Branschgrupperingarna har krävt en ökning av rapporteringstidslinjen från de för närvarande föreskrivna sex timmarna till 72 timmar, och säger att den senare tidslinjen är “i linje med globala bästa praxis”. (Representativ bild)
Indiens nyligen tillkännagivna cybersäkerhetsnormer står inför en större tillbakagång. Elva branschorgan från länder i Europeiska unionen, Storbritannien och USA, inklusive US Chamber of Commerce och US-India Business Council, har skrivit till Indian Computer Emergency Response Team (CERT-In), och tagit upp oro kring dess nya cybersäkerhetsnormer, som hävdar att direktivets “betungande karaktär” kan göra det svårare för företag att göra affärer i Indien.
I ett brev till Sanjay Bahl, generaldirektören för CERT-In, sa branschgrupperna att cybersäkerhetsdirektivet kommer att ha en “skadlig inverkan på cybersäkerhet för organisationer som verkar i Indien, och skapa en osammanhängande strategi för cybersäkerhet över jurisdiktioner, vilket undergräver säkerhetsställning för Indien och dess allierade i Quad-länderna, Europa och utanför”.
I synnerhet har de flaggat sextimmars tidslinjen för att rapportera cybersäkerhetsincidenter, krav som företag tillhandahåller känsliga loggar till, en “övergripande” definition av rapporterbara incidenter och att virtuella privata nätverk (VPN) kommer att behöva lagra data om sina användare i fem år. “Om de lämnas oadresserade kommer dessa bestämmelser att ha en betydande negativ inverkan på organisationer som är verksamma i Indien utan motsvarande fördelar för cybersäkerhet”, stod det i brevet.
https://images.indianexpress.com/2020/08/1×1.png
Köp nu | Vår bästa prenumerationsplan har nu ett specialpris
Best of Express Premium
PremiumBalladen om Sidhu Moose Wala: Självgjord, temperamentsfull, mannen från Moosa Slåda mot VIP-kulturen eller politisk vendetta? Punjabs myndighetsordrar väcker rad Varför jag blev kär i Microsofts Surface Laptop Studio trots sina… Påföljder för förseningar, nedskärningar i veckolönen: Livet blir mer riskabelt efter 10 minuter…Fler premiumhistorier >> Undertecknarna av brevet räknar stora teknikföretag som Facebook, Google, Apple, Amazon och Microsoft tillsammans med andra teknikföretag som medlemmar. Undertecknarna inkluderar: Asia Securities Industry & Financial Markets Association (ASIFMA), Bank Policy Institute, BSA, Coalition to Reduce Cyber Risk, Cybersecurity Coalition, Digital Europe, Information Technology Industry Council (ITI), techUK, US Chamber of Commerce, US-India Business Council (USIBC) och USA-Indien Strategic Partnership Forum (USISPF). De ansluter sig till ett brett spektrum av intressenter, inklusive VPN-leverantörer och det civila samhället, som tidigare har kritiserat CERT-In’s normer. CERT-Ins cybersäkerhetsdirektiv kräver att enheter rapporterar cybersäkerhetsincidenter till byrån inom sex timmar. De ger också mandat till VPN-leverantörer att lagra information som namn, e-post-ID, kontaktnummer och IP-adresser (bland annat) för sina kunder under en period av fem år. Brevet kommer en vecka efter att CERT-In släppte en uppsättning förtydliganden om sina regler efter att oro för efterlevnadsbördan togs upp av branschens intressenter. Reglerna tillkännagavs den 28 april och ska träda i kraft efter 60 dagar. Branschgrupperingar har krävt att rapporteringstidslinjen ska utökas från de för närvarande föreskrivna sex timmarna till 72 timmar, och säger att den senare tidslinjen är “i linje med globala bästa praxis”. “En 6-timmars tidslinje är för kort. CERT-In har inte tillhandahållit någon motivering till varför 6-timmarstiden är nödvändig, och den är inte heller proportionell eller anpassad till globala standarder. En sådan tidslinje är onödigt kort och tillför ytterligare komplexitet i en tid då enheter är mer lämpligt fokuserade på den svåra uppgiften att förstå, svara på och åtgärda en cyberincident”, sa de i brevet. “Våra företag driver avancerad säkerhetsinfrastruktur med högkvalitativa interna incidenthanteringsprocedurer, som kommer att ge effektivare och smidigare svar än en statlig instruktion angående ett tredjepartssystem som CERT-In inte är bekant med. CERT-In bör revidera direktivet för att ta bort denna bestämmelse,” lade det till. “Ett lämpligare tillvägagångssätt kan vara att be att leverantörer visar att deras procedurer för incident- och riskhantering uppfyller internationella standarder, såsom de som finns i ISO 27000-certifieringar”. Men, minister för Elektronik och IT, Rajeev Chandrashekhar hade tidigare sagt att regeringen var “för generös” med sex timmars rapporteringstid. CERT-Ins Bahl har samtidigt tidigare sagt att länder som Frankrike, Japan, Indonesien och Singapore har ännu kortare tidslinjer för att rapportera cybersäkerhetsincidenter. Trots de tidigare farhågorna har regeringen beslutat att gå vidare med reglerna. Chandrashekhar har också varnat VPN-företag att om de inte följer normerna är de fria att lämna landet.
Premium
Premium
Premium