6時間以内にサイバー攻撃事件の報告を義務付け、ユーザーのログを5年間保存することを義務付けるインドの新しい指令は、企業が国内でビジネスを行うことを困難にします。政府への共同書簡。
主に米国、ヨーロッパ、アジアに拠点を置くテクノロジー企業を代表する11の組織によって書かれた共同書簡は、5月26日にインドのコンピューター緊急対応チーム(CERT-IN)局長のSanjay Bahl局に送られました。
国際団体は、書面による指令がインドで活動する組織のサイバーセキュリティに有害な影響を与えることを懸念しており、管轄区域全体でサイバーセキュリティに対するばらばらのアプローチを作成し、インドとその同盟国のセキュリティ姿勢を損なうことを懸念しています。四方諸国、ヨーロッパなど。
「要件の面倒な性質は、企業がインドでビジネスを行うことをより困難にする可能性がある」と手紙は述べた。
共同で懸念を表明しているグローバル機関には、情報技術産業評議会(ITI)、アジア証券産業&金融市場協会(ASIFMA)、BSA-The Software Alliance、Coalition To Sequire Risk(CR2)、Cybersecurity Coalition、Cybersecurity Coalition、 Digital Europe、Techuk、米国商工会議所、米国インドビジネス評議会、米国インド戦略的パートナーシップフォーラム。
4月28日に発行された新しい指令は、企業に、6時間以内にサイバー違反を証明することを報告することを義務付けています。
データセンター、仮想プライベートサーバー(VPS)プロバイダー、クラウドサービスプロバイダー、仮想プライベートネットワーク(VPN)サービスプロバイダーに、サービスを雇用している加入者と顧客の名前を検証し、雇用期間、購読者の所有パターンなどを検証し、記録を維持することを義務付けています。法律で義務付けられている5年以上の期間。
指令に従って、IT企業は、支払いおよび金融市場の分野でサイバーセキュリティを確保するために、5年間の知識顧客(KYC)および金融取引の記録の一部として取得したすべての情報を維持する必要があります。市民。
国際機関は、サイバーインシデントの報告に提供された6時間のタイムラインについて懸念を提起し、72時間に増やすことを要求しました。
「CERTINは、6時間のタイムラインが必要な理由についても理論的根拠を提供していません。また、グローバル基準に比例したり、整合したりしていません。そのようなタイムラインは不必要に簡潔であり、エンティティがより適切に焦点を当てているときに追加の複雑さを注入します。サイバー事件を理解し、応答し、是正するという困難な課題」と手紙は述べた。
6時間の任務の場合、エンティティは、通知のトリガーを保証するサイバーインシデントが実際に発生したかどうかを合理的に決定するのに十分な情報を持つ可能性も低いと述べました。
国際機関は、メンバー企業が高品質の内部インシデント管理手順を備えた高度なセキュリティインフラストラクチャを運営していると述べました。
共同書簡は、調査やスキャンなどの活動を含めるために、報告可能な事件の現在の定義は、プローブとスキャンが日常的に発生することを考えると、あまりにも広すぎると述べています。
指令にCert-Inによって提供された明確化は、ログはインドに保存する必要はないが、指令はそれについて言及していないと述べた。
「しかし、この変更が行われたとしても、インド政府が要求に応じて提供されることを要求するログデータの種類のいくつかについて懸念があります。組織のセキュリティ姿勢に関する洞察」と手紙は述べた。
共同書簡は、インターネットサービスプロバイダーが一般的に顧客情報を収集しますが、これらの義務をVSP、CSP、およびVPNプロバイダーに拡大することは負担で面倒であると述べています。
「データセンタープロバイダーはIPアドレスを割り当てません。データセンタープロバイダーがISPによって顧客に割り当てられたすべてのIPアドレスを収集および記録するのは面倒なタスクになります。これは、IPアドレスが動的に割り当てられている場合、ほぼ不可能なタスクになる可能性があります。 「手紙は言った。
グローバル団体は、顧客のライフサイクルのためにデータをローカルに保存すると、その後5年間データを保存するには、このデータを保存するように要求していない顧客にコストを渡す必要があるストレージとセキュリティリソースが必要になると述べました。サービス終了後。
「サイバーセキュリティを改善するという政府の目標を共有しています。しかし、指令を明確にすることを目的とした最近のFAQS文書のリリースにもかかわらず、CERTIN指令について懸念を抱いています。