W kwietniu 2022 r. indyjski zespół reagowania na incydenty komputerowe (CERT-In) wprowadził wytyczne dotyczące cyberbezpieczeństwa w celu przeciwdziałania cyberatakom i wzmocnienia bezpieczeństwa online. Nowe przepisy wymagałyby od usług VPN i innych dostawców usług w chmurze utrzymywania wszystkich danych klientów i transakcji ICT przez pięć lat.

Branża VPN potępiła nowe dyrektywy, mówiąc, że tak rygorystyczne przepisy są sprzeczne z podstawowym celem i polityką wirtualnych sieci prywatnych. Kilku dostawców VPN usunęło swoje fizyczne indyjskie serwery.

Jakie są te nowe zasady? Czy istnieje obejście?

Co oznaczają nowe zasady prywatności dla dostawców VPN?

Zgodnie z nowymi wytycznymi dostawcy usług są zobowiązani do prowadzenia rejestru informacji o klientach przez pięć lat lub dłużej i przekazywania go rządowi na żądanie.

Zasady stosuje się do konsumenckich sieci VPN; Sieci VPN korporacyjne lub korporacyjne nie należą do tej kategorii.

Wdrożenie nowych przepisów oznaczałoby, że każda konsumencka sieć VPN z fizycznymi serwerami w Indiach byłaby zmuszona do przechowywania danych klientów, w tym:

instagram viewer

  • Pełna nazwa i adres.
  • Numer telefonu.
  • Adres e-mail.
  • Rzeczywisty adres IP.
  • Nowy adres IP (nadany przez VPN).
  • Znacznik czasu rejestracji.
  • Wzór własności klientów.
  • Cel korzystania z VPN.

Usługi VPN są również wymagane do prowadzenia ewidencji użytkowników nawet po anulowaniu usługi. Zasady te nie tylko naruszają prywatność użytkowników; są również niezgodne ze sposobem działania większości sieci VPN. Oprócz ścisłe zasady braku logów, konfiguracja sprzętowa uniemożliwia niektórym dostawcom VPN rejestrowanie danych.

Na przykład ExpressVPN, PIA i Surfshark obsługują serwery oparte na pamięci RAM, które wykorzystują ulotne moduły pamięci RAM zamiast tradycyjnych dysków twardych. Po odłączeniu zasilania od serwerów wszystkie dane są tracone.

Początkowo oczekiwano, że nowe przepisy wejdą w życie w ciągu 60 dni od ogłoszenia, tj. 27 lipca. Jednak zgodnie z aktualizacją CERT-In termin został przedłużony o trzy miesiące do 25 września 2022 r.

Rozbudowa zapewni dostawcom usług w chmurze i MŚP czas niezbędny do zbudowania zdolności do wdrażania nowych kierunków. Niespełnienie tych wymagań może prowadzić do pozbawienia wolności lub innych działań karnych.

Jak branża cyberbezpieczeństwa zareagowała na indyjskie zasady ochrony prywatności?

Internetowa Fundacja Wolności (IFF) wydała oświadczenie, w którym uznała tę ustawę za naruszenie prywatności i bezpieczeństwa informacji użytkowników.

W szczególności dostawcy usług VPN sprzeciwiają się wytycznym, ponieważ naruszają podstawowe zasady VPN, które polegają na zachowaniu prywatności aktywności użytkowników.

ExpressVPN jako pierwszy przeniósł swoje serwery z Indii. Opisywał zasady jako „szerokie” i „nadmierne” i utrzymywał, że potencjalne nadużycie takiego prawa znacznie przewyższa korzyści.

Surfshark wkrótce poszedł w ich ślady i ogłosił zamknięcie swoich indyjskich serwerów. W poście na blogu, firma powiedziała,

„Surfshark z dumą działa zgodnie ze ścisłą polityką „braku logów”, więc takie nowe wymagania są sprzeczne z podstawowym etosem firmy”.

NordVPN potwierdził również, że zamyka indyjskie serwery w odpowiedzi na krajową dyrektywę o cyberbezpieczeństwie.

Kilku innych dostawców usług VPN rozważa tę samą drogę, jeśli prawo prywatności zostanie wdrożone w obecnej formie, w tym:

  • Protonowy VPN.
  • CyberGhost.
  • Ukryj mnie.
  • Czysta sieć VPN.
  • Prywatność.

Mimo to niektóre sieci VPN nadal oferują sposób na uzyskanie indyjskiego adresu IP za pomocą serwerów wirtualnych.

Czy korzystanie z serwerów wirtualnych jest bezpieczne?

Jeśli jesteś użytkownikiem dbającym o prywatność i chcesz odblokować indyjskie treści, istnieje obejście w postaci serwerów wirtualnych. To nie jest idealne, ale nadal jest najlepszą opcją.

Serwer wirtualny to programowa reprezentacja dedykowanego serwera fizycznego. Odtwarza funkcjonalność, ale brakuje mu podstawowego mechanizmu fizycznego serwera. Administratorzy sieci używają oprogramowania do wirtualizacji, aby podzielić serwer fizyczny na wiele serwerów wirtualnych.

Sieci VPN, takie jak Surfshark i ExpressVPN, używają wirtualnych serwerów, aby pomóc użytkownikom odblokować indyjskie treści. Serwery te są fizycznie zlokalizowane w Wielkiej Brytanii i Singapurze, ale korzystają z szeregu indyjskich adresów IP, które sprawiają wrażenie, że przeglądasz Internet z Indii.

Ponieważ serwery wirtualne nie są fizycznie zlokalizowane w Indiach, nowe przepisy dotyczące przechowywania danych nie mają do nich zastosowania. Nadal cieszysz się normalną polityką braku logów — z pewnymi drobnymi wadami. Obejmują one zbieranie zasobów i problemy z niską wydajnością. Zwykle dzieje się tak, gdy pojedyncza maszyna fizyczna obsługuje kilka serwerów wirtualnych, z których niektóre mogą zacząć nadużywać zasobów.

Druga wada dotyczy ich dostępności. Nie wszystkie usługi VPN oferują serwery wirtualne; te, które to robią, zwykle cierpią z powodu opóźnień i wolnych prędkości połączenia. Możesz jednak zobaczyć większe prędkości, jeśli łączysz się z kraju, w którym się znajduje.

Co to oznacza dla użytkowników VPN?

Ponieważ czołowe firmy VPN zamykają swoje serwery w Indiach, użytkownicy obawiają się, w jaki sposób będą korzystać z usług VPN. Wiele sieci VPN zaczęło dostarczać serwery wirtualne, aby zaspokoić ich potrzeby.

Na razie nie znamy żadnych firm VPN, które zgodziły się na przepisy dotyczące przechowywania danych. Ale jeśli korzystasz z VPN i widzisz indyjski serwer na liście krajów, warto sprawdzić w firmie swoją prywatność.