.
As regras da Índia que exigem que as organizações locais relatem incidentes de infosec dentro de seis horas após a detecção foram observadas por apenas 15 entidades/
A equipe de resposta a emergências de computador da Índia (CERT-In) revelou que o nível baixo, baixo, de conformidade em resposta a um pedido de direito à informação (RTI) apresentado pela agência de notícias de tecnologia indiana MediaNamaqual relatado a notícia na terça-feira.
As regras que exigiam a divulgação de seis horas foram anunciado sem aviso em abril de 2022, e justificado pelo CERT-In como necessário para preencher lacunas em sua compreensão das ameaças enfrentadas pelas organizações locais.
Os analistas apontaram rapidamente que exigir que as organizações relatem um incidente apenas seis horas depois de detectá-lo provavelmente levaria ao arquivamento de relatórios de baixa qualidade. As regras também usavam palavras vagas e inúteis – como “Acesso não autorizado a sistemas/dados de TI” – para descrever incidentes reportáveis, deixando as organizações indianas inseguras sobre o que deveriam relatar.
CERT-In também se esquivou de perguntas – Strong The One não recebeu resposta a várias perguntas – sobre como ele iria ingerir e analisar a enxurrada de relatórios que suas regras gerariam e, portanto, como eles representariam inteligência útil. A revelação de que o CERT aceitaria relatórios enviados por fax complicou ainda mais sua tarefa de ingestão e análise, além de aumentar seu absurdo.
crítica internacional do esquema se seguiu, pois as entidades multinacionais reclamaram que as regras exigiam que armazenassem mais dados na Índia. Muitos também apontaram que os relatórios de seis horas eram muito mais curtos do que a norma global de 72 horas.
Os provedores de nuvem também recuaram, pois as regras exigiam que eles enviassem logs gerados pelos servidores de seus clientes.
Já as empresas indianas se opuseram ao prazo de 60 dias para o cumprimento da lei.
Algumas das críticas atingiram o alvo: a Índia atrasado o prazo de cumprimento, pelo menos para as pequenas e médias empresas.
MediaNama também encontrou um responder a uma pergunta parlamentar sobre o número de ataques cibernéticos detectados na Índia durante 2021 e 2022: cerca de 1,4 milhão de ataques foram registrados em cada ano. É provável que em 2022, pelo menos metade tenha ocorrido depois que os requisitos de relatórios do CERT-In entraram em vigor para algumas organizações.
Embora a resposta parlamentar não revele quantas entidades sofreram os ataques denunciados, 15 entidades que se reportaram no prazo de seis horas certamente representam uma proporção ínfima das exigidas para observar as regras de denúncia.
Claramente, as regras não estão funcionando.
O governo da Índia declarou que o país está agora em um “techade” – durante o qual a tecnologia da informação vai sobrecarregar a economia, melhorar os serviços do governo e fazer da Índia uma superpotência de exportação de tecnologia.
Talvez atinja esses objetivos. Mas CERT-In claramente tem tanto trabalho a fazer quanto qualquer um em busca deles. ®
.
