În aprilie 2022, Echipa indiană de răspuns în caz de urgență a computerelor (CERT-In) a introdus linii directoare de securitate cibernetică într-un efort de a contracara atacurile cibernetice și de a consolida securitatea online. Noile reguli ar impune ca serviciile VPN și alți furnizori de servicii cloud să mențină toate datele clienților și tranzacțiile TIC timp de cinci ani.
Industria VPN a denunțat noile directive, spunând că astfel de legi stricte contravin scopului și politicii de bază ale rețelelor private virtuale. Mai mulți furnizori de VPN și-au eliminat serverele fizice indiene.
Care sunt aceste reguli noi? Și există o soluție?
Ce înseamnă noile reguli de confidențialitate pentru furnizorii VPN?
Conform noilor instrucțiuni, furnizorii de servicii trebuie să păstreze o evidență a informațiilor clienților timp de cinci ani sau mai mult și să o predea guvernului la cerere.
Regulile se aplică VPN-urilor pentru consumatori; VPN-urile corporative sau de întreprindere nu se încadrează în această categorie.
Noile reglementări, odată implementate, ar însemna că orice VPN pentru consumatori cu servere fizice în India ar fi obligat să stocheze înregistrările clienților, inclusiv:
- Numele complet și adresa.
- Număr de telefon.
- Adresa de e-mail.
- Adresă IP reală.
- Adresă IP nouă (emisă de VPN).
- Timpul de înregistrare.
- Modelul de proprietate al clienților.
- Scopul utilizării VPN-ului.
Serviciile VPN sunt, de asemenea, necesare pentru a menține înregistrări ale utilizatorilor chiar și după ce aceștia au anulat serviciul. Nu numai că aceste reguli încalcă confidențialitatea utilizatorilor; sunt, de asemenea, incompatibile cu modul în care funcționează majoritatea VPN-urilor. În afară de politici stricte fără jurnal, configurația hardware face imposibilă înregistrarea datelor pentru unii furnizori VPN.
ExpressVPN, PIA și Surfshark, de exemplu, operează servere bazate pe RAM care utilizează module RAM volatile în loc de hard disk-uri tradiționale. Odată ce alimentarea este scoasă de la servere, toate datele se pierd.
Inițial, noile reguli erau de așteptat să intre în vigoare în 60 de zile de la anunț, adică pe 27 iulie. Dar, potrivit unei actualizări de la CERT-In, termenul limită a fost prelungit cu trei luni până pe 25 septembrie 2022.
Extensia va oferi furnizorilor de servicii cloud și IMM-urilor timpul necesar pentru a construi capacitatea de implementare a unor noi direcții. Nerespectarea acestora poate duce la închisoare sau la alte acțiuni punitive.
Cum a reacționat industria de securitate cibernetică la regulile de confidențialitate ale Indiei?
Internet Freedom Foundation (IFF) a emis o declarație în care a numit această lege o încălcare a confidențialității și a securității informațiilor utilizatorilor.
Furnizorii de servicii VPN, în special, sunt în luptă împotriva liniilor directoare, deoarece contravin principiilor de bază ale VPN-urilor, care este de a păstra activitatea utilizatorilor privată.
ExpressVPN a fost primul care și-a mutat serverele din India. A descris regulile ca „larg” și „exagerat” și a susținut că potențiala utilizare greșită a unei astfel de legi depășește cu mult beneficiile.
Surfshark Curând a urmat exemplul și a anunțat închiderea serverelor sale indiene. Într-o postare pe blog, a spus compania,
„Surfshark funcționează cu mândrie în conformitate cu o politică strictă „fără jurnale”, așa că astfel de cerințe noi vin împotriva etosului de bază al companiei.”
NordVPN a confirmat, de asemenea, că închide serverele indiene ca răspuns la directiva de securitate cibernetică a țării.
Câțiva alți furnizori de servicii VPN iau în considerare aceeași cale dacă legea confidențialității este implementată în forma sa actuală, inclusiv:
- Proton VPN.
- CyberGhost.
- Ascunde-mă.
- VPN pur.
- Privat.
În ciuda acestui fapt, unele VPN-uri oferă încă o modalitate de a obține o adresă IP indiană folosind servere virtuale.
Sunt serverele virtuale sigure de utilizat?
Dacă sunteți un utilizator conștient de confidențialitate și trebuie să deblocați conținutul indian, există o soluție de soluție sub formă de servere virtuale. Nu este ideal, dar este încă cea mai bună opțiune.
Un server virtual este o reprezentare bazată pe software a unui server fizic dedicat. Recreează funcționalitatea, dar îi lipsește echipamentul de bază al unui server fizic. Administratorii de rețea folosesc software de virtualizare pentru a împărți un server fizic în mai multe servere virtuale.
VPN-urile precum Surfshark și ExpressVPN folosesc servere virtuale pentru a ajuta utilizatorii să deblocheze conținutul indian. Aceste servere sunt situate fizic în Regatul Unit și Singapore, dar folosesc o serie de adrese IP indiene care fac să pară că ați naviga pe web din India.
Deoarece serverele virtuale nu sunt situate fizic în India, noile legi privind păstrarea datelor nu se aplică acestora. Vă bucurați în continuare de politica obișnuită de interzicere a jurnalelor, cu câteva dezavantaje minore. Acestea includ acumularea de resurse și probleme de performanță scăzută. Acest lucru se întâmplă de obicei atunci când o singură mașină fizică găzduiește mai multe servere virtuale, dintre care unele pot începe să utilizeze în exces resursele.
Al doilea dezavantaj se referă la disponibilitatea lor. Nu toate serviciile VPN oferă servere virtuale; cei care o fac, de obicei suferă de întârzieri și viteze reduse de conectare. Cu toate acestea, este posibil să vedeți viteze mai mari dacă vă conectați dintr-o țară în care se află.
Ce înseamnă asta pentru utilizatorii VPN?
Pe măsură ce companiile VPN de top își termină serverele în India, utilizatorii sunt îngrijorați de modul în care vor folosi serviciile VPN. Multe VPN-uri au început să ofere servere virtuale pentru a răspunde nevoilor lor.
Deocamdată, nu cunoaștem nicio companie VPN care să fi fost de acord cu legile privind păstrarea datelor. Dar dacă utilizați un VPN și vedeți un server indian în lista de țări, merită să verificați cu compania propria confidențialitate.