Google и Big Tech Заявляют, что Новые правила кибербезопасности усложнят ведение бизнеса в Индии

Новая директива Индии, которая предписывает сообщать об инцидентах кибератак в течение шести часов и хранить журналы пользователей в течение 5 лет, затруднит компаниям ведение бизнеса в стране, говорится в совместном письме 11 международных организаций, в состав которых входят такие технологические гиганты, как Google, Facebook и HP, говорится в совместном письме к правительству. Совместное письмо, написанное 11 организациями, которые в основном представляют технологические компании, базирующиеся в США, Европе и Азии, было направлено генеральному директору Индийской группы реагирования на компьютерные чрезвычайные ситуации (CERT-In) Санджаю Бахлу 26 мая.

Международные организации выразили обеспокоенность тем, что директива в ее нынешнем виде окажет пагубное влияние на кибербезопасность организаций, работающих в Индии, и создаст разрозненный подход к кибербезопасности в разных юрисдикциях, подрывая позиции безопасности Индии и ее союзников в странах «Четверки», Европе и за ее пределами.

«Обременительный характер требований может также затруднить компаниям ведение бизнеса в Индии», — говорится в письме.

  • В CERT-In Говорится, Что Фирмы Должны Сообщать О Нарушениях Кибербезопасности В Течение 6 Часов

Глобальные организации, которые совместно выразили обеспокоенность, включают Совет индустрии информационных технологий (ITI), Азиатскую Ассоциацию индустрии ценных бумаг и финансовых рынков (ASIFMA), Институт банковской политики, BSA — Альянс программного обеспечения, Коалицию по снижению киберрисков (CR2), Коалицию кибербезопасности, Digital Europe, techUK, Торговую палату США, Американо-Индийский деловой совет и Американо-Индийский Форум стратегического партнерства.

Новая директива, опубликованная 28 апреля, обязывает компании сообщать о любом кибератаке в CERT-In в течение шести часов после его обнаружения.

Он предписывает центрам обработки данных, поставщикам виртуальных частных серверов (VPS), поставщикам облачных услуг и поставщикам услуг виртуальной частной сети (VPN) проверять имена подписчиков и клиентов, нанимающих услуги, период найма, структуру собственности подписчиков и т.д. и вести записи в течение 5 лет или более. продолжительность в соответствии с требованиями закона.

  • Сообщается, что индийские хакеры использовались израильскими спецслужбами для работы на российских олигархов

Согласно директиве, ИТ-компании должны хранить всю информацию, полученную в рамках программы «Знай своего клиента» (KYC), и записи о финансовых транзакциях в течение пяти лет для обеспечения кибербезопасности в области платежей и финансовых рынков для граждан.

Международные организации выразили обеспокоенность по поводу 6-часового срока, предусмотренного для сообщения о кибератаках, и потребовали увеличить его до 72 часов.

«CERT-In не предоставил никаких обоснований относительно того, почему необходим 6-часовой график, а также не является соразмерным или согласованным с мировыми стандартами. Такой график является излишне кратким и создает дополнительные сложности в то время, когда организации более уместно сосредоточены на сложной задаче понимания, реагирования и устранения киберин-инцидента», — говорится в письме.

  • Глобальные Затраты На Кибератаки В 2021 Году Превысили 6 Миллиардов Долларов: Итальянская Оборонная Фирма

В нем говорилось, что в случае шестичасового мандата организации также вряд ли будут располагать достаточной информацией, чтобы сделать разумное определение того, действительно ли произошел кибер-инцидент, который оправдал бы запуск уведомления.

Международные организации заявили, что их компании-члены эксплуатируют передовые инфраструктуры безопасности с высококачественными внутренними процедурами управления инцидентами, которые обеспечат более эффективное и гибкое реагирование, чем правительственная инструкция в отношении сторонней системы, с которой CERT-In не знаком.

В совместном письме говорилось, что нынешнее определение сообщаемых инцидентов, включающее такие действия, как зондирование и сканирование, является слишком широким, учитывая, что зондирование и сканирование являются повседневными событиями.

  • ЕС, США, Великобритания Обвиняют Россию в кибератаках На фоне Вторжения в Украину

В нем говорилось, что в разъяснении, предоставленном CERT-In к директиве, упоминается, что журналы не обязаны храниться в Индии, но в директиве это не упоминается.

«Однако, даже если это изменение будет внесено, у нас есть опасения по поводу некоторых типов данных журнала, которые правительство Индии требует предоставлять по запросу, поскольку некоторые из них являются конфиденциальными и, если к ним получить доступ, могут создать новую угрозу безопасности, предоставляя представление о состоянии безопасности организации», — говорится в сообщении. в письме говорилось.

В совместном письме говорилось, что интернет-провайдеры обычно собирают информацию о клиентах, но распространение этих обязательств на провайдеров VSP, CSP и VPN является обременительным и обременительным.

  • SpiceJet Сообщает, что Прибыль за 4 квартал 2021 года задерживается из-за атаки программ-вымогателей

«Поставщик центров обработки данных не назначает IP-адреса. Для поставщика центра обработки данных будет обременительной задачей собирать и записывать все IP-адреса, назначенные их клиентам интернет-провайдерами. Это может быть практически невыполнимой задачей, когда IP-адреса назначаются динамически», — говорится в письме.

Глобальные органы заявили, что локальное хранение данных в течение жизненного цикла клиента и после этого в течение пяти лет потребует ресурсов хранения и безопасности, расходы на которые должны быть переложены на клиента, который, в частности, не просил хранить эти данные после прекращения их обслуживания.

«Мы разделяем цель правительства по повышению кибербезопасности. Тем не менее, мы по-прежнему обеспокоены директивой CERT-In, несмотря на выпуск недавнего документа часто задаваемых вопросов, призванного разъяснить директиву, поскольку часто задаваемые вопросы не являются юридическим документом, он не предоставляет компаниям юридической определенности, необходимой для ведения повседневного бизнеса», — сказала старший директор ITI по политике Кортни Лэнг.

Лэнг также сказал, что часто задаваемые вопросы, опубликованные CERT-In, не затрагивают проблемные положения, в том числе шестичасовой график отчетности.

«Мы продолжаем призывать CERT-In приостановить выполнение директивы и начать консультации с заинтересованными сторонами, чтобы полностью устранить проблемы, изложенные в письме», — сказал Лэнг.

Источник

Оцените статью
Добавить комментарии
Google и Big Tech Заявляют, что Новые правила кибербезопасности усложнят ведение бизнеса в Индии
e2c84966f32a6c5ac8560a22122704c3
Эта моторизованная игровая кровать позволяет вам дать отдых голове геймера