
Juez Subramonium Prasad del Tribunal Superior de Delhi desestimó recientemente la impugnación de un litigante al procedimiento adoptado por el Equipo Indio de Respuesta a Emergencias Informáticas (CERT-IN) respecto de la selección de empresas de ciberseguridad como organizaciones de auditoría de seguridad de TI.
Se observó que, “…el proceso de empanelización adoptado por los Demandados es extremadamente técnico. No se puede esperar que el Tribunal conozca de apelaciones sobre decisiones tomadas por peritos y sustituya su propia conclusión por una a la que hayan llegado los peritos.”
El peticionario se había dirigido al tribunal afirmando que el proceso de evaluación realizado por el CERT-IN para las Pruebas de Habilidades Prácticas realizadas en 2020 y 2021 fue completamente arbitrario.
Su caso fue que CERT-IN había incluido ilegalmente vulnerabilidades relacionadas con el sistema operativo en la ‘Lista maestra’ (una lista de vulnerabilidades que deben detectar las organizaciones de auditoría de TI y que constituye el alcance de las pruebas) preparada para las pruebas realizadas en 2020 y 2021, y los mismos no formaron parte del alcance de las pruebas.
El peticionario argumentó que se le estaba ignorando injustamente, a pesar de haber sido contratado anteriormente para brindar servicios de auditoría. Solicitó que CERT-IN presentara la Lista Maestra, afirmando que la misma promovería la transparencia y garantizaría que no hubiera acciones arbitrarias.
Los encuestados, por otro lado, sostuvieron que a pesar de que se le brindaron dos oportunidades según las Reglas de participación, el peticionario no calificó para la prueba de habilidades prácticas en línea. En consecuencia, fue inhabilitado por 1 año como período de “reflexión”, en los términos del Reglamento.
La decisión de retener la Lista Maestra se defendió argumentando que los bancos de pruebas se renuevan cada 3 años y que la divulgación de la Lista Maestra conduciría a pruebas de empanelización ineficaces, ya que cualquiera que conozca la lista podrá calificar para el siguiente paso en la empanelización. proceso.
Al analizar el material registrado, el tribunal dijo: “…no hubo ningún defecto en la decisión del Demandado No.1 al no permitir una reevaluación del informe presentado por el Peticionario el 22.09.2020 dado el procedimiento para proporcionar dos intentos para calificar en la Prueba de Habilidad Práctica en Línea”.
No se encontraron fallas en la decisión del CERT-IN de retener la Lista Maestra. Considerando la relevancia de la Lista Maestra para futuros procedimientos de empanelización, sugiriendo que los futuros bancos de pruebas podrían incluir vulnerabilidades de la Lista Maestra actual, señaló el juez Prasad:
“…al mantener la lista maestra, el Demandado No.1 garantiza que no se interfiera con la santidad de las operaciones de TI de importantes ministerios y otras autoridades públicas… la Lista Maestra preparada por los Demandados es, por lo tanto, un documento importante, no sólo para para los fines de la prueba, sino también para la integridad de los sistemas informáticos de las organizaciones interesadas”.
Concluyendo que hubo una completa aplicación de la mente por parte de CERT-IN, se agregó:
“Una lectura cuidadosa del material registrado no revela ningún favoritismo… No hay nada registrado que demuestre que las calificaciones no se hayan otorgado sobre la base de un criterio objetivo a menos que se demuestre que la selección realizada por el organismo de expertos está sesgada. caprichosas, caprichosas o arbitrarias, los Tribunales no deben aventurarse a recurrir en apelación las decisiones tomadas por peritos…”
Dado que el período de reflexión de un año ya había finalizado y el tribunal consideró que no debía presentarse la Lista Maestra, la petición fue desestimada.
El Sr. Tarang Gupta y el Sr. Kartikeya Sharma, abogados, comparecieron en nombre del peticionario.
El Sr. Vikram Jetly, CGSC con la Sra. Shreya Jetly, Advocates y el Sr. Rajesh Suri, Oficial Legal comparecieron para los encuestados.
Título del caso: Trusted Info Systems Private Limited contra el Equipo de Respuesta a Emergencias Informáticas de la India y Anr., WP(C) 7508/2021
Haga clic aquí para leer/descargar sentencia