Pesquisa de site

Regra de relatório de violação de dados de 6 horas da Índia (claramente explicada)

Em 28 de abril de 2022, o governo indiano emitiu novas orientações rígidas sobre relatórios de incidentes de segurança cibernética que reduzem drasticamente o prazo de relatórios de violação de dados para muitas organizações na Índia.

Apesar das crescentes preocupações do setor, encargos de conformidade e custos mais altos de segurança cibernética, a nova diretiva de segurança forçará as organizações em toda a Índia a relatar incidentes cibernéticos, infosec e violações de dados ao CERT-In (Equipe de Resposta a Emergências de Computadores da Índia) dentro de um prazo de apenas seis horas de "perceber tais incidentes". ”

Essa orientação de segurança cibernética reforçada segue a introdução de novas regras e regulamentos pelo CERT-In. Além disso, as entidades e organizações abrangidas pelas regras devem manter de forma segura registos informáticos e de comunicações de todos os sistemas TIC durante seis meses (180 dias).

A diretriz afirma que todos os relatórios de segurança cibernética devem ser enviados ao CERT-In, juntamente com outras instâncias de tais incidentes relacionados à segurança cibernética, conforme solicitado pela agência.

Seis horas para relatar um incidente de segurança cibernética

O curto período de tempo é insuficiente para estabelecer os procedimentos e medidas adequados necessários para fornecer um relatório detalhado de seis horas após a ocorrência de um incidente.

As organizações indianas podem enviar relatórios de incidentes por e-mail, telefone ou fax. No entanto, é incerto como esses meios analógicos melhorariam as lacunas de análise.

Antes que essa orientação fosse aplicada, relatar e notificar a ocorrência de um incidente cibernético só era necessário "dentro de um prazo razoável" após ser identificado. Agora, a janela de relatórios é significativamente mais curta do que na UE ou nos EUA.

Por exemplo, o GDPR (Regulamento Geral de Proteção de Dados) da UE exige que violações de dados/segurança cibernética sejam relatadas dentro de 72 horas, o que é 66 horas a mais - o suficiente para uma análise de violação totalmente detalhada e eficaz.

Consulte nossa lista de verificação para acompanhar a conformidade com o GDPR.

Além disso, por meio da Lei CIRCIA (Relatório de Incidentes Cibernéticos para Infraestrutura Crítica) de 2022, os EUA estipulam um prazo de relatório de incidentes obrigatório de 72 ou 24 horas (dependendo da natureza do ataque) para empresas, setores de infraestrutura crítica e organizações governamentais.

Lista de incidentes que devem ser relatados

O CERT-In emitiu uma lista de incidentes cibernéticos (PDF) que todos os provedores de serviços, intermediários, operadores de data center, empresas e organizações governamentais devem relatar dentro da janela de seis horas designada pelo CERT-In.

A lista tem um total de 20 tipos de incidentes:

  1. Varredura/sondagem direcionada de redes/sistemas críticos;
  2. Comprometimento de sistemas/informações críticas;
  3. Acesso não autorizado a sistemas/dados informáticos;
  4. Desfiguração de site ou intrusão em um site e alterações não autorizadas (como inserção de links de código malicioso para sites externos, etc.);
  5. Ataques de código malicioso (como a disseminação de vírus, worms, trojans, bots, spyware, ransomware ou mineradores de criptografia);
  6. Ataques a servidores (como bancos de dados, e-mail, DNS e dispositivos de rede, como roteadores)
  7. Roubo de identidade, spoofing e ataques de phishing;
  8. ataques de negação de serviço (DoS) e negação de serviço distribuída (DDoS);
  9. Ataques a aplicações (como E-Governance, E-Commerce, etc.);
  10. Ataques a Infraestruturas Críticas, SCADA e sistemas de tecnologia operacional e redes sem fios;
  11. Violações de dados;
  12. Vazamentos de dados;
  13. Ataques a dispositivos da Internet das Coisas (IoT) e sistemas, redes, software e servidores associados;
  14. Ataques ou incidentes que afetem os sistemas de Pagamento Digital;
  15. Ataques por meio de aplicativos móveis maliciosos;
  16. Aplicativos móveis falsos;
  17. Acesso não autorizado a contas de mídia social;
  18. Ataques ou atividades maliciosas/suspeitas que afetem sistemas/servidores/software/aplicativos de computação em nuvem;
  19. Ataques ou atividades maliciosas/suspeitas que afetam sistemas/servidores/redes/software/aplicativos relacionados a Big Data, Blockchain, ativos virtuais, trocas de ativos virtuais, carteiras de custódia, robótica, impressão 3D e 4D, manufatura aditiva e drones.

Tipos de incidentes de segurança cibernética de alta prioridade, como ataques de ransomware e violações de dados, devem ser levados a sério e relatados dentro da marca de 6 horas.

Saiba por que o gerenciamento de riscos de fornecedores é fundamental para as empresas indianas.

Por outro lado, incidentes de baixa prioridade, como desfiguração de sites ou uso não autorizado de contas de mídia social, não são dignos de um relatório rápido porque não são tão cruciais quanto os outros, mas ainda se enquadram nessa nova regra.

Outras instâncias são vagamente redigidas, como "Ataques ou atividades maliciosas/suspeitas que afetam sistemas/servidores/software/aplicativos de computação em nuvem", em que o limite também deve ser mais específico ou esclarecido.

Lista de infraestrutura da Índia afetada pelas novas regras

As novas regras de segurança cibernética se aplicam a partes críticas da rede e da infraestrutura de TI da Índia, incluindo:

  • Provedores de serviços em nuvem;
  • Provedores de serviços de Internet
  • Centros de dados;
  • Empresas de tecnologia;
  • organizações de TI;
  • Organizações intermediárias, de órgãos, corporativas e governamentais;
  • e até mesmo mídias sociais.

Essas organizações e entidades devem relatar quaisquer incidentes de segurança cibernética ao CERT-In dentro de seis horas após a detecção.

O mesmo se aplica a outros incidentes que terceiros tenham relatado. Os provedores de serviços devem garantir que as dicas recebidas para possíveis ataques sejam processadas, avaliadas e confirmadas.

Saiba por que o gerenciamento de riscos do fornecedor é importante para as empresas na Índia.

Seção 70B da Lei de Tecnologia da Informação de 2000

Essas novas medidas e orientações agora fazem parte da lei indiana (PDF). Eles já foram integrados à seção 70B da "Lei de Tecnologia da Informação de 2000, relativa a práticas de segurança da informação, procedimento, prevenção, resposta e relatórios de incidentes cibernéticos para uma Internet segura e confiável. ”

De acordo com as definições de Tecnologia da Informação da Índia (PDF) (A Equipe Indiana de Resposta a Emergências de Computadores e Maneira de Executar Funções e Deveres), um "incidente cibernético" é definido como "qualquer evento adverso real ou suspeito em relação à segurança cibernética que viole uma política de segurança explícita ou implícita, resultando em acesso não autorizado, negação de serviço ou interrupção, uso não autorizado de um recurso de computador para processamento ou armazenamento de informações ou alterações de dados, informações sem autorização. ”

As novas regras entraram em vigor no final de junho, apenas 60 dias após o anúncio. Todas as organizações que não cumprirem a nova diretiva podem enfrentar penalidades estabelecidas na Lei de TI da Índia de 2000.

Lacunas recém-identificadas na análise de ataques cibernéticos

No comunicado de imprensa da MEITY, o Ministério de Eletrônica e TI da Índia afirmou que "o CERT-In identificou certas lacunas que causam obstáculos na análise de incidentes. " A agência nacional de infosec garante que um prazo extremamente curto é necessário por causa disso.

>

O diretor da Versatilist Consulting India e embaixador da ISACA na Índia, RV Raghu, elogia o anúncio como "um grande passo para melhorar os dados e a proteção do cliente. " Ele acredita que as regras podem fortalecer significativamente a postura de segurança cibernética das empresas indianas e garantir uma Internet segura e confiável.

"Relatar incidentes pode levar ao compartilhamento de informações, evitando o aumento de riscos sistêmicos e levando a um ecossistema mais forte", afirmou ele em um relatório para o Daily Swig.

Da mesma forma, o ministro júnior de TI da Índia e empresário de tecnologia, Rajeev Chandrasekhar, apóia a nova regra de relatórios de violação de dados. Ele acrescenta que as empresas de tecnologia têm a obrigação de saber quem está usando seus serviços, e não haverá mudança nessas regras.

Ele argumenta que a Índia está sendo generosa, já que alguns países exigem relatórios imediatos no local. Chandrasekhar disse aos repórteres: "Se você não quer seguir essas regras e se quer sair, então, francamente... você tem que sair."

Saiba mais sobre o custo médio de uma violação de dados na Índia.

Outras mudanças

Embora a regra de relatório de violação de dados de seis horas tenha roubado os holofotes, a adição 70B da Índia à Lei de Tecnologia da Informação de 2000 tem outras ramificações.

Manutenção de registros KYC (Know Your Customer)

Data centers, provedores de serviços em nuvem como Amazon, servidores privados virtuais, redes privadas virtuais, provedores de serviços VPN e outras operadoras são obrigados a registrar e reter os dados e informações dos clientes por cinco anos, mesmo que eles não usem mais seus serviços. Aqui está uma lista do que eles devem manter:

  • Nomes validados dos assinantes/clientes que contratam os serviços;
  • Números de contato e endereços validados;
  • Endereços IP;
  • E-mails;
  • Período de contratação, datas e carimbos temporais de inscrição/integração;
  • Razões para contratar o uso do serviço;
  • Padrões de propriedade;
  • e outras informações/dados sobre clientes.

Saiba a diferença entre VPNs e servidores proxy.

Da mesma forma, o setor de criptomoedas que compreende exchanges de ativos virtuais, provedores de carteira de custódia e vários serviços de criptomoeda deve manter uma política de registros KYC (conheça seu cliente) e transações financeiras por cinco anos. Este é um sinal revelador de que as autoridades indianas estão reprimindo os esquemas de lavagem de dinheiro com criptomoedas.

Sincronizando sistemas com servidores NTP

As entidades indianas abrangidas pela nova diretiva também são obrigadas a sincronizar seus sistemas com servidores NTP (servidores de protocolo de tempo de rede), que são fornecidos e mantidos pelo Centro Nacional de Informática da Índia (NIC) ou pelo Laboratório Nacional de Física (NPL) e sincronizar seus relógios de sistema com eles.

O motivo desses requisitos de relatórios não foi explicado, mas, presumivelmente, é para uma melhor coordenação e para tornar mais fácil para o CERT-In registrar e analisar os relatórios de dados.

O Centro Nacional de Informática, que detém a maioria dos servidores do governo, já foi alvo de vários ataques de phishing nos quais os e-mails, IDs e dados pessoais de funcionários do governo indiano foram comprometidos.

Artigos relacionados