Ngày 18/5, Đội phản ứng khẩn cấp máy tính Ấn Độ (CERT) công bố văn bản, nhấn mạnh “các nhà cung cấp máy chủ riêng ảo (VPS), dịch vụ đám mây, dịch vụ VPN, dịch vụ tài sản ảo, sàn giao dịch tài sản ảo, nhà cung cấp ví giám sát và các tổ chức chính phủ” nên tuân thủ chỉ thị an ninh mạng mới. Chỉ thị yêu cầu họ phải lưu trữ tên, địa chỉ email, địa chỉ IP, hồ sơ KYC và giao dịch tài chính của khách hàng trong thời gian 5 năm.
Quy định mới vừa được tiết lộ cuối tháng trước và có hiệu lực từ cuối tháng 6, không áp dụng cho VPN doanh nghiệp và tổ chức. Một số nhà cung cấp dịch vụ VPN bày tỏ lo ngại về quy định mới này. NordVPN, một trong các đơn vị VPN phổ biến nhất, nói rằng có thể phải ngừng hoạt động tại Ấn Độ nếu “không còn lựa chọn nào khác”. Các đơn vị khác như ExpressVPN và ProtonVPN cũng cùng quan điểm và cam kết với chính sách “no-log” (không thu thập, lưu giữ bất kỳ nhật ký nào) của mình.
Rajeev Chandrasekhar, Bộ trưởng CNTT Ấn Độ, khẳng định các nhà cung cấp dịch vụ VPN muốn che giấu những người sử dụng dịch vụ “phải rút lui”. New Delhi cũng không nới lỏng quy định mới, yêu cầu các doanh nghiệp báo cáo sự cố bảo mật như xâm phạm dữ liệu trong vòng 6 tiếng sau khi phát hiện.
Ông Chandrasekhar cho rằng Ấn Độ đã “vô cùng rộng lượng” khi cho doanh nghiệp thời gian 6 tiếng để báo cáo sự cố. Một số quốc gia như Singapore hay Indonesia còn quy định nghiêm khắc hơn. Theo Bộ trưởng, báo cáo chính xác, kịp thời và bắt buộc là một phần quan trọng của năng lực ứng cứu khẩn cấp và bảo đảm Internet luôn an toàn.
Dù vậy, cũng có nhiều người thông cảm với các thay đổi nói trên. Nhà nghiên cứu Srinivas Kodali chia sẻ, CERT gặp nhiều áp lực với các vụ xâm phạm dữ liệu quy mô lớn trên khắp lãnh thổ. Hầu hết các công ty đều phủ nhận sự cố. Chẳng hạn, nền tảng tạp hóa trực tuyến BigBasket bị xâm phạm dữ liệu vào cuối năm 2020, để lộ tên, địa chỉ và số điện thoại của khoảng 20 triệu người. Dù nhiều người dùng xác nhận dữ liệu của họ bị lộ, BigBasket vẫn “im như thóc” về chủ đề này.