一个代表全球大型科技公司的行业组织要求印度电子信息技术部放宽要求公司在6小时内披露安全事件的网络安全指令的规定。
该游说团体BSA代表微软、亚马逊网络服务公司、IBM、思科和Zoom等公司。它要求政府暂停该指令的执行(将于本月晚些时候执行),直到将澄清纳入文本本身。
BSA在其网站上发布了一份发给印度城市生活中心的信件副本。请注意,BSA没有VPN提供商作为成员,其中一些正在考虑从印度撤出服务器,以回应这些规定。ExpressVPN已经做到了这一点。
BSA认为,要求事故在6小时内披露——这一严格的时间安排在其他国家几乎没有先例——会适得其反。BSA说,在事件发生后的24-72小时内,“一个组织对事件原因和范围的理解和证据往往是模糊和不稳定的。”
“72小时的时间允许报告机构识别信息,以帮助事件调查和应对,包括部署防御措施,并将确保提供的信息是基于事实,而不是最初的猜测。”
BSA还表示,行业需要更多的时间来保存用户数据的记录,并要求城市网减少行业从用户那里收集的信息范围。
值得注意的是,目前云服务提供商的入职实践包括收取付款、联系方式和基于OTP的确认,这应该被认为是足够的。电话号码和信用卡已经有与之相关的KYC程序,进一步的验证将是重复的。BSA在信中说。该指令要求公司保留所有用户的信息,以便在发生黑客入侵时向印度计算机应急响应小组提供信息。
最后,BSA表示,使用云服务的客户企业应该向印度IT部注册,并提供事故通知。BSA表示:“只有受影响的、面向最终用户的实体将知道影响,它将能够与CERT-In共享适当质量的事件信息。”
BSA表示:“最终,如果在与业界协商的情况下,将澄清纳入《指示》的努力,以及对上述问题的进一步考虑,将是最有成效的。”
6小时合规要求似乎假定网络安全风险和攻击是那种涉及线下世界的攻击。网络攻击可以在几个月的时间内计划和执行,甚至可以在公司不知情的情况下激活和停用,这显然完全逃脱了政府规则制定者的控制。
版权声明| 所有原创内容,未经授权,
禁止下载、转载使用
版权联系|www.draphant.com
· 竺道
关注印度商业和投资动态
微信号:zd_review