Das indische Computer- und Notfallteam CERT-In hat am Donnerstag neue Richtlinien veröffentlicht, nach denen Dienstanbieter, Vermittler, Datenzentren und staatliche Stellen verpflichtet sind, Cybersicherheitsvorfälle, einschließlich Datenschutzverletzungen, innerhalb von sechs Stunden zu melden.
„Jeder Dienstleister, Vermittler, jedes Datenzentrum, jede juristische Person und jede Regierungsorganisation ist verpflichtet, Cyber-Vorfälle […] innerhalb von sechs Stunden, nachdem sie solche Vorfälle bemerkt haben oder über solche Vorfälle informiert wurden, an das CERT-In zu melden“, so die Regierung in einer Mitteilung.
Zu den Vorfällen, die unter die Meldepflicht fallen, gehören unter anderem die Kompromittierung kritischer Systeme, gezieltes Scannen, unbefugter Zugang zu Computern und Konten in sozialen Medien, die Verunstaltung von Websites, der Einsatz von Malware, Identitätsdiebstahl, DDoS-Angriffe, Datenschutzverletzungen und Datenlecks, betrügerische mobile Apps und Angriffe auf Server und Netzwerkgeräte wie Router und IoT-Geräte.
Die Regierung erklärte, dass sie diese Schritte unternimmt, um sicherzustellen, dass die erforderlichen Indikatoren für eine Kompromittierung (Indicators of Compromise, IoC), die mit den Sicherheitsereignissen in Verbindung stehen, schnell zur Hand sind, um „die Analyse, Untersuchung und Koordinierung gemäß den gesetzlichen Bestimmungen durchzuführen“.
Die Anweisungen weisen die betroffenen Organisationen außerdem an, die Uhren der IKT-Systeme mit dem Network Time Protocol (NTP)-Server des Nationalen Informatikzentrums (NIC) oder des Nationalen Physikalischen Labors (NPL) zu synchronisieren, die Protokolle der IKT-Systeme für einen Zeitraum von 180 Tagen aufzubewahren und von den Anbietern von VPN-Diensten zu verlangen, Informationen wie Namen, Adressen, Telefonnummern, E-Mails und IP-Adressen der Abonnenten mindestens fünf Jahre lang aufzubewahren.
Darüber hinaus verlangen die Regeln, die nach 60 Tagen in Kraft treten, von Anbietern virtueller Vermögenswerte, Börsen und Depotbanken, dass sie Aufzeichnungen über ihre Kunden (KYC) und Finanztransaktionen fünf Jahre lang aufbewahren.
„Diese Anweisungen sollen die allgemeine Cybersicherheit verbessern und ein sicheres und vertrauenswürdiges Internet im Land gewährleisten“, so das indische Ministerium für Elektronik und Informationstechnologie (MeitY) in einer Erklärung.