अभी भी और समय की जरूरत है.

अच्छी पत्रकारिता मायने रखती है, संकटकाल में तो और भी अधिक

दिप्रिंट आपके लिए ले कर आता है कहानियां जो आपको पढ़नी चाहिए, वो भी वहां से जहां वे हो रही हैं

हम इसे तभी जारी रख सकते हैं अगर आप हमारी रिपोर्टिंग, लेखन और तस्वीरों के लिए हमारा सहयोग करें.

अभी सब्सक्राइब करें

साइबर सुरक्षा क्षेत्र में एमएसएमई का प्रतिनिधित्व करने वाले कई उद्योग निकायों ने आईटी मंत्रालय से एक बार फिर समय सीमा बढ़ाने की अपील की है.

पिछले कुछ हफ्तों में डेटा सुरक्षा परिषद (DSCI) के प्रतिनिधियों ने उद्योग की तैयारी पर चर्चा करने के लिए मंत्रालय के अधिकारियों से मुलाकात की. डीएससीआई भारत में डाटा सुरक्षा पर एक गैर-लाभकारी उद्योग निकाय है जिसे नेशनल एसोसिएशन ऑफ सॉफ्टवेयर एंड सर्विस कंपनीज (NASSCOM)- डेटा सुरक्षा के लिए भारत में IT उद्योग का शीर्ष व्यापार संघ – द्वारा स्थापित किया गया है.

डीएससीआई के प्रमुख (सरकारी पहल) अतुल कुमार ने दिप्रिंट को बताया, ‘सीईआरटी-इन’ दिशानिर्देशों का अनुपालन करने के लिए एमएसएमई को काफी बड़े प्रयास करने होंगे. उन्हें टाइम सिंक्रोनाइजेशन, साइबर घटनाओं की रिपोर्टिंग, सूचना प्रस्तुत करने और डाटा को 180 दिनों तक सुरक्षित स्टोर करने के लिए निर्दिष्ट आवश्यकताओं को ध्यान में रखना होगा.’


यह भी पढ़ें-कैसे भारतीय सैनिकों ने 1962 के युद्ध में चुशुल की रक्षा करने की कोशिश की


 

चिंताएं क्या हैं?

नए नियमों के अनुसार, सभी सर्विस प्रोवाइडर, डेटा सेंटर, कॉर्पोरेट निकायों और सरकारी संगठनों को ‘ऐसी घटनाओं को नोटिस करने या ऐसी घटनाओं के बारे में पता लगने पर छह घंटे के भीतर’ साइबर सुरक्षा खतरे की रिपोर्ट करना जरूरी है.

नियम कहते हैं कि उन्हें ‘अपने सभी आईसीटी (सूचना और संचार प्रौद्योगिकी) प्रणालियों के लॉग को सक्षम बनाना होगा और 180 दिनों के लिए उन्हें सुरक्षित रूप से बनाए रखना होगा और इसे भारतीय अधिकार क्षेत्र में बनाए रखा जाएगा’. जब किसी घटना की सूचना दी जाएगी या सीईआरटी-इन इनकी मांग करेगा तो ये लॉग ‘सीईआरटी-इन’ को मुहैया कराए जाने होंगे.

अधिकांश उद्योग निकाय इस बात से सहमत हैं कि नियमों के फ्रेमवर्क की जरूरत है, लेकिन साथ ही वे कड़े अनुपालन समयसीमा, नए तकनीकी निवेश और अपने उपभोक्ताओं की डेटा गोपनीयता के बारे में चिंतित हैं.

DSCI के कुमार के मुताबिक, नए नियमों का पालन करने के लिए कंपनियों के पास उनके सामने कई विकल्प हैं. वे आंतरिक क्षमताओं का निर्माण कर सकते हैं और प्रासंगिक तकनीक में निवेश कर सकते हैं, सर्विस प्रोवाइडर पर भरोसा कर सकते हैं, या वर्चुअल चीफ इंफॉर्मेशन सिक्योरिटी ऑफिसर जैसे नए मॉडल का इस्तेमाल कर सकते हैं.

एक प्रमुख विवादास्पद नियम में कहा गया है कि ‘डेटा सेंटर, वर्चुअल प्राइवेट सर्वर (वीपीएस) प्रोवाइडर, क्लाउड सर्विस प्रोवाइडर और वर्चुअल प्राइवेट नेटवर्क (वीपीएन) सेवा प्रदाताओं को पंजीकृत करने की जरूरत होगी … (यूजर) से जुड़ी जानकारी को 5 साल या उससे ज्यादा समय के लिए सुरक्षित रखने के लिए कहा गया है. इसमें चाहे संबंधित यूजर्स ने कंपनी की सेवा लेना बंद ही क्यों न कर दिया हो.

भारत में काम कर रहीं अधिकांश वीपीएन सेवा प्रदाता कंपनियां (एन्क्रिप्टेड वेब सर्विस की पेशकश करने वाली) निर्देशों से पूरी तरह असहमत हैं, कुछ ने डेटा गोपनीयता चिंताओं का हवाला देते हुए अपनी सेवाओं को भारत में पूरी तरह से वापस लेने का ऐलान भी कर दिया.

‘एमएसएमई को साइबर सुरक्षा पर ध्यान देने दें’

इंडिया फ्यूचर फाउंडेशन के वरिष्ठ सलाहकार कर्नल सुनील कपिला (रिटायर्ड) ने दिप्रिंट को बताया, ‘अनुपालन के लिए समय सीमा एक बार फिर से बढ़ाने से एमएसएमई को साइबर सुरक्षा पर अपना ध्यान फिर से केंद्रित करने का समय मिल जाएगा जोकि अभी तक एक उपेक्षित क्षेत्र रहा है.’ कपिला ने समय सीमा बढ़ाने के लिए सरकार से संपर्क किया था.

उन्होंने समझाते हुए कहा,‘एमएसएमई आज व्यवसाय के निर्माण पर फोकस कर रहे हैं, लेकिन उन्हें साइबर सुरक्षा की बारीकियों के बारे में भी जागरूक करने की जरूरत है जो उनके बिजनेस को प्रभावित कर सकती हैं.’ वह आगे कहते हैं, ‘आज हमारे पास भारत में 65 से ज्यादा स्टार्ट-अप ‘यूनिकॉर्न्स’ में बदल रहे हैं. इसलिए ये दिशानिर्देश खासतौर पर एमएसएमई को उन्हें अपने डेटा की सुरक्षा को और अधिक गंभीरता से देखने का समय दे रहे हैं.’

साइबर सुरक्षा को एमएसएमई द्वारा पीछे रखने का एक कारण जहां ग्रोथ पर ध्यान देना रहा तो वहीं दूसरा कारण, इन कामों को करने के लिए पर्याप्त मानव संसाधनों की कमी है.

कपिला ने कहा, ‘आज अधिकांश एमएसएमई के पास भारत में साइबर सुरक्षा जोखिम और संबंधित नियमों को देखने के लिए समर्पित लोग नहीं हैं. एमएसएमई को साइबर सुरक्षा क्षमताओं का निर्माण करने और नए आईटी नियमों और सीईआरटी-इन दिशानिर्देशों के अनुपालन के प्रबंधन के लिए प्रतिभा को काम पर रखने के लिए समय देगा.’

सरकार के साथ डाटा साझा करने के लिए

कुछ विशेषज्ञों का यह भी मानना है कि सीईआरटी-इन रूल बेहद चालाकी के साथ बनाए गए हैं. वास्तव में ये कंपनियों को सरकार के साथ डेटा साझा करने के लिए प्रोत्साहित करने के लिए डिज़ाइन किए गए हैं.

सीनियर टेक्नोलॉजी वकील मिशी चौधरी ने कहा, ‘फायर-फाइटर होने के बजाय, जोकि सीईआरटी का काम है, वे नियमों का इस्तेमाल व्यवसायों को डेटा-साझा करने और डेटा संग्रह के साथ ‘कोऑर्डिनेट’ करने के अवसर के रूप में कर रहे हैं, जो कि अधिकारों से परे हैं.’

चौधरी ने कहा, ‘सीईआरटी-इन को वह पालन करना चाहिए जो दुनिया के अन्य सभी सीईआरटी करते हैं. साइबर सुरक्षा घटनाओं को नियंत्रित करने और प्रबंधित करने के लिए एक फायर फाइटर और कोऑर्डिनेटर बनना चाहिए, न कि एक विधायी निकाय.’

(इस खबर को अंग्रेजी में पढ़ने के लिए यहां क्लिक करें)


यह भी पढ़ें-दिवाली तो उजाले बांटने से ही शुभ होगी, उन्हें अपनी-अपनी मुट्ठियों में कैद करते रहने से नहीं


 

share & View comments