HomePtNotíciaÍndia exigirá notificação de incidentes de segurança cibernética em seis horas

Índia exigirá notificação de incidentes de segurança cibernética em seis horas


O governo indiano emitiu novas diretrizes que exigem que as organizações relatem incidentes de segurança cibernética ao CERT-IN dentro de seis horas, mesmo que esses incidentes sejam varreduras de portas ou vulnerabilidades do sistema de computador.

Este requisito foi promovido pela Computer Emergency Response Team of India (CERT-In), que afirma ter identificado lacunas específicas que causam dificuldades na análise e resposta a incidentes de segurança e, para solucioná-las, deve impor mais medidas. .

Essas medidas e várias outras disposições foram publicadas ontem por meio de um aviso e integradas à seção 70B da Lei de Tecnologia da Informação (TI) de 2000, tornando-as parte da lei indiana e entrarão em vigor em 60 dias.

Notificação instantânea sobre incidentes

O novo requisito mais notável é que qualquer provedor de serviços de Internet, intermediário, centro de dados ou organização governamental deve relatar esses incidentes ao CERT-In dentro de seis horas após ser notificado.

O mesmo se aplica aos incidentes comunicados a estas entidades por terceiros, pelo que estes prestadores de serviços devem assegurar que os leads recebidos não são perdidos ou ignorados, mas sim processados ​​e avaliados atempadamente.

Os tipos de incidentes de segurança cibernética que devem ser relatados ao CERT-In são os seguintes:

  • Varredura direcionada/Pesquisa de rede/Sistemas críticos
  • Comprometimento de sistemas/informações críticas
  • Acesso não autorizado a sistemas/dados de TI
  • Desfiguração do site ou intrusão do site e alterações não autorizadas, como a inserção de links de código malicioso para sites externos, etc.
  • Ataques de código malicioso, como a disseminação de vírus, worms, cavalos de Tróia, bots, spyware, ransomware, criptomineradores
  • Ataque em servidores como banco de dados, e-mail e DNS e dispositivos de rede, como roteadores
  • Roubo de identidade, phishing e ataques de phishing
  • Ataques de negação de serviço (DoS) e negação de serviço distribuído (DDoS)
  • Ataques à infraestrutura crítica, sistemas SCADA e de tecnologia operacional e redes sem fio
  • Ataques a aplicativos como E-Governance, E-Commerce, etc.
  • violação de dados
  • vazamento de dados
  • Ataques a dispositivos da Internet das Coisas (IoT) e sistemas associados, redes, software, servidores
  • Ataques ou incidentes que afetam os sistemas de pagamento digital
  • Ataques por meio de aplicativos móveis maliciosos
  • aplicativos móveis falsos
  • Acesso não autorizado a contas de mídia social
  • Ataques maliciosos/suspeitos ou atividades que afetam sistemas/servidores/software/aplicativos de computação em nuvem
  • Ataques ou atividades maliciosas/suspeitas que afetam sistemas/servidores/redes/software/aplicativos relacionados a Big Data, Blockchain, Ativos Virtuais, Trocas de Ativos Virtuais, Carteiras de Custódia, Robótica, Impressão 3D e 4D, Manufatura Aditiva e Drones

Para uma coordenação adequada, todas as entidades mencionadas acima devem se conectar ao servidor NTP do National Center for Computing (NIC) ou do National Physical Laboratory (NPL) e sincronizar seus relógios de sistema com eles.

Finalmente, todos os logs do sistema dos provedores de serviços mencionados acima devem ser mantidos em segurança dentro da jurisdição indiana por um período contínuo de 180 dias e devem ser fornecidos ao CERT-In juntamente com qualquer relatório de incidente de segurança ou quando solicitado.

Retenção de dados do usuário

As novas diretrizes também incluem uma seção sobre provedores de serviços VPS (Virtual Private Server) e VPN (Virtual Private Network), que agora terão que manter um registro de seus usuários.

O período de aquisição de dados se estende até cinco anos a partir do cancelamento ou cancelamento do registro do usuário, ou ainda mais se as regulamentações futuras assim o exigirem.

Os dados que serão mantidos incluem o seguinte:

  • Nomes validados dos assinantes/clientes que contratam os serviços
  • Período de aluguer, incluindo datas
  • IPs atribuídos a/sendo usados ​​por membros
  • Endereço de e-mail e endereço IP e carimbo de data/hora usados ​​no momento do registro/integração
  • O objetivo da contratação dos serviços
  • Endereço e números de contato validados
  • Padrão de propriedade dos serviços de locação de assinantes/clientes

O mesmo se aplicará aos provedores de serviços de ativos virtuais (criptomoedas), incluindo serviços de troca e gerenciamento de carteiras, que agora manterão os detalhes do cliente por pelo menos cinco anos.

A Bleeping Computer discutiu o impacto potencial desses novos requisitos com Beenu Arora, fundador da Cyble, uma empresa de inteligência cibernética com forte presença na Índia, e espera uma implementação desafiadora.

Embora a intenção do governo seja digna de nota, cumprir essa diretriz não será uma tarefa fácil, pois exigirá que as organizações nomeiem funcionários adicionais e gastem um tempo significativo de gerenciamento para atender aos requisitos de relatórios.

O setor já está lidando com uma enorme escassez de profissionais de segurança cibernética qualificados e, considerando que uma organização típica sofre vários ataques cibernéticos diariamente, relatar cada um desses ataques ao CERT-IN em um formato prescrito pode representar um desafio operacional.

Uma plataforma automatizada de relatórios de incidentes que permite que organizações individuais enviem seus relatórios de incidentes ao CERT-IN de forma transparente pode ajudar a garantir uma implementação mais eficaz. -Beenu Arora

Must Read

%d bloggers like this: