印度政府发布了新指令,要求组织在六小时内向CERT-IN报告网络安全事件,即使这些事件是计算机系统的端口或漏洞扫描。这一要求是由印度的计算机应急响应小组(CERT-In) 提出的,该小组表示已确定了导致安全事件分析和响应困难的具体差距,为了解决这些问题,它需要采取更积极的措施。这些措施和其他各种规定4月28日的通知发布,并被纳入2000年信息技术(IT)法案第70B条,因此它们是印度法律的一部分,将在60天内生效。美国的网络安全事件报告法的要求是,确信网络事件发生后的72小时内或勒索事件后支付赎金后24小时内报告,我国的关基安全保护条例未有细化的具体时间要求。印度此举要求6小时报告,专家认为存在落实实施的困难。

哪些事件要报告?

最值得注意的新要求是,任何互联网服务提供商、中介、数据中心或政府组织都应在注意到这些事件后的六个小时内将这些事件报告给CERT-In。

这同样适用于第三方向这些实体报告的事件,因此这些服务提供商必须确保收到的提示不会丢失或忽略,而是及时处理和评估。

必须向CERT-In报告的网络安全事件类型如下:

  1. 有针对性地扫描/探测关键网络/系统

  2. 危及关键系统/信息

  3. 未经授权访问IT系统/数据

  4. 网站污损或入侵网站以及未经授权的更改,例如插入恶意代码链接到外部网站等。

  5. 恶意代码攻击,例如传播病毒/蠕虫/木马/机器人/间谍软件/勒索软件/加密矿工

  6. 攻击数据库、邮件和DNS等服务器以及路由器等网络设备

  7. 身份盗用、欺骗和网络钓鱼攻击

  8. 拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击

  9. 对关键基础设施、SCADA和运营技术系统以及无线网络的攻击

  10. 对电子政务、电子商务等应用程序的攻击。

  11. 数据入侵

  12. 数据泄露

  13. 对物联网 IoT)设备和相关系统、网络、软件、服务器的攻击

  14. 影响数字支付系统的攻击或事件

  15. 通过恶意移动应用程序进行的攻击

  16. 假手机应用程序

  17. 未经授权访问社交媒体帐户

  18. 影响云计算系统/服务器/软件/应用程序的攻击或恶意/可疑活动

  19. 影响与大数据、区块链、虚拟资产、虚拟资产交易所、托管钱包、机器人、3D和4D打印、增材制造和无人机相关的系统/服务器/网络/软件/应用程序的攻击或恶意/可疑活动

为了进行适当的协调,上述所有实体都需要连接到国家信息中心(NIC)或国家物理实验室(NPL) 的NTP服务器,并与它们同步它们的系统时钟。

最后,上述服务提供商的所有系统日志必须在印度管辖范围内安全在保留180 天,并应与任何安全事件报告一起或在机构要求时提供给CERT-In。

保留用户数据

新指南还包括关于VPS虚拟专用服务器)和VPN(虚拟专用网络)服务提供商的部分,他们现在有义务维护其用户的记录。

数据采集期在用户注册取消或撤销后长达五年,如果未来的法规要求,数据采集期甚至更长。

将保留的数据包括以下内容:

  1. 使用服务的订户/客户的经过验证的名称

  2. 租用期,包括日期

  3. 分配给成员/被成员使用的 IP

  4. 注册/入职时使用的电子邮件地址和 IP 地址以及时间戳

  5. 参与服务的目的

  6. 经验证的地址和联系电话

  7. 订户/客户租赁服务的所有权模式

这同样适用于虚拟资产(加密货币)服务提供商,包括交易所和钱包管理服务,他们现在将保留客户详细信息至少五年。

印度Cert-In的职能

A)收集、分析和传播有关网络事件的信息;

B)网络安全事件的预测和预警;

C)网络安全事件应急处理措施;

D)协调网络事件响应活动;

E)发布与信息安全实践、程序、网络事件的预防、响应和报告有关的指南、报告、漏洞说明和白皮书;

F)可能规定的与网络安全有关的其他职能。

新规落实恐难度较大

Cyble的创始人Benu Arora评论了这些新要求的潜在影响,Cyble是一家在印度拥有强大影响力的网络情报公司,他预计实施这一新规将具有挑战性。虽然政府的意图值得注意,但遵守该指令并非易事,因为它需要组织任命额外的员工并投入大量管理时间来满足报告要求。

该行业已经在努力解决熟练的网络安全专业人员的严重短缺问题,并且考虑到一个典型的组织每天都会经历多次网络攻击,以规定的格式向CERT-IN 报告这些攻击中的每一个都可能构成运营挑战。允许各个组织将其事件报告无缝提交给 CERT-IN的自动化事件报告平台有助于确保更有效的实施。

关于网络安全事件报告,目前各国都有相应的立法或制度规定,要求报告的事件定义范围、主体、对象、时限不尽相同,但具体的实施效果尚需时间检验。美国《网络事件报告法》则规定了事后报告,且明确了报告时限“有理由相信网络事件发生后的72小时内”“支付赎金后24小时内”;并要求CISA出台最终规则进一步明确网络事件报告的方式、时间、格式、生效日期。我国的《关键信息基础设施安全保护条例》规定的报告方式包括事前、事中、事后报告,但未限制报告时限。从操作层面看,我国的关基保护《条例》还处于实施的初始阶段,关于网络安全事件报告的相关规则需要进一步细化。

参考资源

1、https://www.bleepingcomputer.com/news/security/india-to-require-cybersecurity-incident-reporting-within-six-hours/

2、https://www.pib.gov.in/PressReleasePage.aspx?PRID=1820904

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。