Op 28 april kondigde India nieuwe IT-richtlijnen aan die vereisen dat bijna alle IT-activiteiten uitgebreid worden gelogd, meld je infosec-incidenten binnen zes uur na detectie, keep records van klant-IP-adressen voor clouds en VPN’s en nog veel meer … met naleving vereist volgende dinsdag. Oh, en Cert-IN is blij dat je rapporten over beveiligingsincidenten faxen, wat zeer vreemd is omdat de reden is om de Indiase autoriteiten betere inlichtingen over bedreigingen te geven.
Een goed excuus om 90% van mijn afdeling naar India uit te besteden.
Ze krijgen toch niets gedaan, alles wat ze doen is ongevraagd commits maken om 3 uur 's ochtends, alles breken en dan uitstappen en wachten tot ik inlog en het repareer zonder dat ik weet dat er iets kapot is.
Eerlijk gezegd was ik aan het lachen omdat ik dat niet hoef te doen, maar ik zou het echt kunnen. Zet een centrale logserver op. Graylog is waarschijnlijk de beste kant-en-klare setup die je snel aan de gang krijgt.
Geeft het echt iemand iets of niet? Ik hoorde hier toevallig over van SurfShark, een commerciële VPN. Ze schakelen hun Indiase servers gewoon uit, en gebruiken op de een of andere manier servers elders “met een Indiase IP” wat dat ook betekent.
We laten India meestal hun eigen gang gaan in mijn bedrijf.
Elk jaar of twee worden we gevraagd om telefoniediensten in India te implementeren, maar geven we na twee of drie vergaderingen op vanwege de complexiteit van de regelgeving en het feit dat de lokale kantoren niet willen betalen. Ik moet dit binnenkort weer oppakken. Wie weet, misschien komt dit project ooit verder dan de planningsfase.
Als je 8 uur slaapt met meldingen uit, en je wordt gehackt in de eerste 2 uur van je slaap, val je buiten de verplichte 6 uur en kun je gewoon je dag voortzetten.
Gezien het feit dat de Indiase politie moeite heeft om de bestaande wetten af te dwingen, denk ik niet dat dit iemand zal treffen die niet in of met India werkt.
Hallo politie, als je naar deze 4 computers bij de ingang kijkt, dit is een legitiem callcenter. Kijk niet naar de andere 5 rijen van 10 pc’s elk, en de contantgeldoverschrijvingen voor betalingen, of onze bankgegevens, of Google onze organisatie naam, of…
Uitbesteders zijn meestal een apart bedrijf. Ze moeten logs leveren, maar ik kan me niet voorstellen dat dat ook die van hun klanten bevat.
Als dat wel zo is, dan zie ik VEEL grote bedrijven snel hun contract met India beëindigen.
Het is niet eens een kwestie van de regels niet leuk vinden. Het zou in strijd zijn met wetten zoals HIPAA en PII. Het zou betekenen dat je je eigen bedrijfs- en klantprivacy niet meer kunt waarborgen.
Bid voor IT Jezus voor mij. Mijn hele serverteam wordt uitbesteed aan India (Accenture), ik ben vreselijk nerveus. Ik kijk te veel naar Indiase scam call-video’s en mijn vertrouwen is laag.