Hindistan’ın siber saldırı olaylarının altı saat içinde rapor edilmesini ve 5 yıl boyunca kullanıcı günlüklerinin saklanmasını zorunlu kılan yeni yönergesi, üyelerin yaptığı açıklamada, Google, Facebook ve HP gibi teknoloji devlerine sahip 11 uluslararası kuruluşun ülkede iş yapmasını zorlaştıracak. hükümete ortak mektup Ağırlıklı olarak ABD, Avrupa ve Asya merkezli teknoloji şirketlerini temsil eden 11 kuruluş tarafından yazılan ortak mektup, 26 Mayıs’ta Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In) genel müdürü Sanjay Bahl’a gönderildi.
Uluslararası organlar, direktifin yazıldığı gibi, Hindistan’da faaliyet gösteren kuruluşlar için siber güvenlik üzerinde zararlı bir etkisi olacağından ve Hindistan’ın ve Dörtlü’deki müttefiklerinin güvenlik duruşunu baltalayarak, yargı alanlarında siber güvenliğe ayrık bir yaklaşım yaratacağından endişelerini dile getirdiler. ülkeler, Avrupa ve ötesi.
Mektupta, “Gereksinimlerin zahmetli doğası, şirketlerin Hindistan’da iş yapmasını da zorlaştırabilir” dedi.
Ortak endişelerini dile getiren küresel kuruluşlar arasında Bilgi Teknolojileri Endüstri Konseyi (ITI), Asya Menkul Kıymetler Endüstrisi ve Finansal Piyasalar Birliği (ASIFMA), Banka Politikası Enstitüsü, BSA – The Software Alliance, Coalition to Prevention Cyber Risk (CR2), Cybersecurity Coalition, Digital Europe, techUK, ABD Ticaret Odası, ABD-Hindistan İş Konseyi ve ABD-Hindistan Stratejik Ortaklık Forumu.
28 Nisan’da yayınlanan yeni yönerge, şirketlerin herhangi bir siber ihlali, bunu fark ettikten sonra altı saat içinde CERT-In’e bildirmelerini zorunlu kılıyor.
Veri merkezlerini, sanal özel sunucu (VPS) sağlayıcılarını, bulut hizmeti sağlayıcılarını ve sanal Özel Ağ (VPN) hizmet sağlayıcılarını, hizmetleri kiralayan abonelerin ve müşterilerin adlarını, işe alma sürelerini, abonelerin sahiplik modelini vb. doğrulamak ve sürdürmek için zorunlu kılar. Yasanın gerektirdiği şekilde 5 yıl veya daha uzun bir süre için kayıtlar.
Yönergeye göre, BT şirketlerinin, ödemeler ve finansal piyasalar alanında vatandaşlar için siber güvenliği sağlamak için Müşterini Tanı (KYC) kapsamında elde edilen tüm bilgileri ve finansal işlem kayıtlarını beş yıl boyunca saklaması gerekiyor.
Uluslararası kuruluşlar, siber olay raporlaması için sağlanan 6 saatlik zaman çizelgesiyle ilgili endişelerini dile getirdiler ve bu sürenin 72 saate çıkarılmasını talep ettiler.
“CERT-In, 6 saatlik zaman çizelgesinin neden gerekli olduğuna veya küresel standartlarla orantılı veya uyumlu olmadığına dair herhangi bir gerekçe sunmadı. Böyle bir zaman çizelgesi gereksiz yere kısadır ve varlıkların daha uygun bir şekilde odaklandığı bir zamanda ek karmaşıklık enjekte eder. Bir siber olayı anlamak, yanıtlamak ve düzeltmek zor bir görev” dedi.
Altı saatlik görev süresi durumunda, kuruluşların, bildirimin tetiklenmesini gerektirecek bir siber olayın gerçekten meydana gelip gelmediğine dair makul bir karar vermek için yeterli bilgiye sahip olmalarının muhtemel olmadığı belirtildi.
Uluslararası kuruluşlar, üye şirketlerinin, CERT-In’in aşina olmadığı bir üçüncü taraf sistemle ilgili hükümet tarafından yönlendirilen bir talimattan daha verimli ve çevik yanıtlar verecek yüksek kaliteli dahili olay yönetimi prosedürlerine sahip gelişmiş güvenlik altyapıları işlettiğini söyledi.
Ortak mektupta, araştırma ve tarama gibi faaliyetleri içerecek şekilde, rapor edilebilir olayların mevcut tanımının, incelemeler ve taramaların günlük olaylar olduğu düşünüldüğünde çok geniş olduğu belirtildi.
CERT-In tarafından direktife yapılan açıklamanın, günlüklerin Hindistan’da saklanmasının gerekli olmadığını belirttiğini, ancak direktifin bundan bahsetmediğini söyledi.
“Ancak bu değişiklik yapılsa bile, Hindistan hükümetinin talep üzerine sağlanmasını istediği bazı günlük verisi türleri hakkında endişelerimiz var, çünkü bazıları hassas ve erişilirse yeni güvenlik riski oluşturabilir. Bir kuruluşun güvenlik duruşuna ilişkin içgörü” dedi.
Ortak mektup, internet servis sağlayıcılarının genellikle müşteri bilgilerini topladığını, ancak bu yükümlülükleri VSP, CSP ve VPN sağlayıcılarına genişletmenin külfetli ve zahmetli olduğunu söyledi.
“Bir veri merkezi sağlayıcısı IP adresi atamaz. Veri merkezi sağlayıcısının müşterilerine ISP’ler tarafından atanan tüm IP adreslerini toplaması ve kaydetmesi zahmetli bir iş olacaktır. IP adresleri dinamik olarak atandığında bu neredeyse imkansız bir görev olabilir, ” dedi mektup.
Küresel kuruluşlar, verilerin müşterinin yaşam döngüsü boyunca ve daha sonra beş yıl süreyle yerel olarak depolanmasının, maliyetlerin müşteriye aktarılması gereken depolama ve güvenlik kaynakları gerektireceğini ve özellikle bu verilerin depolanmasını istemeyen müşteriye aktarılacağını söyledi. hizmet sonlandırıldıktan sonra.
“Hükümetin siber güvenliği geliştirme hedefini paylaşıyoruz. Ancak, SSS yasal bir belge olmadığı için, yönergeyi açıklığa kavuşturmayı amaçlayan son SSS belgesinin yayınlanmasına rağmen, CERT-In yönergesi konusunda endişeliyiz. ITI’nin politikadan sorumlu kıdemli direktörü Courtney Lang, “gündelik işleri yürütmek için gereken yasal kesinliğe sahip şirketler” dedi.
Lang ayrıca, CERT-In tarafından yayınlanan SSS’nin altı saatlik raporlama zaman çizelgesi de dahil olmak üzere sorunlu hükümleri ele almadığını söyledi.
Lang, “CERT-In’i direktifin uygulanmasını durdurmaya ve mektupta belirtilen endişeleri tam olarak ele almak için bir paydaş istişaresine açmaya teşvik etmeye devam ediyoruz.” dedi.