La nuova direttiva dell’India che impone la segnalazione di incidenti di attacco informatico entro sei ore e la memorizzazione dei registri degli utenti per 5 anni renderà difficile per le aziende fare affari nel paese, 11 enti internazionali che hanno giganti tecnologici come Google, Facebook e HP come hanno affermato i membri in A Lettera congiunta al governo.
La lettera congiunta scritta da 11 organizzazioni che rappresentano principalmente società tecnologiche con sede negli Stati Uniti, in Europa e in Asia è stata inviata al direttore generale del team di risposta alle emergenze del computer indiano (CERT-in), Sanjay Bahl il 26 maggio.
The international bodies have expressed concerned that the directive, as written, will have a detrimental impact on cyber security for organisations that operate in India, and create a disjointed approach to cyber security across jurisdictions, undermining the security posture of India and its allies in the Quad paesi, Europa e oltre.
“La natura onerosa dei requisiti può anche rendere più difficile per le aziende fare affari in India”, ha affermato la lettera.
Gli enti globali che hanno espresso preoccupazione congiuntamente includono il Consiglio dell’industria dell’informazione (ITI), l’Asia Associazione dell’industria e dei mercati finanziari (ASIFMA), Bank Policy Institute, BSA-The Software Alliance, Coalition per ridurre il rischio informatico (CR2), Coalizione per la sicurezza informatica, Digital Europe, Techuk, Camera di commercio degli Stati Uniti, Consiglio commerciale USA-India e Forum di partenariato strategico USA-India.
La nuova direttiva emessa il 28 aprile impone alle aziende di segnalare qualsiasi violazione informatica per la certificazione entro sei ore dal notato.
Imponga i data center, i provider di VPS (VPS) Virtual Private Server (VPS), i fornitori di servizi cloud e i fornitori di servizi VPN (VPN) per convalidare i nomi di abbonati e clienti che assumono i servizi, periodo di assunzione, modello di proprietà degli abbonati ecc. Per un periodo di 5 anni o più durata come obbligatoria dalla legge.
Secondo la direttiva, le aziende IT devono mantenere tutte le informazioni ottenute come parte di Know-Your-Customer (KYC) e registri delle transazioni finanziarie per un periodo di cinque anni in modo da garantire la sicurezza informatica nel settore dei pagamenti e dei mercati finanziari per cittadini.
Gli enti internazionali hanno sollevato preoccupazione per la sequenza temporale di 6 ore previste per i rapporti degli incidenti informatici e hanno richiesto che fosse aumentato a 72 ore.
“La certificazione non ha fornito alcuna logica sul perché la sequenza temporale di 6 ore è necessaria, né è proporzionata o allineata con gli standard globali. Tale linea temporale è inutilmente breve e inietta ulteriori complessità in un momento in cui le entità sono più adeguatamente focalizzate su Il difficile compito di comprendere, rispondere e riparare un incidente informatico “, ha detto la lettera.
Ha detto che in caso di mandato di sei ore, anche le entità avranno informazioni sufficienti per prendere una ragionevole determinazione se si sia effettivamente verificato un incidente informatico che garantirebbe l’attivazione della notifica.
Gli enti internazionali hanno affermato che le loro società membri gestiscono infrastrutture di sicurezza avanzate con procedure di gestione degli incidenti interni di alta qualità, che produrranno risposte più efficienti e agili rispetto a un governo diretto in merito a un sistema di terze parti che la certificazione non ha familiarità.
La lettera congiunta afferma che l’attuale definizione di incidenti segnalabili, per includere attività come sondaggio e scansione, è troppo ampia date sonde e le scansioni sono eventi quotidiani.
Ha affermato che il chiarimento fornito da CERT-in alla direttiva menziona che i registri non devono essere conservati in India, ma la direttiva non lo menziona.
“Anche se questa modifica viene apportata, tuttavia, abbiamo preoccupazioni per alcuni dei tipi di dati di registro che il governo indiano richiede di essere fornito su richiesta, poiché alcuni di essi sono sensibili e, se accessibile, potrebbero creare un nuovo rischio di sicurezza fornendo Insight sulla posizione di sicurezza di un’organizzazione “, ha detto la lettera.
La lettera congiunta afferma che i fornitori di servizi Internet raccolgono comunemente informazioni sui clienti ma che estendono questi obblighi ai fornitori di VSP, CSP e VPN è oneroso e oneroso.
“Un provider di data center non assegna indirizzi IP. Sarà un compito oneroso per il provider di data center raccogliere e registrare tutti gli indirizzi IP assegnati ai propri clienti dagli ISP. Questo potrebbe essere un’attività quasi impossibile quando gli indirizzi IP sono assegnati dinamicamente, “Lettera ha detto.
Gli enti globali hanno affermato che la memorizzazione dei dati a livello locale per il ciclo di vita del cliente e successivamente per cinque anni richiederà risorse di archiviazione e sicurezza per le quali i costi devono essere trasmessi al cliente, che in particolare non ha chiesto che questi dati vengano archiviati Dopo la risoluzione del servizio.
“Condividiamo l’obiettivo del governo di migliorare la sicurezza informatica. Tuttavia, rimaniamo preoccupati per la direttiva CART-in, nonostante il rilascio del recente documento FAQS inteso a chiarire la direttiva,
Lascia un commento