Шестичасовой вызов: новые ИБ-правила в Индии сведут с ума любого CISO

Новые правила кибербезопасности в Индии вызвали обеспокоенность в отрасли телекоммуникаций. Согласно требованиям Министерства телекоммуникаций, компании обязаны назначать главного специалиста по безопасности связи и сообщать о киберинцидентах в течение шести часов. Однако эксперты указывают на множество проблем, связанных с внедрением этих правил.

Юристы подчёркивают, что отсутствие определения термина «трафик данных» вызывает неопределённость относительно объёма информации, которую может запросить правительство. Более того, отсутствуют ограничения на срок хранения данных, что может привести к их бесконечному накоплению без законодательных рамок, нарушая права на конфиденциальность.

Сравнение с международными стандартами также вызывает вопросы. Например, в США и ЕС предусмотрен 72-часовой срок для уведомления о киберинцидентах, что значительно превышает шестичасовой лимит в новых индийских правилах. Эксперты называют эти требования слишком амбициозными и труднореализуемыми.

Представители телекоммуникационных компаний предупреждают, что соблюдение новых норм приведёт к увеличению расходов. В перспективе эти издержки могут быть перенесены на потребителей через повышение тарифов. При этом степень удорожания будет зависеть от размера оператора и его текущих процессов кибербезопасности.

Для снижения затрат эксперты рекомендуют использовать автоматизацию и инструменты на базе искусственного интеллекта. Также компании могут активнее привлекать сторонние консалтинговые фирмы, обладающие необходимыми инструментами и опытом для обеспечения соответствия новым требованиям.

Некоторые аспекты правил критикуются за чрезмерные обязательства для телеком-компаний. Юристы считают, что операторы не могут гарантировать предотвращение злоупотреблений со стороны пользователей, что делает эти положения неосуществимыми на практике.

Нововведения объясняются стремлением усилить контроль над сектором, который содержит чувствительную информацию. Однако отсутствие ясности в правилах и высокие требования создают риски для отрасли, требуя дальнейших доработок для сбалансированного подхода к правам граждан и вопросам безопасности.