L'organismo del settore tecnologico globale cerca la revisione nella direttiva dell'India sulla segnalazione della violazione della sicurezza informatica

L'organismo del settore tecnologico con sede negli Stati Uniti ITI, con aziende tecnologiche globali come Google, Facebook, IBM e Cisco come membri, ha cercato una revisione nella direttiva del governo indiano sulla segnalazione di incidenti di violazione della sicurezza informatica. ITI ha affermato che le disposizioni ai sensi del nuovo mandato potrebbero avere un impatto negativo sulle organizzazioni e minare la sicurezza informatica nel paese.

Il country Manager ITI per India Kumar Deep, in una lettera al capo del CERT-in Sanjay Bahl, datato 5 maggio, ha chiesto una più ampia consultazione delle parti interessate con l'industria prima di finalizzare la direttiva.

"La direttiva ha il potenziale per migliorare la postura della sicurezza informatica dell'India se sviluppata e attuata in modo appropriato, tuttavia, alcune disposizioni nel disegno di legge, comprese i requisiti di segnalazione degli incidenti controproducenti, possono avere un impatto negativo sulle imprese indiane e globali e minare la sicurezza informatica", ha affermato Deep.

Il team di risposta alle emergenze del computer indiano (CERT-in) il 28 aprile ha emesso una direttiva chiedendo a tutti i governi e agenzie privati, tra cui fornitori di servizi Internet, piattaforme di social media e data center, per denunciare obbligatoriamente incidenti di violazione della sicurezza informatica entro sei ore dal loro notato anno.

La nuova circolare emessa dal certificato manda tutti i fornitori di servizi, gli intermediari, i data center, le società e le organizzazioni governative per consentire mandanti i registri di tutti i loro sistemi ICT (Information and Communication Technology) e mantenerli in modo sicuro per un periodo di rotazione di 180 giorni e Lo stesso deve essere mantenuto all'interno della giurisdizione indiana.

ITI ha sollevato preoccupazioni per la segnalazione obbligatoria di incidenti di violazione entro sei ore dall'attenzione, per consentire i registri di tutti i sistemi ICT e mantenerli all'interno della giurisdizione indiana per 180 giorni, la definizione eccessiva di incidenti segnalabili e il requisito che le aziende si collegano ai server dei server Entità governative indiane.

In profondità, nella lettera, ha affermato che alle organizzazioni deve essere data 72 ore per denunciare un incidente in linea con le migliori pratiche globali e non solo sei ore.

ITI ha affermato che il mandato del governo per consentire i registri di tutti i sistemi di tecnologia di informazione e comunicazione delle entità coperte, mantenere i registri "in modo sicuro per un periodo di rotazione di 180 giorni" in India e renderli disponibili al governo indiano su richiesta non è una pratica.

"Renderebbe tali repository di informazioni registrate un obiettivo per gli attori delle minacce globali, oltre a richiedere risorse significative (sia umane che tecniche) da attuare", ha affermato Deep.

ITI ha inoltre sollevato preoccupazione per il requisito che "tutti i fornitori di servizi, gli intermediari, i data center, le organizzazioni corporative e governative devono connettersi ai server NTP dei laboratori indiani e di altre entità per la sincronizzazione di tutti i loro orologi di sistemi ICT".

L'organismo globale ha affermato che le disposizioni potrebbero influire negativamente sulle operazioni di sicurezza delle aziende, nonché la funzionalità dei loro sistemi, reti e applicazioni.

ITI ha affermato che l'attuale definizione del governo di incidente da segnalare per includere attività come sondaggio e scansione è troppo ampia date sonde e le scansioni sono eventi quotidiani.

"Non sarebbe utile per le aziende o per il certificato trascorrere del tempo a raccogliere, trasmettere, ricevere e memorizzare un volume così elevato di informazioni insignificanti che probabilmente non saranno seguite", ha detto Deep.

ITI ha chiesto al governo di rinviare la sequenza temporale per l'attuazione della nuova direttiva e di lanciare una consulenza più ampia con tutte le parti interessate per la sua efficace attuazione.

ITI ha richiesto la certificazione per "rivedere la direttiva per affrontare le disposizioni relative alle disposizioni in merito agli obblighi di rendicontazione degli incidenti, compresi i relativi alla sequenza temporale di rendicontazione, l'ambito di incidenti coperti e i requisiti di localizzazione dei dati di registrazione".