Das globale Gremium der Technologiebranche ist mit der indischen Richtlinie zur Meldung von Cybersicherheitsverletzungen nicht zufrieden

„Die Richtlinie hat das Potenzial, Indiens Cyber-Sicherheitslage zu verbessern, wenn sie angemessen entwickelt und umgesetzt wird, aber bestimmte Bestimmungen des Gesetzentwurfs, einschließlich kontraproduktiver Meldepflichten für Vorfälle, können sich negativ auf indische und globale Unternehmen auswirken und die Cyber-Sicherheit untergraben“, sagte Deep. Das Indian Computer Emergency Response Team (CERT-In) hat am 28. April eine Richtlinie herausgegeben, in der alle staatlichen und privaten Behörden, einschließlich Internetdienstanbieter, Social-Media-Plattformen und Rechenzentren, aufgefordert werden, Cybersicherheitsverletzungen innerhalb von sechs Stunden, nachdem sie sie bemerkt haben, verpflichtend zu melden . Das neue Rundschreiben des CERT-In verpflichtet alle Dienstanbieter, Vermittler, Rechenzentren, Unternehmen und Regierungsorganisationen, Protokolle aller ihrer IKT-Systeme (Informations- und Kommunikationstechnologie) obligatorisch zu aktivieren und sie für einen gleitenden Zeitraum von 180 Tagen und sicher zu pflegen dasselbe soll innerhalb der indischen Gerichtsbarkeit aufrechterhalten werden. ITI hat Bedenken hinsichtlich der obligatorischen Meldung von Sicherheitsverletzungen innerhalb von sechs Stunden nach Bekanntwerden geäußert, um Protokolle aller IKT-Systeme zu ermöglichen und diese 180 Tage lang innerhalb der indischen Gerichtsbarkeit zu halten, die zu weit gefasste Definition von meldepflichtigen Vorfällen und die Anforderung, dass Unternehmen eine Verbindung zu den Servern von herstellen müssen Indische Regierungsstellen. Deep sagte in dem Brief, dass die Organisationen 72 Stunden Zeit haben müssen, um einen Vorfall gemäß den globalen Best Practices zu melden, und nicht nur sechs Stunden. ITI sagte, dass das Mandat der Regierung, Protokolle aller Informations- und Kommunikationstechnologiesysteme aller betroffenen Unternehmen zu aktivieren, Protokolle „sicher für einen fortlaufenden Zeitraum von 180 Tagen“ in Indien zu führen und sie der indischen Regierung auf Anfrage zur Verfügung zu stellen, keine bewährte Methode ist. „Es würde solche Speicher protokollierter Informationen zu einem Ziel für globale Bedrohungsakteure machen und zusätzlich erhebliche Ressourcen (sowohl menschliche als auch technische) für die Implementierung erfordern“, sagte Deep. ITI äußerte sich auch besorgt über die Anforderung, dass „alle Dienstanbieter, Vermittler, Rechenzentren, Körperschaften und Regierungsorganisationen eine Verbindung zu den NTP-Servern indischer Labore und anderer Einrichtungen herstellen müssen, um die Uhren aller ihrer IKT-Systeme zu synchronisieren“. Das globale Gremium sagte, dass die Bestimmungen die Sicherheitsabläufe von Unternehmen sowie die Funktionalität ihrer Systeme, Netzwerke und Anwendungen negativ beeinflussen könnten. ITI sagte, dass die derzeitige Definition der Regierung für meldepflichtige Vorfälle, die Aktivitäten wie Sondieren und Scannen umfassen, viel zu weit gefasst sei, da Sondierungen und Scans alltägliche Vorkommnisse sind. „Es wäre für Unternehmen oder CERT-In nicht sinnvoll, Zeit damit zu verbringen, eine so große Menge unbedeutender Informationen zu sammeln, zu übertragen, zu empfangen und zu speichern, die wohl nicht weiterverfolgt werden“, sagte Deep. ITI hat die Regierung gebeten, den Zeitplan für die Umsetzung der neuen Richtlinie zu verschieben und eine umfassendere Konsultation mit allen Interessengruppen für ihre effektive Umsetzung einzuleiten. ITI forderte CERT-In auf, „die Richtlinie zu überarbeiten, um die betreffenden Bestimmungen in Bezug auf die Pflicht zur Meldung von Vorfällen zu berücksichtigen, einschließlich in Bezug auf den Meldezeitplan, den Umfang der abgedeckten Vorfälle und die Anforderungen an die Lokalisierung von Protokollierungsdaten“.