グローバルテクノロジー業界の組織は、サイバーセキュリティ侵害の報告に関するインドの指令の改訂を求めています

Google、Facebook、IBM、Ciscoなどのグローバルなテクノロジー企業をメンバーとして持っている米国のテクノロジー業界のボディITIは、サイバーセキュリティ違反事件の報告に関するインド政府の指令の改訂を求めています。 ITIは、新しい任務に基づく規定が組織に悪影響を及ぼし、国内のサイバーセキュリティを損なう可能性があると述べました。

5月5日付けのCert-In Sanjay Bahlへの手紙で、インドKumar DeepのITIカントリーマネージャーは、指令を最終決定する前に業界とのより広い利害関係者の協議を求めました。

「指令は、適切に開発および実施された場合、インドのサイバーセキュリティの姿勢を改善する可能性がありますが、逆効果的なインシデント報告要件を含む法案の特定の規定は、インドおよびグローバル企業に悪影響を及ぼし、サイバーセキュリティを損なう可能性があります」とDeep氏は述べています。

インドのコンピューター緊急対応チーム（CERT-IN）は4月28日に、インターネットサービスプロバイダー、ソーシャルメディアプラットフォーム、データセンターを含むすべての政府および民間機関に、6時間以内にサイバーセキュリティ侵害のインシデントを強制的に報告するよう指示しました。 。

CERTINが発行した新しい回覧は、すべてのサービスプロバイダー、仲介者、データセンター、企業、政府組織が、すべてのICT（情報通信技術）システムのログを強制的に有効にし、180日間のローリング期間、およびしっかりと維持することを義務付けています。同じことがインドの管轄内で維持されるものとします。

ITIは、すべてのICTシステムのログを有効にし、180日間インドの管轄内でそれらを維持するために、気づいてから6時間以内に違反事件の強制報告について懸念を提起しました。インド政府機関。

深い手紙で、組織は、6時間ではなく、グローバルなベストプラクティスに沿った事件を報告するために72時間を与えなければならないと述べた。

ITIは、対象のすべてのエンティティの情報通信技術システムのログを有効にし、インド内でログを「180日間のローリング期間」にしっかりと維持し、リクエストに応じてインド政府が利用できるようにするという政府の任務は、ベストプラクティスではないと述べました。

「ログに登録された情報のこのようなリポジトリは、実装するために重要なリソース（人間と技術の両方）を要求することに加えて、グローバルな脅威アクターのターゲットになります」とDeep氏は述べています。

ITIはまた、「すべてのサービスプロバイダー、仲介者、データセンター、身体企業、政府組織が、すべてのICTシステムクロックの同期のためにインドのラボおよびその他のエンティティのNTPサーバーに接続するものとする」という要件についても提起しました。

グローバル団体は、この規定は、企業のセキュリティ業務と、システム、ネットワーク、アプリケーションの機能に悪影響を与える可能性があると述べました。

ITIは、調査やスキャンなどの活動を含めるための報告可能な事件の政府の現在の定義は、プローブとスキャンが日常の出来事であることを考えると、あまりにも広くなりすぎると述べました。

「企業やCert-Inが、間違いなくフォローアップされないような大量の取るに足らない情報の収集、送信、受け取り、保存に時間を費やすことは役に立たないでしょう」とDeepは言いました。

ITIは、政府に新しい指令の実施のためのタイムラインを延期し、その効果的な実施のためにすべての利害関係者とより広範な協議を開始するよう求めました。

ITIは、「報告のタイムライン、対処されたインシデントの範囲、データローカリゼーション要件の伐採に関連するインシデント報告義務に関する条項に対処するための指令を修正するよう指令を修正する」と要求した。