von Jack Porter
Anfang dieses Jahres hat die indische Regierung neue Richtlinien erlassen, die Unternehmen dazu verpflichten, Vorfälle im Bereich der Cybersicherheit zu melden. Im Folgenden führen wir die verschiedenen Events und Vorfälle aus. Das indische Computer Emergency Response Team (CERT-In) hat diese Vorschrift angeregt. CERT-In hat nach eigenen Angaben spezifische Sicherheitslücken entdeckt, die Schwierigkeiten bei der Analyse von sicherheitsrelevanten Vorfällen und der Reaktion darauf bereiten und daher offensive Maßnahmen erfordern.
Die strenge Meldepflicht wurde im Juni 2022 gemäß Abschnitt 70B des Information Technology (IT) Act von 2000 in das indische Recht aufgenommen. Kleinst-, kleinen und mittelständischen Unternehmen (KKMU) wurde jedoch eine Verlängerung gewährt, die im September 2022 in Kraft trat.
Sofortige Benachrichtigung über sicherheitsrelevante Vorfälle
Die wichtigste neue Anforderung besteht darin, dass jeder Internet-Service-Provider (ISP), jedes zwischengeschaltete Unternehmen, jedes Data-Center und jede Regierungsorganisation diese Vorfälle innerhalb von sechs Stunden, nachdem sie diese bemerkt haben, an CERT-In melden muss.
Dasselbe gilt für sicherheitsrelevante Vorfälle, die von Dritten an diese Unternehmen und Organisationen gemeldet werden: Die Service-Provider müssen demnach also auch sicherstellen, dass eingehende Hinweise nicht verloren gehen oder ignoriert werden, sondern gemäß der neuen Richtlinie bearbeitet und ausgewertet werden.
Zu diesen meldepflichtigen, sicherheitsrelevanten Vorfällen gehören:
- gezieltes Scannen und Sondieren von kritischen Netzwerken/Systemen
- Kompromittierung kritischer Systeme/Daten
- unbefugter Zugriff auf IT-Systeme/Daten
- Beeinträchtigung einer Website oder Eindringen in eine Website sowie unbefugte Änderungen wie das Einfügen von Schadcode-Links in externe Websites, etc.
- Angriffe mit schadhaftem Code wie die Verbreitung von Viren/Würmern/Trojanern/Bots/Spyware/Ransomware/Krypto-Minern
- Angriffe auf Datenbank-, Mail-, DNS- und weitere Server sowie auf Netzwerkgeräte wie Router
- Identitätsdiebstahl, Spoofing und Phishing-Attacken
- Denial of Service (DoS)-Attacken und Distributed Denial of Service (DDoS)-Attacken
- Angriffe auf kritische Infrastrukturen, SCADA-Systeme, Betriebstechnik sowie auf drahtlose Netzwerke
- Angriffe auf Anwendungen wie E-Governance, E-Commerce, etc.
- Datenschutzverletzungen
- Datenverlust
- Angriffe auf IoT-Geräte (IoT: Internet of Things) sowie zugehörige Systeme, Netzwerke, Software und Server
- Angriffe oder sicherheitsrelevante Vorfälle, die digitale Zahlungssysteme betreffen
- Angriffe durch schadhafte mobile Apps
- unbefugter Zugriff auf Social-Media-Konten
- Angriffe oder schadhafte/verdächtige Aktivitäten, die sich auf Cloud-Computing-Systeme/-Server/-Software/-Anwendungen auswirken
Um die Maßnahmen für diese Gesetzgebung zu koordinieren, müssen sich die oben genannten Unternehmen und Organisationen mit dem NTP-Server des National Informatics Centre (NIC) oder des National Physical Laboratory (NPL) verbinden und ihre Systemuhren mit diesen synchronisieren.
Zudem müssen die Service-Provider alle Logdaten und Systemprotokolle im Rahmen der indischen Rechtsprechung für einen fortlaufenden Zeitraum von 180 Tagen sicher aufbewahren. Darüber hinaus müssen sie diese Daten zusammen mit Berichten zu sicherheitsrelevanten Vorfällen dem CERT-In auf Anfrage zur Verfügung stellen können.
Wo liegen die Herausforderungen?
Auch wenn das Vorhaben der indischen Regierung anerkennenswert ist, erfordert die Einhaltung dieser Richtlinie, dass Unternehmen ihre Belegschaft aufstocken und einen erheblichen Zeitaufwand für die Erfüllung dieser Meldepflichten investieren.
Zudem besteht ein branchenweiter Mangel an qualifizierten Cybersecurity-Experten und ein typisches Unternehmen ist mehrmals täglich Cyberangriffen ausgesetzt. Die Meldung jedes einzelnen Angriffs an CERT-In in einem vorgeschriebenen Format stellt somit eine große operative Herausforderung dar.
Ein Lösungsvorschlag hierfür sind automatisierte Melde-Plattformen für sicherheitsrelevante Vorfälle. Diese würden es Unternehmen und Organisationen ermöglichen, ihre Incident-Reports nahtlos an CERT-In zu übermitteln und könnten zu einer effektiveren Umsetzung beitragen.
Die Umsetzung sowie die Auswirkungen dieser gesetzlichen Anforderungen erweisen sich als Herausforderung. Aber es gibt Möglichkeiten, diese zu bewältigen.
Die anstehenden Herausforderungen bewältigen
In den vergangenen sechs Monaten – seit Inkrafttreten der neuen Gesetzgebung – konnte Logpoint ein verstärktes Engagement von Endanwendern und MSSPs feststellen, die eine Converged SIEM-Plattform implementieren möchten, um die strengen Anforderungen zu erfüllen.
Eine konvergente Lösung ermöglicht es MSSPs, automatisierte Playbooks zu nutzen und SOC-Daten um zusätzliche Informationen anzureichern, sodass sich Tier-1-Analysten um die wesentlichen, wertschöpfende Aufgaben wie die Suche nach Bedrohungen kümmern können. Dank eines ausgewogenen Verhältnisses zwischen Mensch und Technologie können MSSPs Burnouts und Alert Fatigue (Alarmmüdigkeit) vermeiden, den Druck auf Analysten verringern, arbeitsintensive Aufgaben zu erfüllen, und die Produktivität steigern.
Natürlich gibt es, wie bei jeder Sammlung und Speicherung von Daten, Compliance-Anforderungen wie die DSGVO in der EU. In Indien regelt derzeit der Information Technology Act 2000 den Datenschutz, angemessene Sicherheitspraktiken und -verfahren sowie den Umgang mit sensible Daten. Auch die Information Rules aus dem Jahr 2011 (Data Protection Rules) fallen unter die IT-Gesetzgebung.
Indien nimmt sich mit der Personal Data Protection Bill (PDPB) oder dem Personal Data Protection Act (PDPA) ein Beispiel an der EU. Diese Gesetzesentwürfe beziehungsweise verabschiedeten Gesetze regeln die Erhebung, Verarbeitung, Speicherung, Nutzung, Übertragung sowie den Schutz und die Offenlegung personenbezogener Daten der in Indien ansässigen Menschen.
So stellen Sie sicher, dass erkannte Bedrohungen rechtzeitig übermittelt werden – Playbooks
Um es einfach auszudrücken: Mit Logpoint müssen Sie lediglich ein automatisiertes Playbook ausführen. Ein Analyst kann entweder selbst oder mit Unterstützung und Anleitung von Logpoint ein Playbook erstellen. Dieses Playbook bereitet automatisch alle Daten eines sicherheitsrelevanten Vorfalls auf, erstellt einen Bericht und sendet diesen – nach der Bestätigung durch den Analysten – an die Behörden (CERT-In). Das Playbook kann jedes Mal ausgelöst werden, wenn eine Bedrohung erkannt wird.
Mit Logpoint Converged SIEM können Analysten sicher sein, dass ihnen alle erforderlichen Tools kompakt und aus einer Hand zur Verfügung stehen: SIEM+SOAR, UEBA und BCS for SAP. Diese Tools stellen sicher, dass Analysten dank der Automatisierung und Dashboards aktuelle und künftige Bedrohungen schnell erkennen, eindämmen und darauf reagieren können.
Falls Sie Unterstützung dabei benötigen, Playbooks zu erstellen und zu implementieren, können Sie uns jederzeit gerne hier kontaktieren.