Badan teknologi global menulis kepada pemerintah, mengatakan aturan keamanan siber baru akan membuat bisnis di India menjadi sulit

Arahan baru di India yang mengamanatkan pelaporan insiden serangan dunia maya dalam waktu enam jam dan menyimpan catatan pengguna selama 5 tahun akan mempersulit perusahaan untuk melakukan bisnis di negara itu, 11 badan internasional yang memiliki raksasa teknologi seperti Google, Facebook, dan HP juga mengatakan anggota Surat Bersama kepada pemerintah.

Surat bersama, yang ditulis oleh 11 organisasi yang mewakili sebagian besar perusahaan teknologi yang berbasis di AS, Eropa dan Asia, dikirim ke Direktur Jenderal Tim Tanggap Darurat Komputer (CERT-In) India Sanjay Bahl pada 26 Mei.

Badan-badan internasional telah menyatakan keprihatinannya bahwa arahan tersebut, seperti yang tertulis, akan memiliki efek merugikan pada keamanan siber organisasi yang beroperasi di India, dan menciptakan pendekatan keamanan siber yang dibongkar di seluruh yurisdiksi, merusak postur keamanan India dan sekutunya di India. Quad negara, Eropa dan seterusnya.

“Sifat persyaratan yang berat dapat mempersulit perusahaan untuk melakukan bisnis di India,” kata surat itu.

Baca juga:

Badan-badan global yang secara bersama-sama menyatakan keprihatinan termasuk Dewan Industri Teknologi Informasi (ITI), Asosiasi Industri Sekuritas dan Pasar Keuangan Asia (ASIFMA), Institut Kebijakan Bank, BSA – Aliansi Perangkat Lunak, dan Koalisi untuk Mengurangi Risiko Siber ( CR2).), Koalisi Keamanan Siber, Eropa Digital, techUK, Kamar Dagang AS, Dewan Bisnis AS-India, dan Forum Kemitraan Strategis AS-India.

Badan-badan internasional telah menyatakan keprihatinannya tentang batas waktu 6 jam yang disediakan untuk pelaporan insiden dunia maya dan telah meminta untuk ditingkatkan menjadi 72 jam.

“Tim tanggap darurat komputer belum memberikan alasan apa pun tentang perlunya jadwal 6 jam, juga tidak proporsional atau kompatibel dengan standar global. Jadwal seperti itu tidak perlu singkat dan menambah lebih banyak kerumitan pada saat entitas lebih fokus pada tugas yang menantang untuk memahami, menanggapi, dan menangani insiden elektronik.”

Dia mengatakan bahwa dalam kasus mandat enam jam, tidak mungkin bahwa entitas akan memiliki informasi yang cukup untuk membuat keputusan yang masuk akal apakah insiden cyber benar-benar terjadi yang akan menjamin rilis pemberitahuan.

Badan-badan internasional mengatakan perusahaan anggota mereka menjalankan infrastruktur keamanan canggih dengan prosedur manajemen insiden internal berkualitas tinggi, yang akan menghasilkan respons yang lebih efisien dan fleksibel terhadap instruksi yang diarahkan pemerintah mengenai sistem pihak ketiga yang tidak diketahui oleh CERT-In.

Surat bersama itu mengatakan definisi insiden yang dapat dilaporkan saat ini, untuk memasukkan kegiatan seperti investigasi dan survei, terlalu luas karena investigasi dan survei adalah peristiwa sehari-hari. Dia mengatakan klarifikasi yang diberikan oleh CERT-In pada arahan menyebutkan bahwa catatan tidak diperlukan untuk penyimpanan di India tetapi arahan tersebut tidak menyebutkannya.

“Bahkan jika perubahan ini dilakukan, bagaimanapun, kami memiliki kekhawatiran tentang beberapa jenis data log yang harus disediakan oleh pemerintah India sesuai permintaan, karena beberapa di antaranya sensitif dan, jika diakses, dapat menimbulkan risiko keamanan baru dengan memberikan wawasan tentang situasinya, keamanan organisasi,” bunyi surat itu.

Surat bersama tersebut menyatakan bahwa ISP biasanya mengumpulkan informasi pelanggan, tetapi memperluas kewajiban ini ke penyedia VSP, CSP, dan VPN adalah berat dan tidak praktis.

“Penyedia pusat data tidak menetapkan alamat IP. Ini akan menjadi tugas yang membosankan bagi penyedia pusat data untuk mengumpulkan dan merekam semua alamat IP yang diberikan kepada klien mereka oleh ISP. Ini bisa menjadi tugas yang hampir mustahil ketika alamat IP ditetapkan secara dinamis, ” kata pesan itu.

Badan-badan global mengatakan bahwa menyimpan data secara lokal untuk siklus hidup pelanggan dan kemudian selama lima tahun akan memerlukan penyimpanan dan sumber daya keamanan dan bahwa biaya harus dibebankan kepada pelanggan, yang tidak secara khusus meminta agar data tersebut disimpan setelah berakhir. dari layanan.

“Kami memiliki tujuan yang sama dengan pemerintah untuk meningkatkan keamanan siber. Namun, kami tetap prihatin dengan arahan CERT-In, meskipun dokumen FAQ baru-baru ini dirilis yang bertujuan untuk mengklarifikasi arahan tersebut, karena FAQ bukanlah dokumen hukum, itu tidak memberikan perusahaan yang memiliki kepastian hukum yang diperlukan untuk melakukan bisnis sehari-hari,” kata Direktur Senior Kebijakan ITI, Courtney Lange.

Selain itu, FAQ CERT-In tidak membahas ketentuan yang bermasalah, termasuk jadwal pelaporan enam jam, kata Lang.

“Kami terus mendesak Tim Tanggap Darurat Komputer untuk menangguhkan sementara pelaksanaan arahan dan konsultasi terbuka dengan para pemangku kepentingan untuk sepenuhnya mengatasi masalah yang terkandung dalam surat itu,” kata Lang.