Le gouvernement indien signale des changements aux règles d’infosec • The Register

Les médias indiens rapportent que le gouvernement a consulté l’industrie au sujet de ses règles controversées de déclaration d’infosec, ce qui pourrait entraîner des concessions qui assouplissent légèrement les exigences de certaines entreprises.

Les règles, introduites le 29 avril sans avertissement et avec un délai de conformité de soixante jours, obligent les organisations opérant en Inde à signaler 22 types différents d’incidents de sécurité de l’information dans les six heures suivant leur détection, à conserver des journaux complets de leurs propres activités et de celles de leurs clients et à fournir ces informations aux autorités selon les besoins, et n’utilisez que des serveurs NTP (Network Time Protocol) fournis par les autorités indiennes ou synchronisés avec ces serveurs.

Les règles ont généré une opposition rapide et généralisée au motif qu’elles étaient formulées de manière vague, imposaient d’énormes charges de conformité, rendaient l’Inde moins attrayante pour les entreprises technologiques étrangères et nuiraient à la vie privée. L’obligation de signaler même les incidents insignifiants dans les six heures a été critiquée comme produisant probablement un déluge de rapports qui contribueraient peu à l’objectif déclaré d’obtenir des renseignements avec lesquels défendre la nation. L’Internet Society a averti que l’insistance sur l’utilisation de serveurs NTP indiens créerait une dépendance inutile à l’égard de cette infrastructure.

Les critiques ont également souligné que l’équipe indienne d’intervention en cas d’urgence informatique (CERT-In), l’organisme chargé de superviser les règles, proposait un PDF non interactif comme moyen de déposer des rapports d’incident et permettait aux organisations de l’envoyer en pièce jointe par e-mail ou même par fax. . CERT-In n’a fourni aucune preuve qu’il avait construit des outils pour ingérer et analyser les rapports entrants, renforçant l’argument selon lequel les règles imposaient un fardeau de conformité considérable sans améliorer les capacités de sécurité de l’Inde.

La seule réponse du gouvernement à ces critiques a été de publier une FAQ dans l’espoir de clarifier l’intention des règles. Mais cette FAQ a plutôt suscité davantage de critiques, car son langage manquait à nouveau de précision et le document manquait de force législative. Ceux qui essayaient de se conformer se sont retrouvés avec plus de questions sur la façon d’interpréter les règles.

Toutes ces critiques semblent avoir atteint les oreilles du ministre de l’informatique Rajeev Chandrasekhar, qui a convoqué une réunion pour discuter des règles.

Mais c’est la Chambre de commerce américaine en Inde – et non Chandrasekhar – qui a annoncé la réunion.

Chandrasekhar a retweeté la Chambre de commerce, mais son propre flux et celui du ministère indien de l’informatique sont muets sur ce qui a été discuté, ou sur les résultats.

Sortie Inde MediaNama rapporte que certaines concessions ont été soulevées lors de la réunion, parmi lesquelles la prolongation du délai de mise en conformité et l’assouplissement de certaines exigences pour les petites entreprises.

CERT-In créerait un portail pour télécharger les rapports d’incident, mais le délai de déclaration de six heures demeure.

Les flux officiels et sociaux des autorités indiennes étaient muets à ce sujet au moment de la rédaction de cet article, et les sites Web du gouvernement indien produisaient des erreurs DNS lorsque Le registre vérifié les mises à jour.

Si les rapports locaux sont corrects et que l’Inde a assoupli ses règles, les changements évoqués ne seront pas particulièrement populaires. Ils ne traitent pas les problèmes de confidentialité, la concentration de NTP ou ne modifient pas l’exigence de déclaration de six heures qui, selon l’Inde, est une norme mondiale – bien que d’autres pays fixent un délai de 72 heures. ®

Leave a Comment

Your email address will not be published.