Indias nylig annonserte cybersikkerhetsnormer står overfor en større tilbakegang. Elleve bransjeorganer fra land i EU, Storbritannia og USA, inkludert US Chamber of Commerce og US-India Business Council, har skrevet til Indian Computer Emergency Response Team (CERT-In) for å ta opp bekymringer rundt sin virksomhet. nyere cybersikkerhetsnormer, og argumenterer for at direktivets “tyngende natur” kan gjøre det vanskeligere for selskaper å gjøre forretninger i India.
I et brev til Sanjay Bahl, generaldirektøren for CERT-In, sa industrigruppene at cybersikkerhetsdirektivet vil ha en “skadelig innvirkning på cybersikkerhet for organisasjoner som opererer i India, og skape en usammenhengende tilnærming til cybersikkerhet på tvers av jurisdiksjoner, og undergrave sikkerhetsstillingen til India og dets allierte i Quad-landene, Europa og utover».
Spesielt har de flagget seks timers tidslinje for å rapportere cybersikkerhetshendelser, krav som selskaper leverer sensitive logger til, en “overvid” definisjon av rapporterbare hendelser, og at virtuelle private nettverk (VPN-er) vil måtte lagre data om sine brukere i fem år. “Hvis de ikke blir adressert, vil disse bestemmelsene ha en betydelig negativ innvirkning på organisasjoner som opererer i India uten noen tilsvarende fordel for cybersikkerhet,” heter det i brevet.
https://images.indianexpress.com/2020/08/1×1.png
Kjøp nå | Vår beste abonnementsplan har nå en spesialpris
Best of Express Premium
Balladen om Sidhu Moose Wala: Selvlaget, temperamentsfull, mannen fra Moosa Bruker VIP-kulturen eller politisk vendetta? Ordrer fra Punjab-regjeringen øker rad Hvorfor jeg ble forelsket i Microsofts Surface Laptop Studio til tross for… Straffer for forsinkelser, kutt i ukelønn: Livet blir mer risikabelt etter 10 minutter…Flere premiumhistorier >> Underskriverne til brevet teller store teknologiselskaper som Facebook, Google, Apple, Amazon og Microsoft sammen med andre teknologifirmaer som medlemmer. Underskriverne inkluderer: Asia Securities Industry & Financial Markets Association (ASIFMA), Bank Policy Institute, BSA, Coalition to Reduce Cyber Risk, Cybersecurity Coalition, Digital Europe, Information Technology Industry Council (ITI), techUK, US Chamber of Commerce, US-India Business Council (USIBC), og US-India Strategic Partnership Forum (USISPF). De slutter seg til et bredt spekter av interessenter, inkludert VPN-leverandører og sivilsamfunnet, som tidligere har kritisert CERT-In’s normer. CERT-Ins cybersikkerhetsdirektiv krever at enheter rapporterer cybersikkerhetshendelser til byrået innen seks timer. De gir også VPN-leverandører mandat til å lagre informasjon som navn, e-post-IDer, kontaktnumre og IP-adresser (blant annet) til kundene deres i en periode på fem år. Brevet kommer en uke etter at CERT-In ga ut et sett med avklaringer om reglene sine etter at bekymringer knyttet til overholdelsesbyrder ble reist av interessenter i industrien. Reglene ble kunngjort 28. april og skal tre i kraft etter 60 dager. Bransjegrupperingene har bedt om å øke rapporteringstidslinjen fra de foreskrevet seks timene til 72 timer, og sier at sistnevnte tidslinje er “i samsvar med globale beste praksis”. «En 6-timers tidslinje er for kort. CERT-In har ikke gitt noen begrunnelse for hvorfor 6-timers tidslinjen er nødvendig, og den er heller ikke proporsjonal eller på linje med globale standarder. En slik tidslinje er unødvendig kort og injiserer ytterligere kompleksitet i en tid da enheter er mer hensiktsmessig fokusert på den vanskelige oppgaven med å forstå, svare på og utbedre en cyberhendelse», sa de i brevet. “Våre selskaper driver avansert sikkerhetsinfrastruktur med interne prosedyrer for hendelseshåndtering av høy kvalitet, som vil gi mer effektive og smidige svar enn en myndighetsrettet instruksjon angående et tredjepartssystem som CERT-In ikke er kjent med. CERT-In bør revidere direktivet for å fjerne denne bestemmelsen,” la det til. “En mer hensiktsmessig tilnærming kan være å be leverandørene demonstrere at deres prosedyrer for hendelse og risikohåndtering oppfyller internasjonale standarder, slik som de som finnes i ISO 27000-sertifiseringer”. Men, statsminister for Elektronikk og IT, Rajeev Chandrashekhar hadde tidligere sagt at regjeringen var “for sjenerøs” med seks timers rapporteringstidslinje. CERT-Ins Bahl har i mellomtiden tidligere sagt at land som Frankrike, Japan, Indonesia og Singapore har enda kortere tidslinjer for rapportering av cybersikkerhetshendelser. Til tross for tidligere bekymringer, har regjeringen besluttet å fortsette med reglene. Chandrashekhar har også advart VPN-selskaper om at hvis de ikke følger normene, står de fritt til å forlate landet.