Indiens neue Richtlinie, die die Berichterstattung über Cyberangriffsvorfälle innerhalb von sechs Stunden und das Speichern von Nutzern von Nutzern für 5 Jahre erschweren, wird es Unternehmen für Unternehmen erschweren, Geschäfte im Land zu tätigen. gemeinsamer Brief an die Regierung.

Das gemeinsame Brief von 11 Organisationen, die hauptsächlich in den USA, Europa und Asien ansässige Technologieunternehmen vertreten, wurde am 26. Mai an den Generaldirektor des indischen Computer-Notfall-Reaktionsteams (Zertifikat) gesendet.

Die internationalen Stellen haben besorgt darüber geäußert, dass die Richtlinie, wie geschrieben, sich nachteilig auf die Cybersicherheit für Organisationen, die in Indien tätig sind Quad-Länder, Europa und darüber hinaus.

„Die belastende Art der Anforderungen kann es auch für Unternehmen schwieriger machen, in Indien Geschäfte zu machen“, heißt es in dem Brief.

Zu den globalen Stellen, die gemeinsam besorgt sind, gehören der Informationstechnologie Industry Council (ITI), Asia Securities Industry & Financial Markets Association (ASIFMA), Bank Policy Institute, BSA-The Software Alliance, Koalition zur Reduzierung von Cyber-Risiken (CR2), Cybersecurity Coalition, Cybersecurity Coalition, Digital Europa, Techuk, US-Handelskammer, US-India Business Council und US-India Strategic Partnership Forum.

Die am 28. April herausgegebene neue Richtlinie beauftragt Unternehmen, innerhalb von sechs Stunden nach dem Aufmerksamkeit eine Cyberverletzung zu melden.

Es schreibt Rechenzentren, VPS-Anbieter (Virtual Private Server), Cloud-Service-Anbieter und VPN-Dienstanbieter (Virtual Private Network) vor, um Namen von Abonnenten und Kunden zu validieren für einen Zeitraum von 5 Jahren oder länger, wie gesetzlich vorgeschrieben.

Gemäß der Richtlinie müssen die IT-Unternehmen alle als Teil von Know-your-Customer (KYC) erhaltenen Informationen und Aufzeichnungen über Finanztransaktionen für einen Zeitraum von fünf Jahren aufrechterhalten, um die Cyber-Sicherheit im Bereich Zahlungen und Finanzmärkte für sicherzustellen Bürger.

Die internationalen Stellen haben die Besorgnis über die 6-stündige Zeitleiste für die Berichterstattung über Cyber-Vorfälle vorgesehen und forderten, dass sie auf 72 Stunden erhöht werden sollte.

„Cert-In hat weder eine Begründung dafür geliefert, warum die 6-Stunden-Zeitleiste erforderlich ist, noch proportional oder mit den globalen Standards ausgerichtet ist. Eine solche Zeitleiste ist unnötig kurz und injiziert zusätzliche Komplexität zu einem Zeitpunkt, an dem sich die Unternehmen besser angemessen konzentrieren Die schwierige Aufgabe, einen Cyber-Vorfall zu verstehen, auf zu reagieren und zu beheben „, heißt es in dem Brief.

Im Fall des sechsstündigen Mandats werden Unternehmen auch unwahrscheinlich über ausreichende Informationen verfügen, um eine angemessene Feststellung zu treffen, ob ein Cyber-Vorfall tatsächlich aufgetreten ist, was die Auslösen der Benachrichtigung rechtfertigen würde.

Die internationalen Stellen sagten, dass ihre Mitgliedsunternehmen fortschrittliche Sicherheitsinfrastrukturen mit hochwertigen internen Incident-Management-Verfahren betreiben, die effizientere und agile Antworten liefern als eine von der Regierung gerichtete Anweisung zu einem System von Drittanbietern, mit dem Cert-In nicht vertraut ist.

In dem gemeinsamen Buchstaben heißt es, dass die aktuelle Definition meldepflichtiger Vorfälle, die Aktivitäten wie Prüfung und Scannen enthalten, viel zu breit angegeben ist, und Scans sind alltägliches Ereignis.

Es heißt, dass die von Cert-In in der Richtlinie bereitgestellte Klärung erwähnt, dass Protokolle nicht in Indien gespeichert werden müssen, aber die Richtlinie nicht erwähnt.

„Auch wenn diese Änderung vorgenommen wird, haben wir Bedenken hinsichtlich einiger Arten von Protokolldaten, die die indische Regierung auf Anfrage eingerichtet werden muss, da einige davon sensibel sind und bei Zugriffe ein neues Sicherheitsrisiko schaffen könnten, indem sie bereitstellen Einblick in die Sicherheitshaltung einer Organisation „, heißt es in dem Brief.

In dem gemeinsamen Schreiben heißt es, dass Internetdienstanbieter häufig Kundeninformationen sammeln, diese Verpflichtungen jedoch auf VSP-, CSP-und VPN-Anbieter erweitern, ist belastend und belastend.

„Ein Rechenzentrumsanbieter weist keine IP-Adressen zu. Es ist eine belastende Aufgabe für den Rechenzentrumsanbieter, alle von ISPs zugewiesenen IP-Adressen zu sammeln und aufzunehmen. Dies kann eine nahezu unmögliche Aufgabe sein, wenn IP-Adressen dynamisch zugewiesen werden. „Brief sagte.

Die globalen Körpers sagten, dass die Speicherung der Daten für den Lebenszyklus des Kunden und danach für fünf Jahre Speicher-und Sicherheitsressourcen erforderlich sind, für die die Kosten an den Kunden weitergegeben werden müssen, der insbesondere nicht darum gebeten hat, dass diese Daten gespeichert werden. Nach ihrer Dienstleistungsbeendigung.

„Wir teilen das Ziel der Regierung, die Cybersicherheit zu verbessern. Wir sind jedoch weiterhin besorgt über die Zertifizierungsstelle, trotz der Veröffentlichung des jüngsten FAQ-Dokuments, mit dem die Richtlinie klären soll.