Üyeleri arasında Google, Facebook, IBM ve Cisco gibi küresel teknoloji firmaları bulunan ABD merkezli teknoloji endüstrisi kuruluşu ITI, Hindistan hükümetinin siber güvenlik ihlali olaylarının raporlanmasına ilişkin direktifinde revizyon istedi. ITI, yeni görev kapsamındaki hükümlerin kuruluşları olumsuz etkileyebileceğini ve ülkedeki siber güvenliği baltalayabileceğini söyledi.
ITI’nin India Kumar Deep ülke müdürü, 5 Mayıs tarihli CERT-In şefi Sanjay Bahl’a yazdığı bir mektupta, yönergeyi tamamlamadan önce sektörle daha geniş bir paydaş istişaresini istedi.
Deep, “Yönerge, uygun şekilde geliştirilir ve uygulanırsa Hindistan’ın siber güvenlik duruşunu iyileştirme potansiyeline sahiptir, ancak faturadaki verimsiz olay raporlama gereksinimleri de dahil olmak üzere belirli hükümler, Hintli ve küresel işletmeleri olumsuz etkileyebilir ve siber güvenliği baltalayabilir.” Dedi.
Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In) 28 Nisan’da internet servis sağlayıcıları, sosyal medya platformları ve veri merkezleri de dahil olmak üzere tüm devlet ve özel kurumlardan siber güvenlik ihlali olaylarını fark ettikten sonra altı saat içinde kendisine zorunlu olarak bildirmelerini isteyen bir yönerge yayınladı.
CERT-In tarafından yayınlanan yeni genelge, tüm hizmet sağlayıcıları, aracıları, veri merkezlerini, şirketleri ve devlet kuruluşlarını, tüm ICT (Bilgi ve İletişim Teknolojileri) sistemlerinin günlüklerini zorunlu olarak etkinleştirmelerini ve 180 günlük bir döngü boyunca güvenli bir şekilde muhafaza etmelerini zorunlu kılmaktadır. aynısı Hindistan yetki alanı içinde muhafaza edilecektir.
ITI, tüm ICT sistemlerinin günlüklerini etkinleştirmek ve bunları 180 gün boyunca Hindistan yetki alanı içinde tutmak için, ihlal olaylarının fark edilmesinden sonraki altı saat içinde zorunlu olarak bildirilmesi, rapor edilebilir olayların aşırı geniş tanımı ve şirketlerin sunucularına bağlanma gereksinimi hakkında endişelerini dile getirdi. Hindistan devlet kurumları.
Deep, mektupta, kuruluşlara bir olayı küresel en iyi uygulamalara uygun olarak bildirmeleri için yalnızca altı saat değil, 72 saat verilmesi gerektiğini söyledi.
ITI, hükümetin kapsanan tüm kuruluşların bilgi ve iletişim teknolojisi sistemlerinin günlüklerini etkinleştirme, günlükleri Hindistan’da “180 gün boyunca güvenli bir şekilde” tutma ve talep üzerine Hindistan hükümetine sunma yetkisinin en iyi uygulama olmadığını söyledi.
Deep, “Bu tür kayıtlı bilgi depolarını, uygulamak için önemli kaynaklar (hem insan hem de teknik) gerektirmenin yanı sıra, küresel tehdit aktörleri için bir hedef haline getirecektir.” Dedi.
ITI ayrıca, “tüm hizmet sağlayıcılar, aracılar, veri merkezleri, kurumsal ve devlet kuruluşlarının, tüm ICT sistem saatlerinin senkronizasyonu için Hindistan laboratuvarlarının ve diğer kuruluşların NTP sunucularına bağlanması” gerekliliği konusundaki endişelerini dile getirdi.
Küresel organ, hükümlerin şirketlerin güvenlik operasyonlarının yanı sıra sistemlerinin, ağlarının ve uygulamalarının işlevselliğini olumsuz etkileyebileceğini söyledi.
ITI, soruşturma ve taramaların günlük olaylar olduğu düşünüldüğünde, hükümetin mevcut raporlanabilir olay tanımının, araştırma ve tarama gibi faaliyetleri içerecek şekilde çok geniş olduğunu söyledi.
Deep, “Şirketler veya CERT-In için, muhtemelen takip edilmeyecek kadar büyük miktarda önemsiz bilgiyi toplamak, iletmek, almak ve depolamak için zaman harcamak yararlı olmaz” dedi.
ITI, hükümetten yeni direktifin uygulanması için zaman çizelgesini ertelemesini ve etkili bir şekilde uygulanması için tüm paydaşlarla daha geniş bir istişare başlatmasını istedi.
ITI, CERT-In’den “raporlama zaman çizelgesi, kapsanan olayların kapsamı ve günlük verilerinin yerelleştirme gereksinimleri dahil olmak üzere olay raporlama yükümlülüklerine ilişkin ilgili hükümleri ele almak için yönergeyi gözden geçirmesini” talep etti.
