Governo Indiano aperta regras para reportar ataques digitais

O governo Indiano revelou novas regras relativamente à resposta das empresas sobre incidentes de segurança digital, sendo que agora vão começar a ser aplicadas medidas mais restritivas na forma como a resposta é fornecida.

De acordo com a nova legislação, as entidades alvo de ataques digitais onde possam ter sido comprometidos dados dos utilizadores devem comunicar os mesmos à CERT-IN no período de seis horas. Estes comunicados devem ser feitos até mesmo se os géneros de ataques forem scans de portas e vulnerabilidades aos sistemas internos das empresas.

Esta nova política, apesar de ser vista como um reforço para garantir a segurança digital, ao mesmo tempo também tem vindo a ser alvo de criticas, uma vez que envolve uma pesada carga de trabalho que muitos consideram ser impossível de gerir e comunicar.

A CERT-In deve ser comunicada de todos os incidentes que sejam no formato de exploração de ataques, nomeadamente com a exploração de portas vulneráveis e direcionados a sistemas críticos, ataques de malware, acesso indevido a dados internos das empresas ou roubos de informações pessoais.

Ataques focados para dispositivos da Internet das Coisas, sistemas de pagamentos e falsas aplicações para dispositivos móveis também devem ser reportadas dentro do mesmo período.

Existem ainda novas regras para as empresas que fornecem serviços de VPS e VPN aos consumidores, onde passa a ser necessário manter um registo dos clientes que usam estes géneros de serviços. Dentro dos dados que devem ser mantidos encontram-se os nomes dos clientes, moradas, endereços IP usados para a aquisição dos serviços, entre outros.

Estas novas regras têm, no entanto, levantado algumas questões tanto a nível da forma como os meios devem ser reportados, o que pode ser complicado para muitas entidades de realizar dentro do período estipulado, mas também sobre a possível recolha de dados pessoais que pode ser feita como fruto da mesma.