Google, Facebook, dan Raksasa Teknologi Lainnya Mengatakan Aturan Keamanan Siber Baru untuk Membuat Berbisnis di India Lebih Sulit

Arahan baru India yang mengamanatkan pelaporan insiden serangan siber dalam waktu enam jam dan menyimpan log pengguna selama 5 tahun akan mempersulit perusahaan untuk melakukan bisnis di negara itu, 11 badan internasional yang memiliki raksasa teknologi seperti Google, Facebook dan HP sebagai anggota mengatakan dalam sebuah surat bersama kepada pemerintah.

Surat bersama yang ditulis oleh 11 organisasi yang sebagian besar mewakili perusahaan teknologi yang berbasis di AS, Eropa, dan Asia itu dikirim ke direktur jenderal Tim Tanggap Darurat Komputer India (CERT-In) Sanjay Bahl pada 26 Mei.

Badan-badan internasional telah menyatakan keprihatinannya bahwa arahan tersebut, sebagaimana tertulis, akan memiliki dampak yang merugikan pada keamanan siber bagi organisasi-organisasi yang beroperasi di India, dan menciptakan pendekatan yang terputus-putus terhadap keamanan siber di seluruh yurisdiksi, merusak postur keamanan India dan sekutunya di India. Quad negara, Eropa dan seterusnya. “Sifat persyaratan yang berat juga dapat mempersulit perusahaan untuk melakukan bisnis di India,” kata surat itu.

Badan-badan global yang secara bersama-sama menyatakan keprihatinan termasuk Dewan Industri Teknologi Informasi (ITI), Asia Securities Industry & Financial Markets Association (ASIFMA), Institut Kebijakan Bank, BSA – Aliansi Perangkat Lunak, Koalisi untuk Mengurangi Risiko Siber (CR2), Koalisi Keamanan Siber, Digital Eropa, techUK, Kamar Dagang AS, Dewan Bisnis AS-India, dan Forum Kemitraan Strategis AS-India. Arahan baru yang dikeluarkan pada 28 April mengamanatkan perusahaan untuk melaporkan setiap pelanggaran dunia maya ke CERT-In dalam waktu enam jam setelah menyadarinya.

Ini mengamanatkan pusat data, penyedia Virtual Private Server (VPS), penyedia layanan cloud dan penyedia layanan Virtual Private Network (VPN) untuk memvalidasi nama pelanggan dan pelanggan yang menyewa layanan, periode perekrutan, pola kepemilikan pelanggan, dll. dan mempertahankan catatan untuk jangka waktu 5 tahun atau lebih lama sebagaimana diamanatkan oleh undang-undang.

Sesuai arahan, perusahaan IT perlu menyimpan semua informasi yang diperoleh sebagai bagian dari Know-Your-Customer (KYC) dan catatan transaksi keuangan untuk jangka waktu lima tahun untuk memastikan keamanan siber di bidang pembayaran dan pasar keuangan untuk warga.

Badan-badan internasional telah menyuarakan keprihatinan atas batas waktu 6 jam yang disediakan untuk pelaporan insiden dunia maya dan menuntut agar itu ditingkatkan menjadi 72 jam. “CERT-In belum memberikan alasan mengapa garis waktu 6 jam diperlukan, juga tidak proporsional atau selaras dengan standar global. Garis waktu seperti itu tidak perlu singkat dan menambah kompleksitas tambahan pada saat entitas lebih tepat fokus pada tugas yang sulit untuk memahami, menanggapi, dan memulihkan insiden siber,” kata surat itu.

Dikatakan dalam kasus mandat enam jam, entitas juga tidak mungkin memiliki informasi yang cukup untuk membuat penentuan yang wajar apakah insiden dunia maya benar-benar terjadi yang akan menjamin pemicuan pemberitahuan. Badan-badan internasional mengatakan bahwa perusahaan anggota mereka mengoperasikan infrastruktur keamanan canggih dengan prosedur manajemen insiden internal berkualitas tinggi, yang akan menghasilkan respons yang lebih efisien dan gesit daripada instruksi yang diarahkan pemerintah mengenai sistem pihak ketiga yang tidak dikenal oleh CERT-In.

Surat bersama itu mengatakan bahwa definisi insiden yang dapat dilaporkan saat ini, untuk memasukkan kegiatan seperti penyelidikan dan pemindaian, terlalu luas mengingat penyelidikan dan pemindaian adalah kejadian sehari-hari. Dikatakan bahwa klarifikasi yang diberikan oleh CERT-In terhadap arahan tersebut menyebutkan bahwa log tidak diharuskan untuk disimpan di India tetapi arahan tersebut tidak menyebutkannya.

Baca Juga: Samsung Kurangi Produksi Smartphone Sebesar 30 Juta Unit: Laporkan

“Bahkan jika perubahan ini dilakukan, bagaimanapun, kami memiliki kekhawatiran tentang beberapa jenis data log yang harus dilengkapi oleh pemerintah India berdasarkan permintaan, karena beberapa di antaranya sensitif dan, jika diakses, dapat menimbulkan risiko keamanan baru dengan menyediakan wawasan tentang postur keamanan organisasi,” kata surat itu. Surat bersama tersebut mengatakan bahwa penyedia layanan internet biasanya mengumpulkan informasi pelanggan tetapi memperluas kewajiban ini ke penyedia VSP, CSP, dan VPN membebani dan memberatkan.

“Penyedia pusat data tidak menetapkan alamat IP. Ini akan menjadi tugas berat bagi penyedia pusat data untuk mengumpulkan dan mencatat semua alamat IP yang diberikan kepada pelanggan mereka oleh ISP. Ini bisa menjadi tugas yang hampir mustahil ketika alamat IP ditetapkan secara dinamis, ” kata surat. Badan-badan global mengatakan bahwa menyimpan data secara lokal untuk siklus hidup pelanggan dan setelah itu selama lima tahun akan memerlukan penyimpanan dan sumber daya keamanan yang biayanya harus dibebankan kepada pelanggan, yang terutama tidak meminta data ini disimpan. setelah penghentian layanan mereka.

“Kami berbagi tujuan pemerintah untuk meningkatkan keamanan siber. Namun, kami tetap prihatin dengan arahan CERT-In, meskipun rilis dokumen FAQ baru-baru ini dimaksudkan untuk mengklarifikasi arahan, karena FAQ bukan dokumen hukum, tidak memberikan perusahaan dengan kepastian hukum yang diperlukan untuk melakukan bisnis sehari-hari,” kata direktur senior kebijakan ITI Courtney Lang. Lang mengatakan tambahan, FAQ yang dikeluarkan oleh CERT-In tidak membahas ketentuan bermasalah, termasuk waktu pelaporan enam jam.

“Kami terus mendesak CERT-In untuk menghentikan sementara implementasi arahan dan membuka konsultasi pemangku kepentingan untuk sepenuhnya mengatasi masalah yang diartikulasikan dalam surat itu,” kata Lang.

.

Baca semua Berita Terbaru, Berita Terkini, dan Pembaruan Langsung IPL 2022 di sini.

Tinggalkan komentar