През април 2022 г. индийският екип за компютърно реагиране при извънредни ситуации (CERT-In) въведе насоки за киберсигурност в опит да противодейства на кибератаките и да засили онлайн сигурността. Новите правила изискват VPN услугите и други доставчици на облачни услуги да поддържат всички клиентски данни и ИКТ транзакции в продължение на пет години.
VPN индустрията осъди новите директиви, заявявайки, че такива строги закони противоречат на основната цел и политика на виртуалните частни мрежи. Няколко доставчици на VPN премахнаха своите физически индийски сървъри.
Какви са тези нови правила? И има ли заобиколно решение?
Какво означават новите правила за поверителност за доставчиците на VPN?
Съгласно новите указания от доставчиците на услуги се изисква да съхраняват информация за клиентите в продължение на пет години или повече и да я предават на правителството при поискване.
Правилата се прилага за потребителски VPN; корпоративни или корпоративни VPN не попадат в тази категория.
Новите разпоредби, след като бъдат приложени, ще означават, че всеки потребителски VPN с физически сървъри в Индия ще бъде принуден да съхранява записи на клиенти, включително:
- Пълно име и адрес.
- Телефонен номер.
- Имейл адрес.
- Действителен IP адрес.
- Нов IP адрес (издаден от VPN).
- Време на регистрация.
- Модел на собственост на клиентите.
- Целта на използването на VPN.
VPN услугите също са длъжни да поддържат записи на потребителите дори след като са анулирали услугата. Тези правила не само са в нарушение на поверителността на потребителите; те също са несъвместими с начина, по който работят повечето VPN. Освен на стриктни политики без регистрация, хардуерната конфигурация прави невъзможно някои VPN доставчици да записват данни.
ExpressVPN, PIA и Surfshark, например, управляват базирани на RAM сървъри, които използват модули с летлива RAM памет вместо традиционните твърди дискове. След като захранването бъде прекъснато от сървърите, всички данни се губят.
Първоначално се очакваше новите правила да влязат в сила до 60 дни след обявяването им, т.е. на 27 юли. Но според актуализация от CERT-In крайният срок е удължен с три месеца до 25 септември 2022 г.
Разширението ще предостави на доставчиците на облачни услуги и на МСП времето, необходимо за изграждане на капацитет за прилагане на нови насоки. Неспазването им може да доведе до лишаване от свобода или други наказателни действия.
Как индустрията за киберсигурност реагира на правилата за поверителност на Индия?
Фондацията за свобода на интернет (IFF) излезе с изявление, в което нарече този закон нарушение на поверителността и информационната сигурност на потребителите.
Доставчиците на VPN услуги, по-специално, се противопоставят на насоките, тъй като те противоречат на основните принципи на VPN, което е да се запази частната дейност на потребителите.
ExpressVPN беше първият, който премести сървърите си извън Индия. Описваше правилата като „широк“ и „прекомерен“ и поддържа, че потенциалната злоупотреба с такъв закон далеч надвишава ползите.
Surfshark скоро последва примера и обяви затварянето на своите индийски сървъри. В публикация в блог, компанията каза,
„Surfshark с гордост работи съгласно стриктна политика „без регистрация“, така че такива нови изисквания противоречат на основния дух на компанията.“
NordVPN също потвърди, че прекратява индийските сървъри в отговор на директивата за киберсигурност на страната.
Няколко други доставчици на VPN услуги обмислят същия маршрут, ако законът за поверителност бъде приложен в настоящата му форма, включително:
- Proton VPN.
- CyberGhost.
- Скрий ме.
- Чист VPN.
- Привадо.
Въпреки това някои VPN все още предлагат начин за получаване на индийски IP адрес с помощта на виртуални сървъри.
Виртуалните сървъри безопасни ли са за използване?
Ако сте потребител, който държи на поверителността и трябва да деблокирате индийско съдържание, има заобиколно решение под формата на виртуални сървъри. Не е идеален, но все пак е следващият най-добър вариант.
Виртуалният сървър е софтуерно представяне на специален физически сървър. Той пресъздава функционалността, но му липсва основната машина на физически сървър. Мрежовите администратори използват софтуер за виртуализация, за да разделят физически сървър на множество виртуални сървъри.
VPN като Surfshark и ExpressVPN използват виртуални сървъри, за да помогнат на потребителите да деблокират индийско съдържание. Тези сървъри са физически разположени в Обединеното кралство и Сингапур, но използват редица индийски IP адреси, които правят да изглежда така, сякаш сърфирате в мрежата от Индия.
Тъй като виртуалните сървъри не се намират физически в Индия, новите закони за запазване на данни не се прилагат за тях. Все още се наслаждавате на нормалната политика без регистрация - с някои дребни недостатъци. Те включват проблеми с изчерпването на ресурсите и ниската производителност. Това обикновено се случва, когато една физическа машина хоства няколко виртуални сървъра, някои от които може да започнат да използват прекомерно ресурси.
Вторият недостатък е свързан с тяхната наличност. Не всички VPN услуги предлагат виртуални сървъри; тези, които го правят, обикновено страдат от забавяне и ниска скорост на връзката. Въпреки това може да видите по-високи скорости, ако се свързвате от държава, в която се намира.
Какво означава това за потребителите на VPN?
Тъй като водещите VPN компании прекратяват своите сървъри в Индия, потребителите се притесняват как ще използват VPN услугите. Много VPN мрежи започнаха да предоставят виртуални сървъри, за да отговорят на техните нужди.
Към момента не сме запознати с VPN компании, които са се съгласили със законите за запазване на данни. Но ако използвате VPN и видите индийски сървър в списъка с държави, струва си да се консултирате с компанията за собствената си поверителност.
