Bransjegrupperingene har bedt om å øke rapporteringstidslinjen fra de foreskrevet seks timene til 72 timer, og sier at sistnevnte tidslinje er “i samsvar med globale beste praksiser”. (Representativt bilde)
Indias nylig annonserte cybersikkerhetsnormer står overfor en større tilbakegang. Elleve bransjeorganer fra land i EU, Storbritannia og USA, inkludert US Chamber of Commerce og US-India Business Council, har skrevet til Indian Computer Emergency Response Team (CERT-In) for å ta opp bekymringer rundt sin virksomhet. nyere cybersikkerhetsnormer, og argumenterer for at direktivets “tyngende natur” kan gjøre det vanskeligere for selskaper å gjøre forretninger i India.
I et brev til Sanjay Bahl, generaldirektøren for CERT-In, sa industrigruppene at cybersikkerhetsdirektivet vil ha en “skadelig innvirkning på cybersikkerhet for organisasjoner som opererer i India, og skape en usammenhengende tilnærming til cybersikkerhet på tvers av jurisdiksjoner, og undergrave sikkerhetsstillingen til India og dets allierte i Quad-landene, Europa og utover».
Spesielt har de flagget seks timers tidslinje for å rapportere cybersikkerhetshendelser, krav som selskaper leverer sensitive logger til, en “overvid” definisjon av rapporterbare hendelser, og at virtuelle private nettverk (VPN-er) vil måtte lagre data om sine brukere i fem år. “Hvis de ikke blir adressert, vil disse bestemmelsene ha en betydelig negativ innvirkning på organisasjoner som opererer i India uten noen tilsvarende fordel for cybersikkerhet,” heter det i brevet.
https://images.indianexpress.com/2020/08/1×1.png
Kjøp nå | Vår beste abonnementsplan har nå en spesialpris
Best of Express Premium
PremiumBalladen om Sidhu Moose Wala: Selvlaget, temperamentsfull, mannen fra Moosa Bruker VIP-kulturen eller politisk vendetta? Ordrer fra Punjab-regjeringen øker rad Hvorfor jeg ble forelsket i Microsofts Surface Laptop Studio til tross for… Straffer for forsinkelser, kutt i ukelønn: Livet blir mer risikabelt etter 10 minutter…Flere premiumhistorier >> Underskriverne til brevet teller store teknologiselskaper som Facebook, Google, Apple, Amazon og Microsoft sammen med andre teknologifirmaer som medlemmer. Underskriverne inkluderer: Asia Securities Industry & Financial Markets Association (ASIFMA), Bank Policy Institute, BSA, Coalition to Reduce Cyber Risk, Cybersecurity Coalition, Digital Europe, Information Technology Industry Council (ITI), techUK, US Chamber of Commerce, US-India Business Council (USIBC), og US-India Strategic Partnership Forum (USISPF). De slutter seg til et bredt spekter av interessenter, inkludert VPN-leverandører og sivilsamfunnet, som tidligere har kritisert CERT-In’s normer. CERT-Ins cybersikkerhetsdirektiv krever at enheter rapporterer cybersikkerhetshendelser til byrået innen seks timer. De gir også VPN-leverandører mandat til å lagre informasjon som navn, e-post-IDer, kontaktnumre og IP-adresser (blant annet) til kundene deres i en periode på fem år. Brevet kommer en uke etter at CERT-In ga ut et sett med avklaringer om reglene sine etter at bekymringer knyttet til overholdelsesbyrder ble reist av interessenter i industrien. Reglene ble kunngjort 28. april og skal tre i kraft etter 60 dager. Bransjegrupperingene har bedt om å øke rapporteringstidslinjen fra de foreskrevet seks timene til 72 timer, og sier at sistnevnte tidslinje er “i samsvar med globale beste praksis”. «En 6-timers tidslinje er for kort. CERT-In har ikke gitt noen begrunnelse for hvorfor 6-timers tidslinjen er nødvendig, og den er heller ikke proporsjonal eller på linje med globale standarder. En slik tidslinje er unødvendig kort og injiserer ytterligere kompleksitet i en tid da enheter er mer hensiktsmessig fokusert på den vanskelige oppgaven med å forstå, svare på og utbedre en cyberhendelse», sa de i brevet. “Våre selskaper driver avansert sikkerhetsinfrastruktur med interne prosedyrer for hendelseshåndtering av høy kvalitet, som vil gi mer effektive og smidige svar enn en myndighetsrettet instruksjon angående et tredjepartssystem som CERT-In ikke er kjent med. CERT-In bør revidere direktivet for å fjerne denne bestemmelsen,” la det til. “En mer hensiktsmessig tilnærming kan være å be leverandørene demonstrere at deres prosedyrer for hendelse og risikohåndtering oppfyller internasjonale standarder, slik som de som finnes i ISO 27000-sertifiseringer”. Men, statsminister for Elektronikk og IT, Rajeev Chandrashekhar hadde tidligere sagt at regjeringen var “for sjenerøs” med seks timers rapporteringstidslinje. CERT-Ins Bahl har i mellomtiden tidligere sagt at land som Frankrike, Japan, Indonesia og Singapore har enda kortere tidslinjer for rapportering av cybersikkerhetshendelser. Til tross for tidligere bekymringer, har regjeringen besluttet å fortsette med reglene. Chandrashekhar har også advart VPN-selskaper om at hvis de ikke følger normene, står de fritt til å forlate landet.
Premium
Premium
Premium