سعت هيئة ITI ، وهي هيئة صناعة التكنولوجيا ومقرها الولايات المتحدة، والتي تضم شركات تكنولوجيا عالمية مثل Google و Facebook و IBM و Cisco كأعضاء فيها، إلى مراجعة توجيهات الحكومة الهندية بشأن الإبلاغ عن حوادث خرق الأمن السيبراني. وقالت المبادرة الدولية للمسرح إن الأحكام المنصوص عليها في الولاية الجديدة قد تؤثر سلبًا على المنظمات وتقوض الأمن السيبراني في البلاد.
طلب مدير ITI القطري للهند كومار ديب، في خطاب موجه إلى رئيس CERT-In Sanjay Bahl بتاريخ 5 مايو، إجراء مشاورات أوسع مع أصحاب المصلحة مع الصناعة قبل الانتهاء من التوجيه.
وقال ديب: “التوجيه لديه القدرة على تحسين وضع الأمن السيبراني في الهند إذا تم تطويره وتنفيذه بشكل مناسب، ومع ذلك، فإن بعض البنود الواردة في القانون، بما في ذلك متطلبات الإبلاغ عن الحوادث غير المجدية، قد تؤثر سلبًا على الشركات الهندية والعالمية وتقوض الأمن السيبراني”.
أصدر فريق الاستجابة لطوارئ الكمبيوتر الهندي (CERT-In) في 28 أبريل توجيهًا يطلب من جميع الوكالات الحكومية والخاصة، بما في ذلك مزودي خدمة الإنترنت ومنصات التواصل الاجتماعي ومراكز البيانات، الإبلاغ بشكل إلزامي عن حوادث خرق الأمن السيبراني في غضون ست ساعات من ملاحظتها.
يفوض التعميم الجديد الصادر عن CERT-In جميع مزودي الخدمة والوسطاء ومراكز البيانات والشركات والمؤسسات الحكومية بالتمكين الإلزامي لسجلات جميع أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بهم والحفاظ عليها بشكل آمن لمدة 180 يومًا و يجب الحفاظ على نفس الشيء داخل الولاية القضائية الهندية.
أثارت مبادرة تكنولوجيا المعلومات والاتصالات مخاوف بشأن الإبلاغ الإلزامي عن حوادث الاختراق في غضون ست ساعات من الملاحظة، لتمكين سجلات جميع أنظمة تكنولوجيا المعلومات والاتصالات والاحتفاظ بها داخل الولاية القضائية الهندية لمدة 180 يومًا، والتعريف الفضفاض للحوادث التي يمكن الإبلاغ عنها ومتطلبات اتصال الشركات بخوادم الكيانات الحكومية الهندية.
وقال ديب، في الرسالة، إنه يجب منح المنظمات 72 ساعة للإبلاغ عن حادث بما يتماشى مع أفضل الممارسات العالمية وليس فقط ست ساعات.
قالت ITI إن تفويض الحكومة لتمكين سجلات جميع أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بالكيانات المشمولة، والاحتفاظ بالسجلات “بشكل آمن لمدة 180 يومًا” داخل الهند وإتاحتها للحكومة الهندية عند الطلب ليس من أفضل الممارسات.
وقال ديب: “ستجعل مثل هذه المستودعات للمعلومات المسجلة هدفًا للجهات الفاعلة في مجال التهديد العالمي، بالإضافة إلى طلب موارد كبيرة (بشرية وتقنية) للتنفيذ”.
كما أثارت مبادرة تكنولوجيا المعلومات والاتصالات مخاوف بشأن مطلب “أن جميع مقدمي الخدمات والوسطاء ومراكز البيانات والهيئات الاعتبارية والمؤسسات الحكومية يجب أن يتصلوا بخوادم NTP للمختبرات الهندية والكيانات الأخرى لمزامنة جميع ساعات أنظمة تكنولوجيا المعلومات والاتصالات الخاصة بهم”.
وقالت الهيئة العالمية إن البنود يمكن أن تؤثر سلبا على العمليات الأمنية للشركات فضلا عن وظائف أنظمتها وشبكاتها وتطبيقاتها.
قالت الهيئة الدولية للمسرح إن تعريف الحكومة الحالي للحادث الواجب الإبلاغ عنه ليشمل أنشطة مثل التحقيق والمسح الضوئي واسع للغاية نظرًا لأن التحقيقات وعمليات المسح هي أحداث يومية.
وقال ديب: “لن يكون من المفيد للشركات أو فريق CERT-In قضاء الوقت في جمع ونقل واستقبال وتخزين هذا الحجم الكبير من المعلومات غير المهمة التي يمكن القول إنها لن تتم متابعتها”.
طلبت المبادرة الدولية للمبادرة من الحكومة تأجيل الجدول الزمني لتنفيذ التوجيه الجديد وإطلاق مشاورات أوسع مع جميع أصحاب المصلحة من أجل تنفيذها الفعال.
طالبت ITI فريق CERT-In “بمراجعة التوجيه لمعالجة الأحكام ذات الصلة فيما يتعلق بالتزامات الإبلاغ عن الحوادث، بما في ذلك ما يتعلق بالجدول الزمني للإبلاغ، ونطاق الحوادث المشمولة ومتطلبات توطين بيانات التسجيل”.