La directiva del Equipo de Respuesta a Emergencias de la Computación de la India (CERT-In) sobre el informe de un incidente de seguridad cibernética dentro de las seis horas después de estar al tanto y la falta de claridad sobre lo que constituye un incidente severo o a gran escala, entre otras cosas, podría socavar Investigación de incidentes y respuesta, incluido el despliegue de medidas defensivas, dijo el Grupo de Política de Software BSA.
Recomendamos que las instrucciones soliciten proporcionar un informe inicial de incidentes cibernéticos de alto impacto o severo tan pronto como sea posible o dentro de las 72 horas posteriores a la confirmación de un incidente, lo que sea más rápido, Venkatesh Krishnamoorthy, gerente de campo India en BSA, el Software Alliance, dijo en una carta al Ministerio de Electrónica y Tecnología de la Información el 30 de mayo.
Varias otras organizaciones de defensa de la política tecnológica y la defensa comercial también han planteado preocupaciones sobre las directivas de Cert-In. El Consejo de Negocios de la India de EE. UU., La Coalición Ciberseguridad, la Cámara de Comercio de los Estados Unidos, el Bank Policy Institute, Internet y la Asociación Móvil de India, AccessNow y SFLC.in han escrito al Ministerio y Cert-In, alegando que reglas como la retención de clientes Los detalles de cinco años en proveedores de red privada virtual (VPN) pondrían en riesgo la privacidad de las personas.
Expanden el alcance de la vigilancia masiva, contravengan los principios de necesidad y proporcionalidad reconocidos globalmente, y la minimización de datos y, en última instancia, debilitan la ciberseguridad. Crean efectivamente nuevas vulnerabilidades de ciberseguridad en forma de bases de datos de datos retenidos que pueden ser explotados por actores maliciosos, dijo AccessNow en una carta del 1 de junio a Cert-In.
El 28 de abril, Cert-In había presentado un conjunto de pautas para todas las empresas, intermediarios, centros de datos y organizaciones gubernamentales bajo las cuales cualquier violación de datos debe ser reportada al gobierno dentro de las seis horas posteriores a la que la organización se da cuenta de ello.
Estas directrices también habían ordenado que los proveedores de servicios de VPN mantengan toda la información que habían reunido como parte de las reglas de conocer sus clientes y la entregaron al Gobierno cuando la solicitó.
El 18 de mayo, el Ministerio de Electrónica y la Tecnología de la Información salió con un conjunto de preguntas frecuentes sobre las pautas de certificación durante las cuales aclaró ciertos aspectos de cómo funcionaría la norma de seis horas, junto con los detalles de los proveedores de servicios VPN tendría que conservar durante cinco años.
Indicando que la dura posición del gobierno sobre el tema, el Ministro de Estado para la Tecnología de la Información, Rajeev Chandrasekhar, había dicho que los proveedores de servicios de VPN que no querían adherirse a las últimas pautas de ciberseguridad eran libres de abandonar la India.