インド政府、企業や政府機関にサイバーインシデント認識後 6 時間以内の報告義務付けへ 9
ストーリー by headless
義務 部門より
義務 部門より
インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した
(プレスリリース、
The Register の記事、
指令: PDF)。
報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。
報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。
な~に (スコア:0)
認識しなければ報告する必要はない
(関連)みずほFG、今は障害認知から1時間以内に対応できる
https://srad.jp/story/22/04/27/1551210/ [srad.jp]
> 「今は(障害認知から)1時間以内に連絡が来る。部長レベルの会議もやる」
Re:な~に (スコア:1)
記事を見る限り、通報義務があるのは外部攻撃によって引き起こされるインシデントなので、
単純なシステム障害や人的障害であるみずほの場合は報告しなくてヨシ!
Re:な~に (スコア:1)
そうやって嘲笑するのは簡単だが、
ほとんど全ての企業、環境庁、大学、その他法人はみずほ未満のレベルだということを認識すべき。
「ウチは中小だから関係ない(関係なくない)」「うちの研究室は学生、教員向けだから関係ない(インターネットからアクセスできるなら関係なくない)」とか思ってて、いざサイト改ざんされたら、一次対応何するかも決めてないし、どこに連絡すべきかもわかってないでしょ。
Re: (スコア:0)
Re: (スコア:0)
環境省(外局の原子力規制)庁がみずほ未満なのは羞恥の事実だから...
ひと月前にサイバー攻撃を受けた原子力規制委員会、いまだに電話かFAXでしか連絡取れず
https://srad.jp/story/20/11/26/1743254/ [srad.jp]
Re: (スコア:0)
例えば4月末にバリュードメイン管理の共有サーバーが丸ごとクラックされてるけど、これアナウンスしてないよね。こんなのばっかり。
http://zone-h.org/archive/ip=183.90.183.154 [zone-h.org]
なおインド軍の場合 (スコア:0)
パキスタン軍や中国軍(人民解放軍w)と軍事衝突が発生した場合、6時間以内の政府(国防省・首相・大統領)への報告ができるのかね?
Re: (スコア:0)
常世から報告はキツイなぁ…