Mit der Ankündigung der neuen Ausrichtung des CERT-In schlägt Indien zum ersten Mal vor, energische Mandate zur Bekämpfung von Cybervorfällen umzusetzen. Das CERT-In neue Richtungen hat Gespräche unter verschiedenen Interessengruppen angeregt. Wir sehen bereits, dass VPN-Dienstanbieter spekulieren, dass die neuen Normen zu mehr Datenverlusten durch böswillige Angriffe und Verstöße für indische Bürger führen können. Darüber hinaus äußern sie ihre Besorgnis darüber, wie das Protokollieren und Speichern von Benutzerdaten zu einer Verletzung der Privatsphäre und des Vertrauens führen kann. Unter dem aufkommenden Druck und den damit verbundenen Bestimmungen zur Datenerfassung haben einige VPN-Anbieter ihre Dienste in Indien bereits eingestellt, andere folgen.
Die größte Sorge besteht nach wie vor darin, einen Cyber-Vorfall innerhalb eines Zeitrahmens von 6 Stunden zu melden, was im Gegensatz zu CERT-Eu steht, wo der Zeitrahmen 72 Stunden beträgt. Wir sehen jedoch auch, dass das US-CERT einen Zeitrahmen von 1 Stunde für alle Computersicherheitsvorfälle vorschreibt, an denen a Informationssystem der Bundesregierung mit einem 4-stündigen Follow-up, bis der Vorfall behoben ist. In ähnlicher Weise gilt für Sing-CERT, dass ein reguliertes Unternehmen Cybervorfälle innerhalb von 1 Stunde nach Feststellung eines relevanten Vorfalls bei einem Finanzinstitut der Monetary Authority of Singapore (MAS) melden muss. Für alle anderen Institutionen gilt jedoch die Frist zur Meldung einer Datenschutzverletzung an Singapur Datenschutzkommission (PDPC) beträgt 3 Tage.
Die Analyse des Sicherheitsstatus der Organisation ist von entscheidender Bedeutung, und die Abstimmung der IT-Strategie mit dem gesamten Unternehmen ist heute ein wichtiger Bestandteil der Vorstandsetagen. Große Sektoren stehen nach wie vor vor Herausforderungen bei der Verwaltung und Bekämpfung von Ransomware-Bedrohungen. Die Future Enterprise Resiliency and Spending Survey von IDC, Welle 6, Juli 2021, ergab, dass Ransomware-Vorfälle in Indien (83 %) im Vergleich zu Vorfällen im asiatisch-pazifischen Raum (21 %) deutlich häufiger waren. Dies veranlasste indische Unternehmen dazu, ihre Sicherheitsarchitektur zu überdenken und ihre Internet-Abwehrmechanismen zu stärken. Unternehmen in Indien konzentrieren sich auf die Verbesserung ihrer Cyberabwehrfähigkeiten, indem sie proaktiv in Informationsplattformen zur Bedrohungssuche investieren, z und Ereignisverwaltungstools wie Security Information & Event Management (SIEM) und zugrunde liegende Vorhersagetools und Netzwerksicherheit. Die Investition in Cyber-Resiliency- und Threat-Intelligence-Lösungen wird Unternehmen dabei helfen, objektive Einblicke in ihre Sicherheitsarchitektur zu gewinnen und sich darauf vorzubereiten, Cyber-Angriffe mit minimalen Ausfallzeiten effektiv abzuwehren.
Laut IDCs Future Enterprise Resiliency and Spending Survey, Welle 12, Januar 2022, gaben 44 % der Befragten in Indien an, „das Angehen neuer Datenfreigabe- und Compliance-Regelungen“ als großes Risiko für ihre Technologieinvestitionspläne zu bewerten, gefolgt von 38 % für „Lücken bei der Umsetzung der digitalen Transformation“. “ und 36 % für „Cybersicherheitsbedrohungen und -vorschriften“. Unternehmen in Indien müssen Investitionen in Sicherheit, Governance, Risiko und Compliance (GRC) als grundlegende Ebene zur Gewährleistung der Cyber-Resilienz priorisieren.
MeitY hat es abgelehnt, die 6-Stunden-Frist für die Meldung einer Netzwerkverletzung an Dienstanbieter, Vermittler, Rechenzentren, Körperschaften und Regierungsorganisationen zu lockern. Sie erklärten jedoch, dass sie Klarstellungen zur Erfassung und Aufbewahrung validierter Informationen über Kundenkonten für einen Zeitraum von fünf Jahren bereitstellen werden. Beamte von MeitY erklärten, dass sie 90 Tage nach ihrer Umsetzung eine Überprüfung der auferlegten Anweisungen durchführen würden, um die Herausforderungen anzugehen, mit denen die Industrie bei der Einführung derselben konfrontiert ist. Die Anweisungen wurden am 28. Juni ausgerollt. Allen VPN/VPS, Cloud-Dienstanbietern und KKMU wurde jedoch eine dreimonatige Lockerung gewährt, damit sie ihre Fähigkeiten zur Einhaltung der laufenden CERT-In-Richtlinien ausbauen können. Für sie ist der neue Zeitplan nun der 25. September 2022. Dies geschah, nachdem Rootconf im Namen von KMUs den Zeitmangel hervorgehoben hatte, um die Kapazitäten aufzubauen, die sie zur Einhaltung der neuen Richtlinien benötigen.
Die Cybersicherheitsrichtlinien von CERT-In werden als verwirrend empfunden, da von der Branche einige Bedenken in Bezug auf Zeitrahmen und Durchführbarkeit geäußert wurden. Einerseits versucht CERT-In, strenge Schritte zur Kontrolle von Cybervorfällen im Land zu unternehmen, andererseits bringen die Richtlinien viele Unternehmen in eine schwierige Lage.
VPN-Anbieter sind besorgt, da das Speichern von Kundenprotokollen gegen die Grundethik der gesamten Institution verstößt. Außerdem verfügen sie nicht über Speichersysteme, die diese Datenmenge sammeln und speichern können. Mikro-, kleine und mittlere Unternehmen (KKMU) müssten viel in die Verschmelzung von OT- und IT-Sicherheit an ihrem Ende investieren. Sie müssen sich mit der Konsolidierung von Elementen innerhalb ihrer Sicherheitslage befassen und die Investitionen in Incident-Management- und Threat-Intelligence-Systeme sowie automatisierte Lösungen erhöhen. Alle Unternehmen müssen Sicherheitskontrollen anpassen, die sich auf die Verwaltung von Microservices, APIs und die nahtlose Bereitstellung von Anwendungen über mehrere Plattformen hinweg in einem vernetzten Ökosystem konzentrieren, und über die Nord-Süd-Sicherheit hinausblicken. Sie sollten Lösungen bereitstellen, die agil sind und Anomalien und Bedrohungen sowohl innerhalb als auch außerhalb der Softwarearchitektur vorhersagen und erkennen können.
Die von CERT-In erlassenen Regeln schreiben nicht nur die Meldung von Cybervorfällen in Indien vor, sondern provozieren Unternehmen auch dazu, ihre gesamte IT- und Netzwerksicherheitslandschaft zu überdenken und zu überdenken. Werden die neuen Richtungen von CERT-In eine Hilfe für einen reibungslosen Geschäftsbetrieb in Indien oder eine Hürde sein, muss noch entschieden werden.
— Sakshi Grover, Forschungsmanager, IDC India
FacebookTwitterInstagramKOO-APPYOUTUBE