A Equipe de Resposta a Emergências de Computadores da Índia (CERT-In) deu a muitas das lojas de TI do país um grande trabalho que precisa ser feito com pressa: cumprir um novo conjunto de regras que exigem que as organizações relatem 20 tipos diferentes de incidentes de segurança da informação em seis horas de detecção, seja um ataque de ransomware ou mero comprometimento de uma conta de mídia social.
A agência nacional de segurança da informação afirmou que o curto prazo é necessário, pois identificou “certas lacunas que causam obstáculos na análise de incidentes”.
As organizações podem usar e-mail, telefone ou fax para enviar relatórios de incidentes. Apenas como os meios analógicos irão melhorar as lacunas de análise é incerto.
As regras [PDF] se aplicam a provedores de serviços, intermediários, operadores de datacenter, empresas e organizações governamentais.
No total, 20 tipos de incidentes estão listados, e alguns, como ataques de ransomware e violações de dados, são claramente dignos de relatórios rápidos. Outros são muito vagamente redigidos: o limite para “Ataques ou atividades maliciosas/suspeitas que afetam sistemas/servidores/software/aplicativos de computação em nuvem” certamente merece esclarecimento. Outros incidentes que exigem relatórios, como desfiguração de sites ou uso não autorizado de contas de mídia social, parecem não ter a mesma gravidade que outros.
A janela de relatórios de seis horas também é curta: os Regulamentos Gerais de Proteção de Dados da Europa exigem relatórios de violação de dados em 72 horas e os EUA estão considerando requisitos de relatórios de 24 horas para agências governamentais.
As entidades abrangidas pelas regras também são agora obrigadas a manter e manter os registos de todos os seus sistemas de TIC por um período contínuo de 180 dias, e submetê-los ao CERT-In quando solicitado.
A CERT-In também colocou o ônus em Datacenters, provedores de Servidores Privados Virtuais (VPS), provedores de Serviços em Nuvem e provedores de Serviços de Rede Privada Virtual (Serviços VPN) para não apenas registrar dados de clientes, mas também mantê-los por um período mínimo de cinco anos. Os dados a serem retidos incluem nomes de clientes, datas de contratação, endereços IP, endereços de e-mail, serviços, padrões de propriedade e muito mais.
O setor de criptomoedas também recebeu requisitos extras. Os provedores de troca de ativos virtuais e carteiras de custódia devem manter registros e transações financeiras do Know Your Customer (KYC) por um período de cinco anos, um provável sinal de que as autoridades indianas estão reprimindo o uso de criptomoedas para lavagem de dinheiro.
Outro novo requisito é que as entidades indianas usem servidores Network Time Protocol fornecidos pelo National Informatics Center ou National Physical Laboratory, ou servidores NTP rastreáveis e sincronizados com essas organizações. A razão para esta exigência não foi explicada.
“Essas instruções melhorarão a postura geral de segurança cibernética e garantirão uma Internet segura e confiável no país”, afirmou o CERT-In.
E agora a melhor parte: as regras entram em vigor em 60 dias. O que não é muito tempo para estabelecer os procedimentos necessários para entregar relatórios de seis horas.
Fonte: The Register
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
