Nouvelle règle de cybersecurite pour rendre les affaires en Inde plus difficiles, disons les organismes technologiques mondiaux

La nouvelle directive de l’Inde qui impose le rapport sur les incidents de cyberattaque dans les six heures et le stockage des journaux des utilisateurs pendant 5 ans, il est difficile pour les entreprises de faire des affaires dans le pays, 11 organismes internationaux ayant des géants de la technologie comme Google, Facebook et HP, comme les membres ont déclaré dans un lettre conjointe au gouvernement.

La lettre conjointe écrite par 11 organisations qui représente principalement des sociétés technologiques basées aux États-Unis, en Europe et en Asie a été envoyée au directeur général de l’équipe d’intervention d’urgence informatique indienne (CERT-IN) Sanjay Bahl le 26 mai.

Les organismes internationaux se sont exprimés préoccupés par le fait que la directive, telle qu’elle a été écrite, aura un impact préjudiciable sur la cybersécurité pour les organisations qui opèrent en Inde et créent une approche décousue de la cybersécurité à travers les juridictions, sapant la posture de sécurité de l’Inde et ses alliés dans le Pays Quad, Europe et au-delà.

« La nature onéreuse des exigences peut également rendre les entreprises plus difficiles à faire des affaires en Inde », a indiqué la lettre.

Regardez le film indien VANAJA, primé plusieurs fois (French)

Les organismes mondiaux qui ont exprimé conjointement les inquiétudes comprennent le Conseil de l’industrie des technologies de l’information (ITI), Asia Securities Industry & Financial Markets Association (ASIFMA), Bank Policy Institute, BSA-the Software Alliance, Coalition to Reding Cyber Risk (CR2), Cybersecurity Coalition, Digital Europe, Techuk, US Chamber of Commerce, US-India Business Council et US-India Strategic Partnership Forum.

La nouvelle directive publiée le 28 avril oblige les entreprises à signaler toute cyber violation à un certificat dans les six heures suivant le remarquer.

Il oblige les centres de données, les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services cloud et les fournisseurs de services de réseau privé virtuel (VPN) pour valider les noms des abonnés et des clients embauchant les services, période d’embauche, modèle de propriété des abonnés, etc. et maintiennent les enregistrements pendant une période de 5 ans ou plus de durée comme mandaté par la loi.

Conformément à la directive, les sociétés informatiques doivent maintenir toutes les informations obtenues dans le cadre de Know-your-Customer (KYC) et des enregistrements des transactions financières pendant une période de cinq ans afin d’assurer la cybersécurité dans le domaine des paiements et des marchés financiers pour citoyens.

Les organismes internationaux ont fait preuve de préoccupation concernant le calendrier de 6 heures prévu pour les rapports sur les incidents et ont exigé qu’il soit porté à 72 heures.

« Le certificateur n’a fourni aucune justification de la raison pour laquelle le calendrier de 6 heures est nécessaire, ni proportionné ou aligné sur les normes mondiales. La tâche difficile de comprendre, de répondre et de corriger un cyber-incident « , a indiqué la lettre.

Il a déclaré que dans le cas du mandat de six heures, les entités auront également peu probable les informations suffisantes pour déterminer raisonnable si un cyber incident s’est en fait produit qui justifierait le déclenchement de la notification.

Les organismes internationaux ont déclaré que leurs sociétés membres exploitent des infrastructures de sécurité avancées avec des procédures de gestion des incidents internes de haute qualité, ce qui donnera des réponses plus efficaces et agiles qu’un instruction dirigé par le gouvernement concernant un système tiers que le certificat ne connaît pas.

La lettre conjointe a déclaré que la définition actuelle des incidents à déclarer, pour inclure des activités telles que le sondage et la numérisation, est beaucoup trop large étant donné que les sondes et les analyses sont des événements quotidiens.

Il a déclaré que la clarification fournie par le certificat à la directive mentionne que les journaux ne sont pas tenus d’être stockés en Inde, mais la directive ne le mentionne pas.

« Même si ce changement est apporté, cependant, nous avons des inquiétudes concernant certains des types de données logarithmiques dont le gouvernement indien nécessite sur demande, car certaines d’entre elles sont sensibles Aperçu de la posture de sécurité d’une organisation « , a indiqué la lettre.

La lettre conjointe a indiqué que les fournisseurs de services Internet collectent généralement des informations sur les clients, mais que l’extension de ces obligations envers les fournisseurs de VSP, CSP et VPN est lourde et onéreuse.

« Un fournisseur de centres de données n’attribue pas d’adresses IP. Il sera une tâche onéreuse pour le fournisseur de centres de données de collecter et d’enregistrer toutes les adresses IP attribuées à leurs clients par les FAI. Cela pourrait être une tâche presque impossible lorsque les adresses IP sont attribuées dynamiquement, « Dit la lettre.

Les organes mondiaux ont déclaré que le stockage des données localement pour le cycle de vie du client et par la suite pendant cinq ans nécessitera des ressources de stockage et de sécurité pour lesquelles les coûts doivent être répercutés au client, qui n’a notamment pas demandé que ces données soient stockées Après leur résiliation de service.

« Nous partageons l’objectif du gouvernement d’améliorer la cybersécurité. Cependant, nous restons préoccupés par la directive du certificat, malgré la publication du récent document FAQ destiné à clarifier la directive,

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.