Ke PTI

New Delhi: ITI, kelompok industri teknologi yang berbasis di AS dari perusahaan teknologi global seperti Google, Facebook, IBM dan Cisco, menyerukan revisi arahan Pemerintah India tentang pelaporan pelanggaran keamanan siber.

ITI mengatakan ketentuan berbasis mandat baru dapat mempengaruhi organisasi dan merusak keamanan siber domestik.

Country Manager ITI Indokumardeep dalam sebuah surat kepada CERT-Chief San Jaibar, tertanggal 5 Mei, menyerukan konsultasi dengan pemangku kepentingan yang lebih luas dengan industri sebelum menyelesaikan arahan.

“Sementara arahan ini, jika dikembangkan dan diterapkan dengan benar, dapat meningkatkan rezim keamanan siber India, ketentuan tertentu dari RUU tersebut, termasuk persyaratan pelaporan insiden yang merugikan, berdampak buruk bagi perusahaan di India dan di seluruh dunia. Dan dapat membahayakan keamanan siber,” kata Deep.

Tim Tanggap Darurat Komputer India (CERT-In) mengeluarkan insiden pelanggaran keamanan siber pada 28 April kepada semua lembaga pemerintah dan swasta, termasuk penyedia layanan Internet, platform media sosial, dan pusat data, dalam waktu enam jam setelah pemberitahuan. Kami telah mengeluarkan arahan meminta laporan wajib. mereka.

Dalam sirkulasi baru yang diterbitkan oleh CERT-In, semua penyedia layanan, perantara, pusat data, perusahaan, dan lembaga pemerintah akan memaksa pencatatan semua sistem TIK (Teknologi Informasi dan Komunikasi) selama 180 hari. periode bergulir. Hal yang sama harus dipertahankan dalam yurisdiksi India.

ITI berkewajiban untuk melaporkan insiden pelanggaran dalam waktu 6 jam setelah pemberitahuan, untuk mengaktifkan pencatatan untuk semua sistem TIK dan memeliharanya dalam yurisdiksi India selama 180 hari, definisi luas dari insiden yang dapat dilaporkan, dan Perusahaan adalah lembaga pemerintah India.

Jauh di dalam surat itu, organisasi tersebut menyatakan bahwa harus diberikan waktu 72 jam untuk melaporkan sebuah insiden sesuai dengan praktik terbaik global, bukan hanya 6 jam.

ITI akan memungkinkan pencatatan sistem teknologi informasi dan komunikasi untuk semua entitas yang memenuhi syarat, memelihara log “dengan aman selama periode bergulir 180 hari” di India, dan membuat log tersedia untuk Pemerintah India sesuai permintaan. Dia mengatakan kewajiban pemerintah untuk melakukannya bukanlah praktik terbaik.

“Penyimpanan informasi yang dicatat seperti itu merupakan target bagi pelaku ancaman global, selain membutuhkan sumber daya yang signifikan (baik manusia maupun teknis) untuk diterapkan,” kata Deep.

ITI juga mengharuskan “semua penyedia layanan, perantara, pusat data, perusahaan dan lembaga pemerintah terhubung ke server NTP di laboratorium India dan entitas lain untuk sinkronisasi semua jam sistem TIK.” Menyatakan keprihatinan tentang.

Badan-badan global telah menyatakan bahwa ketentuan ini dapat mempengaruhi tidak hanya operasi keamanan perusahaan, tetapi juga fungsi sistem, jaringan dan aplikasi.

ITI mengatakan definisi pemerintah saat ini tentang insiden yang dapat dilaporkan, termasuk kegiatan seperti investigasi dan pemindaian, terlalu luas untuk investigasi dan pemindaian rutin.

“Untuk bisnis dan CERT-In, menghabiskan waktu mengumpulkan, mengirim, menerima, dan menyimpan sejumlah besar informasi tidak penting yang mungkin tidak ditindaklanjuti akan sia-sia,” kata Deep.

ITI telah mendesak Pemerintah untuk menunda jadwal pelaksanaan Instruksi baru dan memulai konsultasi yang lebih luas dengan semua pemangku kepentingan untuk implementasi yang efektif.

ITI telah mengeluarkan arahan kepada CERT-In untuk menangani ketentuan yang relevan mengenai kewajiban pelaporan insiden, termasuk yang terkait dengan jadwal pelaporan, cakupan insiden yang dicakup, dan persyaratan pelokalan data log. Saya meminta Anda melakukannya.