.
O ministro de Estado da Eletrônica e Tecnologia da Informação da Índia, Rajeev Chandrasekhar, deu a entender fortemente que ele estenderá novamente o prazo para cumprir as novas regras abrangentes de relatórios de segurança da informação que foram impostas como um mecanismo de defesa nacional essencial.
As regras não anunciadas foram introduzido em abril de 2022 e deu às organizações locais um prazo de 60 dias para implementar os sistemas. Após o prazo, eles foram obrigados a relatar muitos tipos de incidentes de segurança de informação – mesmo os triviais, como varredura de portas e tentativas de phishing – à Equipe de Resposta a Emergências de Computadores da Índia (CERT-In) dentro de seis horas após a detecção.
As regras atraíram críticas de todo o mundo sob a alegação de que os requisitos são onerosos e vagamente redigidos, dificultando o cumprimento. Pior, eles criariam uma enxurrada de informações triviais que o CERT-In teria dificuldade em ingerir – não importa o uso para cumprir a intenção declarada das regras de melhorar a compreensão da Índia sobre as ameaças cibernéticas que o país enfrenta.
As regras também foram criticadas por serem absurdas, devido a requisitos como obrigar os provedores de nuvem a enviar logs de atividades nos servidores dos clientes. A opção de enviar relatórios de incidentes por fax para o CERT-In também levantou suspeitas.
Outro elemento das regras exige que nuvens e provedores de VPN registrem e relatem nomes reais de usuários. VPN saia da Índia ao invés de cumprir.
As empresas indianas também reagiram e o governo acabou prorrogou o prazo de cumprimento por 90 dias, até 25 de setembro.
Agora, o ministro Chandrasekar deu a entender fortemente que o prazo será novamente prorrogado. Em declarações ao jornal indiano Os tempos econômicos ele supostamente disse: “Somos muito claros. Não faremos PMEs ou MPMEs arcarem com o ônus dessa conformidade adicional até que estejam prontas”.
Chandrasekar mais tarde retweetou a reportagem do jornal sobre suas observações, o que confirma que o prazo original de 60 dias era impraticável.
Esse prazo não foi alterado para grandes organizações, portanto, presumivelmente, eles começaram a relatar incidentes em seis horas.
Usamos a palavra “presumivelmente” porque Strong The One fez várias abordagens ao CERT-In, o Ministério da Eletrônica e Tecnologia da Informação, e ao gabinete do ministro Chandrasekar para perguntar sobre as taxas de conformidade e como o CERT-In ingere e analisa os relatórios de incidentes.
Nenhum respondeu. Portanto, ainda não está claro se a Índia garantiu o fluxo de inteligência de segurança da informação que buscou ou é capaz de usá-lo para informar uma resposta. ®
.
