Базирующаяся в США организация ITI, членами которой являются такие глобальные технологические компании, как Google, Facebook, IBM и Cisco, добилась пересмотра директивы правительства Индии об отчетности об инцидентах, связанных с нарушениями кибербезопасности. ITI заявила, что положения нового мандата могут негативно сказаться на организациях и подорвать кибербезопасность в стране.
Страновой менеджер ITI в Индии Кумар Дип в письме главному специалисту по сертификации Санджаю Бахлу от 5 мая попросил провести более широкие консультации с заинтересованными сторонами в отрасли, прежде чем окончательно доработать директиву.
«Директива имеет потенциал для улучшения положения в области кибербезопасности Индии, если она будет надлежащим образом разработана и внедрена, однако некоторые положения законопроекта, включая контрпродуктивные требования к отчетности об инцидентах, могут негативно повлиять на индийские и глобальные предприятия и подорвать кибербезопасность», — сказал Дип.
- Немецкий регулятор предупреждает О Больших рисках Кибератак
Индийская группа реагирования на компьютерные чрезвычайные ситуации (CERT-In) 28 апреля выпустила директиву, в которой всем государственным и частным учреждениям, включая интернет-провайдеров, платформы социальных сетей и центры обработки данных, в обязательном порядке сообщать об инцидентах нарушения кибербезопасности в течение шести часов после их обнаружения.
Новый циркуляр, выпущенный CERT-In, предписывает всем поставщикам услуг, посредникам, центрам обработки данных, корпорациям и правительственным организациям в обязательном порядке включать журналы всех своих систем ИКТ (информационно-коммуникационных технологий) и обеспечивать их безопасность в течение скользящего периода в 180 дней, и то же самое должно поддерживаться в пределах индийской юрисдикции.
ITI выразила обеспокоенность по поводу обязательного сообщения об инцидентах нарушения в течение шести часов с момента уведомления, чтобы включить ведение журналов всех систем ИКТ и поддерживать их в пределах индийской юрисдикции в течение 180 дней, чрезмерно широкого определения инцидентов, о которых можно сообщать, и требования, чтобы компании подключались к серверам индийских государственных структур.
- В CERT-In Говорится, Что Фирмы Должны Сообщать О Нарушениях Кибербезопасности В Течение 6 Часов
Дип в письме сказал, что организациям должно быть предоставлено 72 часа, чтобы сообщить об инциденте в соответствии с лучшими мировыми практиками, а не только шесть часов.
ITI заявила, что мандат правительства на включение журналов всех охваченных информационных и коммуникационных технологических систем организаций, ведение журналов «надежно в течение скользящего периода в 180 дней» в Индии и предоставление их правительству Индии по запросу не является наилучшей практикой.
«Это сделало бы такие хранилища зарегистрированной информации мишенью для участников глобальных угроз, в дополнение к тому, что для их реализации потребовались бы значительные ресурсы (как человеческие, так и технические)», — сказал Дип.
- Обнаружено нарушение кибербезопасности военными чиновниками в WhatsApp: Отчет
ITI также выразила обеспокоенность по поводу требования о том, что «все поставщики услуг, посредники, центры обработки данных, корпоративные и правительственные организации должны подключаться к NTP-серверам индийских лабораторий и других организаций для синхронизации всех часов их систем ИКТ».
Глобальный орган заявил, что эти положения могут негативно повлиять на операции компаний по обеспечению безопасности, а также на функциональность их систем, сетей и приложений.
ITI заявила, что нынешнее определение правительством инцидента, о котором можно сообщить, включающее такие действия, как зондирование и сканирование, является слишком широким, учитывая, что зондирование и сканирование являются повседневными событиями.
«Компаниям или CERT-In было бы бесполезно тратить время на сбор, передачу, получение и хранение такого большого объема незначительной информации, которая, возможно, не будет отслеживаться», — сказал Дип.
ITI обратилась к правительству с просьбой отложить сроки реализации новой директивы и начать более широкие консультации со всеми заинтересованными сторонами для ее эффективной реализации.
ITI потребовала от CERT-In «пересмотреть директиву, чтобы учесть соответствующие положения в отношении обязательств по сообщению об инцидентах, в том числе касающиеся сроков представления отчетности, объема охватываемых инцидентов и требований к локализации данных регистрации».