Nova regra de segurança cibernética para tornar os negócios na Índia mais difíceis, dizem os órgãos de tecnologia globais

A nova diretiva da Índia que exige os relatórios de incidentes de ataque cibernético dentro de seis horas e armazenar os registros dos usuários por 5 anos dificultará para as empresas fazer negócios no país, 11 órgãos internacionais com gigantes de tecnologia como Google, Facebook e HP, como disseram os membros em um Carta conjunta ao governo.

A carta conjunta escrita por 11 organizações que representam principalmente empresas de tecnologia com sede nos EUA, Europa e Ásia foi enviada ao diretor da equipe de resposta a emergências indianas (CERT-in), Sanjay Bahl, em 26 de maio.

Os órgãos internacionais expressaram preocupados com o fato de a diretiva, conforme escrita, terá um impacto prejudicial na segurança cibernética para organizações que operam na Índia e criarão uma abordagem desarticulada à segurança cibernética entre jurisdições, minando a postura de segurança da Índia e seus aliados no The Alling in the Quad Países, Europa e além.

"A natureza onerosa dos requisitos também pode tornar mais difícil para as empresas fazer negócios na Índia", afirmou a carta.

08/03/2022 - MISSÃO TÉCNICA CONHECE TECNOLOGIA E SEGURANÇA CIBERNÉTICA EM ISRAEL | Notícias do MCom

Os órgãos globais que expressaram em conjunto a preocupação incluem Conselho da Indústria de Tecnologia da Informação (ITI), Associação de Mercados Financeiros e Mercados Financeiros da Ásia Securities (ASIFMA), Instituto de Políticas Bancárias, BSA-Aliança de Software, Coalizão para reduzir o risco cibernético (CR2), Coalizão de Segurança Cibernética, Europa digital, Techuk, Câmara de Comércio dos EUA, Conselho Empresarial dos EUA e Índia e Fórum de Parceria Estratégica dos EUA-Índia.

A nova diretiva emitida em 28 de abril exige que as empresas denunciem qualquer violação cibernética para certificar dentro de seis horas depois de perceber.

Ele exige data centers, provedores de servidor privado virtual (VPS), provedores de serviços em nuvem e provedores de serviços de rede privada virtual (VPN) para validar nomes de assinantes e clientes que contratam os serviços, período de contratação, padrão de propriedade dos assinantes etc. e manter os registros por um período de 5 anos ou maior duração, conforme exigido pela lei.

De acordo com a diretiva, as empresas de TI precisam manter todas as informações obtidas como parte do Know-Your-Customer (KYC) e registros de transações financeiras por um período de cinco anos, a fim de garantir a segurança cibernética na área de pagamentos e mercados financeiros para cidadãos.

Os órgãos internacionais levantaram preocupação com a linha do tempo de 6 horas prevista para relatórios de incidentes cibernéticos e exigiu que fosse aumentado para 72 horas.

"O certificado não forneceu nenhuma justificativa sobre por que a linha do tempo de 6 horas é necessária, nem é proporcional ou alinhada com os padrões globais. Essa linha do tempo é desnecessariamente breve e injeta complexidade adicional em um momento em que as entidades são mais adequadamente focadas em A difícil tarefa de entender, responder e remediar um incidente cibernético ", disse a carta.

Ele afirmou que, no caso do mandato de seis horas, as entidades também terão informações suficientes para determinar razoáveis se um incidente cibernético ocorreu de fato que justificaria o acionamento da notificação.

Os órgãos internacionais disseram que suas empresas membros operam infraestruturas de segurança avançadas com procedimentos de gerenciamento de incidentes internos de alta qualidade, que produzirão respostas mais eficientes e ágeis do que uma instrução direcionada pelo governo sobre um sistema de terceiros com o qual o certificado não está familiarizado.

A carta conjunta dizia que a definição atual de incidentes relatáveis, para incluir atividades como investigação e varredura, é muito ampla, dadas as sondas e as varreduras são ocorrências cotidianas.

Ele afirmou que o esclarecimento fornecido pelo CERT-in para a diretiva menciona que os logs não precisam ser armazenados na Índia, mas a diretiva não o menciona.

"Mesmo que essa alteração seja feita, no entanto, temos preocupações com alguns dos tipos de dados de log que o governo indiano está exigindo ser fornecido mediante solicitação, pois alguns deles são sensíveis e, se acessados, poderiam criar um novo risco de segurança, fornecendo Insight sobre a postura de segurança de uma organização ", disse a carta.

A carta conjunta dizia que os provedores de serviços de Internet geralmente coletam informações do cliente, mas estender essas obrigações aos provedores de VSP, CSP e VPN é onerosa e onerosa.

"Um provedor de data center não atribui endereços IP. Será uma tarefa onerosa para o provedor de data center coletar e registrar todos os endereços IP atribuídos a seus clientes pelos ISPs. Essa pode ser uma tarefa quase impossível quando os endereços IP são atribuídos dinamicamente, "Carta disse.

Os órgãos globais disseram que armazenar os dados localmente para o ciclo de vida do cliente e, posteriormente, por cinco anos exigirá recursos de armazenamento e segurança para os quais os custos devem ser repassados ao cliente, que notadamente não solicitou que esses dados sejam armazenados Após o término do serviço.

"Compartilhamos o objetivo do governo de melhorar a segurança cibernética. No entanto, permanecemos preocupados com a diretiva Cert-in, apesar do lançamento do recente documento de Perguntas frequentes destinado a esclarecer a diretiva,

Comentários

Postagens mais visitadas