Yeni bir hükümet emri, çalışanların Google Drive ve Dropbox dahil üçüncü taraf, hükümet dışı bulut platformlarının yanı sıra NordVPN ve ExpressVPN dahil sanal özel ağ (VPN) hizmetlerini kullanmasını kısıtlıyor. Gadgets 360’ın öğrendiğine göre Ulusal Bilişim Merkezi (NIC) tarafından iletilen emir tüm bakanlıklara ve departmanlara dağıtıldı ve tüm devlet çalışanlarının direktife uyması gerekiyor. Hükümetin yeni hamlesi, VPN servis sağlayıcılarını ve veri merkezi şirketlerini kullanıcı verilerini beş yıla kadar saklamaya yönlendirmesinden sadece haftalar sonra geldi.
Artan sayıda siber saldırı ve hükümete yönelik tehdit algısına atıfta bulunan Gadgets 360 tarafından görülen 10 sayfalık belge, çalışanlara “hükümet dışı herhangi bir bulut hizmetine dahili, kısıtlı, gizli hükümet verilerini veya dosyalarını yüklememeleri veya kaydetmemeleri” talimatını verdi (ör: Google Drive, Dropbox vb.).” Belgenin başlığı “Devlet Çalışanları için Siber Güvenlik İlkeleri”.
Hükümet, çalışanların popüler bulut hizmetlerini kullanmasını kısıtlamanın yanı sıra, yönergesi aracılığıyla çalışanlara NordVPN, ExpressVPN, Tor ve proxy’ler dahil olmak üzere üçüncü taraf anonimleştirme hizmetlerini ve VPN’leri kullanmamaları talimatını verdi. Ayrıca, iş gücünü diğerlerinin yanı sıra TeamViewer, AnyDesk ve Ammyy Admin gibi “yetkisiz uzaktan yönetim araçlarını” kullanmaktan kaçınmaya yönlendirdi.
Devlet çalışanlarına ayrıca “resmi iletişim için harici e-posta hizmetleri” kullanmamaları ve “yetkisiz üçüncü taraf video konferans veya işbirliği araçlarını” kullanarak “hassas kurum içi toplantılar ve tartışmalar” yapmamaları da talimatı verildi.
Hükümet ayrıca çalışanlarına “bir devlet belgesini dönüştürmek/sıkıştırmak için herhangi bir harici web sitesi veya bulut tabanlı hizmet kullanmamalarını” emretti. Ayrıca, iş gücünü, “hükümet içi belgeleri taramak için CamScanner dahil olmak üzere, “harici mobil uygulama tabanlı tarayıcı hizmetleri” kullanmamaya da yönlendirdi.
Özellikle hükümet, ülkedeki Çin tabanlı uygulamaları kısıtlamaya yönelik ilk hamlesinin bir parçası olarak CamScanner’ı 2020’de yasakladı. Ancak bazı hükümet yetkililerinin, resmi belgelerinin fiziksel kopyalarını taramak için uygulamayı kullandıkları görülüyor.
Hükümetin emri, belirli uygulamaların kullanımını kısıtlamanın yanı sıra, çalışanları cep telefonlarını ‘jailbreak’ yapmamaya veya ‘root’ etmemeye de yönlendirdi.
Yönerge ayrıca çalışanlara karmaşık parolaların kullanılmasının yanı sıra parolaların 45 günde bir güncellenmesi ve işletim sistemi ile BIOS aygıt yazılımının en son güncellemeler ve güvenlik yamalarıyla güncellenmesi gibi önlemler almalarını da emretti.
Emir, “Geçici, sözleşmeli/dış kaynaklı kaynaklar da dahil olmak üzere tüm devlet çalışanlarının bu belgede belirtilen yönergelere kesinlikle uyması gerekiyor” dedi. “Herhangi bir uyumsuzluk, ilgili CISO’lar/departman başkanları tarafından harekete geçirilebilir.”
Emir, NIC tarafından yapılan orijinal taslakta yapılan birkaç revizyondan sonra 10 Haziran’da yayınlandı. Hindistan’ın Bilgisayar Acil Müdahale Ekibinden (CERT-In) girdileri içeriyordu ve Elektronik ve Bilgi Teknolojileri Bakanlığı (MeitY) sekreteri tarafından onaylandı.
Gadgets 360, hükümetin direktifiyle ilgili yorumlarını almak için Google, Dropbox ve diğer kuruluşlara ulaştı. Söz konusu şirketler yanıt verdiğinde bu makale güncellenecektir.
Nisan ayının sonlarında, CERT-In, VPN hizmet sağlayıcıları, veri merkezleri, sanal özel sunucu (VPS) sağlayıcıları ve bulut hizmeti sağlayıcıları için kullanıcı verilerini beş yıl veya daha uzun süre tutmalarını zorunlu hale getiren bir yönerge yayınladı. Emir 28 Haziran’dan itibaren yürürlüğe girecek.
Bu siparişin bir sonucu olarak, NordVPN, ExpressVPN ve Surfshark dahil olmak üzere VPN servis sağlayıcıları, kayıt tutmama politikaları izledikleri ve teknik olarak günlükleri depolayamayacakları için ülkedeki fiziksel sunucularını kaldırmaya karar verdiler. Büyük VPN varlıklarının yanı sıra bazı dijital hak grupları da, verilerinin depolanmasında kullanıcılar için gizlilik endişelerini dile getirdi.
Facebook ve Google’ın da aralarında bulunduğu teknoloji şirketleri, CERT-In’in koyduğu kuralların korkutucu bir ortam yaratabileceği konusunda da uyardı.