O governo indiano resolveu endurecer as regras de comunicação de incidentes cibernéticos – por coincidência, depois do ataque à estatal petrolífera Oil India: uma nova diretriz da Equipe de Resposta a Emergências de Computadores da Índia (CERT-In) determinou que as organizações de tecnologia devem implementar medidas para relatar 20 tipos diferentes de incidentes de segurança cibernética dentro de seis horas após a detecção.
A determinação é polêmica para as empresas de TI. Em suas razões para fazer esta determinação, a agência menciona que suas equipes identificaram “certas lacunas que dificultam a análise de incidentes de segurança”; além desse novo prazo, o CERT-In incentivará o envio de relatórios de incidentes por meios analógicos, como telefone ou fax, além do e-mail.
Veja isso
Infraestrutura crítica dos EUA deve informar incidentes em 72h
Especialistas de cyber mais procurados: SOC e nuvem
Os novos mecanismos serão aplicados a provedores de serviços, intermediários, operadores de data centers, empresas e organizações governamentais que gerenciam a infraestrutura de TI. A determinação lista 20 tipos de incidentes de segurança, incluindo violações de informações e infecções por ransomware. Embora seja óbvio que a situação merece um relatório nestes casos, em outras ocasiões o CERT-In fornece definições muito pouco concretas, como é o caso daqueles definidos como “Ataques ou atividades suspeitas que afetam sistemas/servidores/software/aplicações no nuvem”.
O CERT-In recebeu críticas também sobre o prazo para envio do relatório. Outras legislações, como o Regulamento Geral de Proteção de Dados (GDPR) da UE, estabelecem um prazo de 72 horas para a comunicação de incidentes de segurança após a sua detecção, enquanto o governo dos EUA dá 24 horas para o envio desses relatórios.
De acordo com as novas orientações, as organizações devem também manter um registro detalhado de todos os seus sistemas de informação durante 180 dias após o informe, tendo também a obrigação de entregar esses dados ao CERT-In quando solicitados.
Foram estabelecidos requisitos adicionais para organizações que operam com criptomoeda. Os provedores de serviços relacionados a ativos virtuais terão de verificar a identidade de seus clientes e proteger esses dados por pelo menos cinco anos, o que é uma medida agressiva contra a lavagem de dinheiro por meio de criptomoedas.