Google und Big Tech verkünden neue Cyber-Sicherheitsregel, um die Geschäftstätigkeit in Indien zu erschweren

Indiens neue Richtlinie, die die Meldung von Cyberangriffsvorfällen innerhalb von sechs Stunden und die Speicherung von Benutzerprotokollen für 5 Jahre vorschreibt, wird es Unternehmen erschweren, in dem Land Geschäfte zu machen, 11 internationale Gremien haben Technologiegiganten wie Google, Facebook und HP, wie Mitglieder in a Gemeinsamer Brief an die Regierung. Der gemeinsame Brief von 11 Organisationen, die hauptsächlich Technologieunternehmen mit Sitz in den USA, Europa und Asien vertreten, wurde am 26. Mai an Sanjay Bahl, Generaldirektor des indischen Computer Emergency Response Teams (CERT-In), gesendet.

Die internationalen Gremien haben ihre Besorgnis darüber geäußert, dass die Richtlinie in ihrer schriftlichen Form nachteilige Auswirkungen auf die EU haben wird Internet-Sicherheit für Organisationen, die in Indien tätig sind, und schaffen einen unzusammenhängenden Ansatz für die Cybersicherheit in allen Gerichtsbarkeiten, wodurch die Sicherheitslage Indiens und seiner Verbündeten in den Quad-Ländern, Europa und darüber hinaus untergraben wird.

„Die belastende Art der Anforderungen kann es Unternehmen auch erschweren, in Indien Geschäfte zu machen“, heißt es in dem Schreiben.

Zu den globalen Gremien, die gemeinsam Bedenken geäußert haben, gehören der Information Technology Industry Council (ITI), die Asia Securities Industry & Financial Markets Association (ASIFMA), das Bank Policy Institute, BSA – The Software Alliance, die Coalition to Reduce Cyber ​​Risk (CR2), die Cybersecurity Coalition, Digital Europe, techUK, US-Handelskammer, US-India Business Council und US-India Strategic Partnership Forum.

Die neue Richtlinie, die am 28. April erlassen wurde, verpflichtet Unternehmen, jeden Cyber-Verstoß zu melden CERT-In innerhalb von sechs Stunden, nachdem Sie es bemerkt haben.

Es schreibt Rechenzentren vor, virtueller privater Server (VPS) Anbieter, Cloud Service Anbieter und virtuelles privates Netzwerk (VPN)-Dienstanbieter, um die Namen der Abonnenten und Kunden, die die Dienste in Anspruch nehmen, den Zeitraum der Anmietung, das Eigentumsmuster der Abonnenten usw. zu validieren und die Aufzeichnungen für einen Zeitraum von 5 Jahren oder länger aufzubewahren, wie gesetzlich vorgeschrieben.

Gemäß der Richtlinie müssen IT-Unternehmen alle im Rahmen von erhaltenen Informationen aufbewahren Kenne deinen Kunden (KYC) und Aufzeichnungen von Finanztransaktionen für einen Zeitraum von fünf Jahren zur Gewährleistung der Cybersicherheit im Bereich Zahlungsverkehr und Finanzmärkte für die Bürgerinnen und Bürger.

Die internationalen Gremien haben Bedenken hinsichtlich der 6-Stunden-Frist für die Meldung von Cyber-Vorfällen geäußert und gefordert, dass sie auf 72 Stunden verlängert werden sollte.

„CERT-In hat weder begründet, warum der 6-Stunden-Zeitrahmen notwendig ist, noch ist er verhältnismäßig oder an globalen Standards ausgerichtet. Ein solcher Zeitrahmen ist unnötig kurz und führt zu einer Zeit, in der Unternehmen besser im Mittelpunkt stehen, zusätzliche Komplexität die schwierige Aufgabe, einen Cyber-Vorfall zu verstehen, darauf zu reagieren und ihn zu beheben“, heißt es in dem Brief.

Im Falle des Sechs-Stunden-Mandats werden die Unternehmen auch wahrscheinlich nicht über ausreichende Informationen verfügen, um angemessen festzustellen, ob tatsächlich ein Cyber-Vorfall aufgetreten ist, der die Auslösung der Benachrichtigung rechtfertigen würde.

Die internationalen Gremien sagten, dass ihre Mitgliedsunternehmen fortschrittliche Sicherheitsinfrastrukturen mit hochwertigen internen Vorfallmanagementverfahren betreiben, die effizientere und agilere Reaktionen ermöglichen als eine von der Regierung angeordnete Anweisung zu einem Drittsystem, mit dem CERT-In nicht vertraut ist.

In dem gemeinsamen Schreiben heißt es, dass die derzeitige Definition von meldepflichtigen Vorfällen, die Aktivitäten wie Sondieren und Scannen umfasst, viel zu weit gefasst ist, da Sondierungen und Scans alltägliche Vorkommnisse sind.