Os requisitos do CERT-In podem dificultar os negócios na Índia: agrupamentos globais
Em uma carta para Sanjay BahlDiretor Geral da CERT-In (Equipe Indiana de Resposta a Emergências de Computadores) na quinta-feira, co-assinado por órgãos como Câmara de Comércio dos EUA, Conselho Empresarial EUA-Índia, Fórum de Parceria Estratégica EUA-Índia e techUK e outros, eles disseram que os requisitos do CERT-In também podem torná-lo mais difícil para as empresas fazerem negócios na Índia.
Isso criará uma abordagem desarticulada à segurança cibernética em todas as jurisdições, o que, por sua vez, prejudicará a postura de segurança da Índia e seus aliados nos países Quad (Japão, Austrália, Índia e EUA), Europa e além, a carta – revisada por ET – declarado.
Ele também apontou que as perguntas frequentes divulgadas recentemente pelo órgão de vigilância de segurança cibernética não têm força de lei e não oferecem garantia suficiente para empresas que operam na Índia.
“Se não forem abordadas, essas disposições terão um impacto adverso significativo nas organizações que operam na Índia sem nenhum benefício proporcional à segurança cibernética”, disseram os agrupamentos.
Entre os requisitos controversos estão o mandato para relatar incidentes de segurança cibernética dentro de um prazo de 6 horas e o que a carta denominou como a definição ‘excessiva’ de incidentes reportáveis.
Além disso, ele disse que a exigência de que as empresas forneçam logs confidenciais ao CERT-In e respondam a um incidente conforme determinado pela agência também está despertando o alarme. Também destacou a exigência de provedores de serviços virtuais (VSP), provedores de serviços em nuvem (CSP) e provedores de rede privada virtual (VPN) registrarem certas informações de assinantes por pelo menos 5 anos após o cancelamento do serviço como uma área de preocupação.
Abordagem fragmentada
“Os requisitos técnicos apresentados na diretiva tornarão a segurança cibernética pior, não melhor”, disse Ari Schwartz, Coordenador da Coalizão de Segurança Cibernética. menos seguro”.
As outras associações incluem a Asia Securities Industry & Financial Markets Association (ASIFMA), Bank Policy Institute, BSA – The Software Alliance, Coalition to Reduce Cyber Risk (CR2), Cybersecurity Coalition, Digital Europe e Information Technology Industry Council (ITI). As associações representam uma ampla seção transversal da indústria, abrangendo empresas de diferentes tamanhos, diferentes setores e de países como UE, Reino Unido e EUA.
Eles também destacaram que o envolvimento das partes interessadas é um ‘elemento crucial da política regulatória’, particularmente relevante em áreas altamente técnicas e impactantes da formulação de políticas, como a segurança cibernética.
“Estamos ansiosos para nos envolver mais com você em relação a essas preocupações e respeitosamente encorajamos você a adiar a data efetiva da Diretiva e os requisitos de implementação associados para as disposições subjacentes até que novas consultas com as partes interessadas tenham ocorrido”, disseram as associações.
Os agrupamentos da indústria também solicitaram que o CERT-In removesse a disposição que exige conexão com servidores NTP, ao mesmo tempo em que incentiva a agência a estabelecer um ‘cronograma viável de relatório de incidentes’ de pelo menos 72 horas.
Ele também sinalizou preocupações sobre a exigência de fornecer dados de log volumosos, dizendo que isso imporá um enorme fardo às equipes de segurança das organizações em um ambiente onde os recursos de segurança (incluindo pessoal) são valiosos.
FacebookTwitterLinkedin
Source link
