Технологические группы считают новые правила непоследовательными, обременительными и не способными повысить кибербезопасность Индии. По их словам, правила также могут нанести ущерб экономике страны.
В конце апреля Группа реагирования на компьютерные чрезвычайные ситуации (CERT-in) выпустила директиву по кибербезопасности, затрагивающую работу провайдеров VPN и криптовалютных бирж в Индии.
Согласно директиве CERT-In, провайдеры VPN, центры обработки данных и поставщики услуг виртуальных активов обязаны в течение 5 лет хранить информацию о пользователях (имена, идентификаторы электронной почты, контактные номера и IP-адреса) и сообщать о случаях нарушения кибербезопасности в течение 6 часов.
Речь идет о более чем 20 типах киберинцидентов, в том числе о попытках фишинга. Среди подлежащих регистрации инцидентов прописаны “злонамеренные/подозрительные” действия, но разница между ними не указана.
Помимо СМИ и местных IT-компаний против новых правил высказались 11 технологических групп, среди которых:
- Торговая палата США (United States Chamber of Commerce, USCC);
- Британская торговая ассоциация технологической индустрии (TechUK);
- Деловой совет США и Индии (US-India Business Council, USIBC);
- Совет индустрии информационных технологий (Information Technology Industry Council, ITI);
- а также Facebook (запрещена и признана экстремистской в РФ), Google, Apple, Amazon, Microsoft и др.
Подписанты призывают увеличить сроки отчетности о киберинцидентах до 72 часов, так как это “соответствует передовой мировой практике”, и в том числе заявляют, что хранение данных о клиентах обременительно и создает угрозу безопасности.
“Наши компании используют передовые системы безопасности. (...) Более подходящий подход может состоять в том, чтобы попросить поставщиков продемонстрировать, что их процедуры управления инцидентами и рисками соответствуют международным стандартам, например тем, которые содержатся в сертификатах ISO 27000”,
— говорится в письме.
Министр Индии по электронике и информационным технологиям Раджив Чандрасекар ранее заявил, что компании, которые не будут соблюдать правила, могут покинуть страну.
