[ad_1]
La nouvelle directive indienne qui oblige à signaler les incidents de cyberattaque dans les six heures et à stocker les journaux des utilisateurs pendant 5 ans rendra difficile pour les entreprises de faire des affaires dans le pays, 11 organismes internationaux ayant des géants de la technologie comme Google, Facebook et HP, comme l’ont déclaré les membres dans un lettre conjointe au gouvernement. La lettre conjointe rédigée par 11 organisations représentant principalement des entreprises technologiques basées aux États-Unis, en Europe et en Asie a été envoyée au directeur général de l’équipe indienne d’intervention d’urgence informatique (CERT-In), Sanjay Bahl, le 26 mai.
Les organismes internationaux ont exprimé leur inquiétude quant au fait que la directive, telle qu’elle est rédigée, aura un impact néfaste sur la cybersécurité des organisations qui opèrent en Inde et créera une approche décousue de la cybersécurité dans toutes les juridictions, compromettant la posture de sécurité de l’Inde et de ses alliés dans le Quad. pays, Europe et au-delà.
« La nature onéreuse des exigences peut également rendre plus difficile pour les entreprises de faire des affaires en Inde », indique la lettre.
Les organismes mondiaux qui ont exprimé conjointement leur inquiétude comprennent l’Information Technology Industry Council (ITI), l’Asia Securities Industry & Financial Markets Association (ASIFMA), le Bank Policy Institute, BSA – The Software Alliance, la Coalition to Reduce Cyber Risk (CR2), la cybersécurité Coalition, Digital Europe, techUK, US Chamber of Commerce, US-India Business Council et US-India Strategic Partnership Forum.
La nouvelle directive publiée le 28 avril oblige les entreprises à signaler toute cyber-violation au CERT-In dans les six heures suivant sa constatation.
Il oblige les centres de données, les fournisseurs de serveurs privés virtuels (VPS), les fournisseurs de services cloud et les fournisseurs de services de réseaux privés virtuels (VPN) à valider les noms des abonnés et des clients qui embauchent les services, la période d’embauche, le modèle de propriété des abonnés, etc. et à maintenir le enregistrements pendant une période de 5 ans ou plus, conformément à la loi.
Conformément à la directive, les entreprises informatiques doivent conserver toutes les informations obtenues dans le cadre de Know-Your-Customer (KYC) et les enregistrements des transactions financières pendant une période de cinq ans afin d’assurer la cybersécurité dans le domaine des paiements et des marchés financiers pour citoyens.
Les organismes internationaux ont exprimé leur inquiétude quant au délai de 6 heures prévu pour le signalement des incidents cybernétiques et ont exigé qu’il soit porté à 72 heures.
« CERT-In n’a fourni aucune justification quant à la raison pour laquelle le délai de 6 heures est nécessaire, ni proportionné ni aligné sur les normes mondiales. Un tel délai est inutilement bref et ajoute une complexité supplémentaire à un moment où les entités se concentrent de manière plus appropriée sur la tâche difficile de comprendre, de répondre et de remédier à un cyberincident », indique la lettre.
Il a déclaré que dans le cas du mandat de six heures, il est peu probable que les entités disposent de suffisamment d’informations pour déterminer raisonnablement si un cyberincident s’est effectivement produit et justifierait le déclenchement de la notification.
Les organismes internationaux ont déclaré que leurs sociétés membres exploitent des infrastructures de sécurité avancées avec des procédures de gestion des incidents internes de haute qualité, qui donneront des réponses plus efficaces et agiles qu’une instruction gouvernementale concernant un système tiers que CERT-In ne connaît pas.
La lettre conjointe indique que la définition actuelle des incidents à signaler, pour inclure des activités telles que les sondages et les analyses, est beaucoup trop large étant donné que les sondages et les analyses sont des événements quotidiens.
Il a déclaré que la clarification apportée par CERT-In à la directive mentionne que les journaux ne doivent pas être stockés en Inde, mais la directive ne le mentionne pas.
« Même si ce changement est apporté, cependant, nous avons des inquiétudes concernant certains des types de données de journal que le gouvernement indien exige d’être fournies sur demande, car certaines d’entre elles sont sensibles et, si elles sont consultées, pourraient créer un nouveau risque de sécurité en fournissant un aperçu de la posture de sécurité d’une organisation », indique la lettre.
La lettre conjointe indique que les fournisseurs de services Internet collectent généralement des informations sur les clients, mais que l’extension de ces obligations aux fournisseurs de VSP, CSP et VPN est lourde et onéreuse.
« Un fournisseur de centre de données n’attribue pas d’adresses IP. Ce sera une tâche onéreuse pour le fournisseur de centre de données de collecter et d’enregistrer toutes les adresses IP attribuées à leurs clients par les FAI. Cela pourrait être une tâche presque impossible lorsque les adresses IP sont attribuées dynamiquement, » dit la lettre.
Les instances mondiales précisent que le stockage local des données pendant le cycle de vie du client puis pendant cinq ans nécessitera des moyens de stockage et de sécurité dont les coûts devront être répercutés sur le client, qui n’a notamment pas demandé le stockage de ces données. après leur cessation de service.
« Nous partageons l’objectif du gouvernement d’améliorer la cybersécurité. Cependant, nous restons préoccupés par la directive CERT-In, malgré la publication du récent document FAQ destiné à clarifier la directive, car la FAQ n’est pas un document légal, elle n’accorde pas entreprises avec la sécurité juridique nécessaire pour mener leurs activités quotidiennes », a déclaré Courtney Lang, directrice principale de la politique de l’ITI.
Lang a ajouté que la FAQ publiée par le CERT-In ne traite pas des dispositions problématiques, y compris le délai de déclaration de six heures.
« Nous continuons d’exhorter CERT-In à suspendre la mise en œuvre de la directive et à ouvrir une consultation des parties prenantes pour répondre pleinement aux préoccupations exprimées dans la lettre », a déclaré Lang.
[ad_2]
Source link
