CERT-In zegt dat organisaties cyberbeveiligingsinbreuken binnen 6 uur moeten melden


CERT-In heeft alle overheids- en particuliere instanties, waaronder internetserviceproviders, socialemediaplatforms en datacenters, gevraagd om cyberincidenten met inbreuken op de cyberbeveiliging binnen zes uur na ontdekking ervan te melden.

De nieuwe circulaire, uitgegeven door het Indian Computer Emergency Response Team (CERT-In), machtigt alle serviceproviders, tussenpersonen, datacenters, bedrijven en overheidsorganisaties om logboeken van al hun ICT-systemen (informatie- en communicatietechnologie) verplicht in te schakelen en veilig te bewaren gedurende een voortschrijdende periode van 180 dagen, en hetzelfde wordt gehandhaafd binnen de Indiase jurisdictie.

Het logboek moet aan CERT-In worden verstrekt, samen met de melding van elk incident of op aanwijzing van het computerhulpverleningsteam.

De stap zal helpen om cybercriminaliteit effectiever te bestrijden, zei minister van staat voor elektronica en IT Rajeev Chandrasekhar in een tweet en vroeg alle bedrijven en ondernemingen “cyberincidenten verplicht te melden aan IndianCERT”.

CERT-In is bevoegd op grond van sectie 70B van de Information Technology Act om informatie over cyberbeveiligingsincidenten te verzamelen, analyseren en verspreiden.

CERT-In zei dat het tijdens de behandeling van cyberincidenten en interacties met de achterban bepaalde hiaten heeft geïdentificeerd die belemmeringen veroorzaken bij de analyse van inbreukincidenten.

“Om de geïdentificeerde lacunes en problemen aan te pakken om responsmaatregelen op incidenten te vergemakkelijken, heeft CERT-In instructies uitgegeven met betrekking tot informatiebeveiligingspraktijken, procedure, preventie, respons en rapportage van cyberincidenten onder de bepalingen van lid (6) van sectie 70B van de Information Technology Act, 2000. Deze richtlijnen worden van kracht na 60 dagen,” zei Cert-In.

Volgens de laatste bestelling moeten datacenters, virtual private server (VPS) providers, cloudserviceproviders en virtual private network service (VPN Service) providers de juiste informatie registreren met betrekking tot abonneenamen, klant die de services inhuurt, eigendomspatroon van de abonnees enz., en deze gedurende vijf jaar of langer te bewaren zoals vereist door de wet.

“Vaak hebben we tijdens verzoeken en onderzoeken van LEA (Law Enforcement Agency) gevallen gezien van niet-opslag of beschikbaarheid van gegevens en goede registraties bij tussenpersonen en serviceproviders. Deze richtlijnen stroomlijnen de te onderhouden datumregistraties en correcte rapportage van beveiliging incidenten naar CERT-In”, zegt Jiten Jain, directeur van het digitale lab van Voyager Infosec.

Er zijn verschillende incidenten geweest van datalekken in Indiase entiteiten die hebben geleid tot het lekken van persoonlijke gegevens van miljoenen individuen.

Sommige bedrijven bleven waarschuwingen van cyberbeveiligingsonderzoekers negeren en handelden pas nadat de gegevens openbaar waren gemaakt.

“Eindgebruikers hebben het recht om te weten of hun gegevens zijn geladen, zodat een persoon zichzelf kan beschermen tegen fraudetransacties, nepleningen, ID-misbruik enz. De overheid zou bedrijven ook moeten dwingen hun gebruikers binnen 24 uur na het incident te informeren. Noch CERT “In noch bedrijven informeren gebruikers. We hebben vorig jaar veel datalekken gezien. Geen van hen heeft hun gebruikers geïnformeerd. Als gevolg hiervan zijn cybercriminaliteit, financiële fraude en ID-misbruik toegenomen”, zegt cybersecurity-onderzoeker Rajshekhar Rajaharia.

Hij zei dat gebruikers nog steeds niet weten of hun KYC (Know Your Customer) en financiële gegevens veilig zijn of niet.


Leave a Reply

Your email address will not be published.