Các tổ chức này, bao gồm Phòng Thương mại Hoa Kỳ, Liên minh Phần mềm - BSA, DIGITALEUROPE, Hội đồng Công nghiệp Công nghệ Thông tin (ITI), techUK, Liên minh An ninh mạng, Hội đồng Doanh nghiệp Mỹ - Ấn Độ, và Diễn đàn Đối tác Chiến lược Mỹ - Ấn Độ, cho rằng quy định mới không thống nhất, phiền hà và khó có hiệu quả tăng cường bảo mật trong khi lại gây tổn hại đến kinh tế Ấn Độ.
Theo quy định được đề xuất tại Ấn Độ vào tháng 4/2022, công ty vận hành trung tâm dữ liệu, nền tảng đám mây và VPN (mạng riêng ảo) sẽ phải lưu trữ tên khách hàng, địa chỉ IP khách hàng và ngày mỗi dịch vụ được sử dụng trong vòng 5 năm.
Bộ quy định mới cũng yêu cầu các công ty phải báo lại hơn 20 loại sự cố an ninh mạng trong vòng 6 tiếng sau khi phát hiện, kể cả quét cổng (port scanning) hoặc lừa đảo qua tin nhắn (phishing).
Lá thư phản đối của các hiệp hội và tổ chức doanh nghiệp công nghệ cho rằng khoảng thời gian 6 tiếng là “vô lý”, đồng thời yêu cầu lưu trữ dữ liệu khách hàng sẽ tạo rủi ro về bảo mật và chạm đến dữ liệu nhạy cảm. Thêm vào đó, lá thư cũng nói rằng quy định và phản ứng của CERT-In có một số điểm mâu thuẫn.
Theo lá thư này, bộ quy định mới sẽ gây khó cho các doanh nghiệp nước ngoài hoạt động tại Ấn Độ và cộng thêm chi phí đối với khách hàng.
Dư luận Ấn Độ cũng đã lên tiếng chỉ trích quy định mới, cho rằng 6 tiếng là khoảng thời gian quá ngắn và yêu cầu về lưu trữ thông tin người dùng VPN xâm phạm quyền riêng tư. Bên cạnh đó, yêu cầu về báo cáo cũng bị cho là quá rộng và khó tuân thủ.
CERT-In đã xuất bản bộ câu hỏi thường gặp đề cập đến một số yếu tố bị chỉ trích, nhưng vẫn còn mơ hồ và chưa rõ ràng trong một số vấn đề như phân loại hành vi xấu và khả nghi. Thứ trưởng Phát triển kỹ năng và Khởi nghiệp kiêm Thứ trưởng Công nghệ thông tin Ấn Độ Rajeev Chandrasekhar cũng đã gạt đi quan điểm chỉ trích và nói rằng nhà cung cấp dịch vụ VPN có thể chọn rời Ấn Độ nếu không chấp nhận quy định mới.
Tùng Phong (Theo The Register/MediaNama)