CERT’in Kamuyu Aydınlatma Kurallarından Muaf Tutulması Eleştirildi

Hindistan hükümeti, bir yılı aşkın süredir üzerinde çalışılan muafiyetin onaylanması için 23 Kasım’da bir bildirim yayınladı. CERT-In artık, Bilgi Edinme Hakkı kurallarından muaf olan ve operasyonel ayrıntıları açıklamaya zorlanamayan, merkezi hükümet tarafından işletilen diğer 26 güvenlik ve savunma kuruluşuna katılıyor.

RTI Yasasının kapsamı dışında kalan kuruluşlar arasında yabancı istihbarat teşkilatı Araştırma ve Analiz Kanadı, İstihbarat Bürosu, Ulusal Teknik Araştırma Örgütü, paramiliter güçler, Milli Güvenlik Konseyi Sekreterliği, Merkezi Ekonomik İstihbarat Bürosu ve Gelir İstihbarat Müdürlüğü bulunmaktadır.

RTI Yasası’nın 8(1)(a) Maddesi uyarınca hükümet tarafından muafiyetler tanınmaktadır; bu madde, bilgilerin belirlenmiş kurumlar tarafından ifşa edilmesinin “Hindistan’ın egemenliğine ve bütünlüğüne, güvenliğine, stratejik, bilimsel veya ekonomik çıkarlarına zarar vereceğini” belirtmektedir. Devletin yabancı devletle ilişkisine veya suça tahrike yol açması.”

Casus Yazılım Kullanımı İddialarıyla örtüşüyor

Hükümetin kararı, Apple’ın Hindistan’daki birçok milletvekilinin ve gazetecinin iPhone’larını hedef alan devlet destekli saldırılara ilişkin iddialarını kapsamlı bir şekilde araştıracağına söz vermesinden bir ay sonra geldi.

Kasım ayında Apple, kullanıcıları devlet destekli bir saldırganın hassas verilere, iletişimlere, kameralara ve mikrofonlara uzaktan erişmeye çalıştığı konusunda uyardı ancak daha sonra bu açıklamanın “devlet destekli saldırganların davranışlarını uyarlamalarına yardımcı olabileceğini” belirterek söz konusu tehdidin ayrıntılarını vermeyi reddetti. gelecekte tespit edilmekten kaçının.” Teknoloji devi ayrıca saldırıları devlet destekli herhangi bir saldırganla ilişkilendirmeyi de reddetti (bkz: iPhone Hacking’in Hindistan’daki Casus Yazılım Korkularını Artırdığına ilişkin Apple Alert).

RTI muafiyeti, etkilenen mağdurların CERT-In tarafından yürütülen hükümet soruşturması hakkında ayrıntılı bilgi alamayabilecekleri anlamına geliyor. Ajans, kamu ve özel kuruluşların yardımıyla hükümetin büyük siber güvenlik olaylarına müdahalesini koordine ediyor.

CERT-in ayrıca Hindistan’ın önde gelen sağlık enstitüsü olan Delhi’deki All India Tıp Bilimleri Enstitüsü’ne yönelik büyük bir siber saldırıya ilişkin soruşturmalara da öncülük etti. Bir AIIMS sözcüsü, Bilgi Güvenliği Medya Grubu’na olayın randevular, kayıtlar, kabuller, taburculuklar, faturalandırma ve rapor oluşturma gibi hasta bakım hizmetlerini etkilediğini söyledi (bkz: Fidye Yazılımı Hindistan Premier Hastanesini 2. Gün İçin Bozdu). Daha sonra bir hükümet bakanlığı Çinli bilgisayar korsanlarını AIIMS tarafından yönetilen 40 fiziksel sunucunun beşine sızmakla suçladı.

ISACA elçisi Bay RV Raghu, Information Security Media Group’a, hükümetin CERT-In soruşturmalarını kamu incelemesinden muaf tutma kararının dijital güveni etkileyebileceğini söyledi. “Ulusal güvenlik ile dijital ekosistemlerin güvenilirliği arasında hassas bir denge var. Dijital güvenin sağlanması için kalite, kullanılabilirlik, güvenlik ve gizlilik, etik ve dürüstlük, dayanıklılık ve şeffaflık unsurlarının hepsinin bir araya gelmesi gerekiyor. Daha az güvenlik olayı, daha az güvenlik olayının yaşanmasına neden olabilir. Daha fazla güven için, ancak bu olaylar meydana geldiğinde şeffaflık da olabilir” dedi.

Yeni Delhi merkezli veri gizliliği avukatı Gaurav Bhalla, CERT-In’in AIIMS siber saldırısına ve Apple iPhone’ların devlet destekli hacklenmesine ilişkin soruşturmasının muhtemelen hükümetin bu soruşturmalarla ilgili her türlü bilgiye kapıyı kapatmasına yol açtığını ve bunun ironik olduğunu söyledi. mahremiyet konusundaki tutumu.

“Hükümet, 2023 Dijital Veri Koruma Yasasını çıkararak veri gizliliğinin önemini vurguladı, ancak diğer yandan ulusal siber güvenlik soruşturma kurumunun işleyişini herhangi bir ifşaya karşı korumak istiyor” dedi. “Hükümetin bu gibi gerici eylemleri, kişisel bilgilerin ihlali durumunda gerçekleştirilen eylemler konusunda halk arasında yalnızca şüpheye yol açacaktır.”

‘Sırtını mı koruyorsun?’

Open Security Alliance COO’su ve India Watch’un kurucusu Dinesh Bareja, CERT-In’in 2005 yılında kurulduğunu ancak saldırıların ve hükümet ve kurumsal kuruluşlara yönelik istismarların artması nedeniyle teşkilatın bugün daha önemli hale geldiğini, dolayısıyla RTI muafiyetinin zamanlamasının daha da önem kazandığını belirtti. Anlamsız.

“AIIMS, Safdarjung Hastanesi, Aadhar, CDSL ve çok daha fazlası, siber suçlarda kontrolsüz ve katlanarak artan artışın yanı sıra medyada öncelikli yer kaplıyor. CERT’in görevlendirdiği Denetçiler Birliği’nin, CERT ile birlikte hesap verebilirliği tesis etmesi için çağrılması gerekiyor. Bu olaylar oldu ama kapı hızla kapatıldı; zayıflık gizlendi” diye yakınıyordu.

“Bu sadece, gösterdiğinden çok daha fazlasını yapması gereken bir kuruma koruyucu kılıf takmaya yönelik bir hükümet girişimi. Bu iş arkanızı kollamak değil, önden liderlik etmek.”

Mumbai merkezli CyberXGen’in kurucu ortağı ve baş bilgi güvenliği sorumlusu Venkata Satish Guttula, hükümetin siber suçlarla mücadelede en üst düzey kurumu olan CERT-In’in, bir yandan operasyonel gizliliği korurken diğer yandan da siber suçlara karşı sorumlu kalabileceği bir orta yol hedeflemesi gerektiğini söyledi. halk.

“Ayrıntılı soruşturmaların gizli kalması gerekirken, CERT-In hassas bilgileri açığa çıkarmayan toplu verileri ifşa edebilir. Bu, rapor edilen siber güvenlik olaylarının sayısını, tehdit düzeyine göre kategorize edilen olay türlerini, çözüm istatistiklerini ve ortalama yanıt süresini içerebilir. olaylara” dedi.

Guttula’ya göre CERT-In, belirli güvenlik açıklarını veya etkilenen kuruluşların kimliklerini ifşa etmeden, siber tehditlerdeki eğilimler ve genel tavsiyeler hakkındaki öngörüleri paylaşma şeklindeki birincil rolüne uymalı. “Bu tür açıklamalar, ulusal güvenliği tehlikeye atmayan bir şeffaflık çerçevesi sağlayacak ve muhtemelen yargı denetimi altında sürdürülebilir olacaktır” dedi.

Sektör kurumları ve kuruluşları, CERT-In’in şeffaflığa ve katılıma olan bağlılığı konusundaki endişelerini, kurum kamuya açıklanmaya karşı yasal koruma almadan çok önce dile getirmişti. Ajans, Nisan 2022’de, sektör kuruluşlarının kamuoyunun yorumuyla formüle edilmediğini söylediği bilgi güvenliği uygulamalarına ilişkin kılavuz yayınladı.

CERT-In, kuruluşların siber olayları altı saat içinde kuruma raporlamasını zorunlu kıldı ve VPN sağlayıcılarının, bulut hizmet sağlayıcılarının ve veri merkezlerinin günlükleri 180 gün boyunca tutmasını zorunlu kıldı. Olay analizini hızlandırmak için organizasyonları talep üzerine kurumla bilgi paylaşmaya yönlendirdi. CERT-In, “Bu talimatlar genel siber güvenlik duruşunu geliştirecek ve ülkede güvenli ve güvenilir interneti sağlayacaktır.” dedi.

“CERT-In’in bir yandan kayıtlarımızı ve verilerimizi siber güvenlik olaylarını ele alma kisvesi altında istemesi, buna uyulmaması halinde bir yıl hapis cezasına yol açması ilginç ve talihsiz bir durum, diğer yandan kendisinin bunu istememesi ilginç ve talihsiz bir durum.’ Yeni Delhi merkezli İnternet Özgürlüğü Vakfı, “şeffaf olmak ve vatandaşlara karşı sorumlu tutulmak istemiyorum” dedi.

Grup, CERT-In’in 2022 direktiflerinin uygulanmasını kolaylaştırmak için uygulamaya koyduğu kurumsal süreci anlamak için bilgi edinme hakkı taleplerinde bulunduğunu, ancak ajansın “tepkisiz ve kaçamak” davrandığını ve kuruluşları zor durumda bıraktığını söyledi. talimatları nasıl uygulamaya koyacağınıza dair hiçbir fikriniz yok.

“Bireyler, devletle veya onun herhangi bir aracıyla bilgi paylaşmakla yükümlüdür, ancak ikincisinin böyle bir yükümlülüğü yoktur ve bunun yerine devlete karşı korunur. Vatandaşlara yönelik hesap verebilirlik mekanizmalarını zayıflatmaya yönelik bu tür tutarsız ve sürekli adımlar, dijital haklarımıza tarifsiz zararlar veriyor, ” dedi IFF.