В апреле 2022 года Индийская группа реагирования на компьютерные чрезвычайные ситуации (CERT-In) представила рекомендации по кибербезопасности, чтобы противостоять кибератакам и усилить безопасность в Интернете. Новые правила требуют от VPN-сервисов и других поставщиков облачных услуг хранить все данные о клиентах и ​​транзакции ИКТ в течение пяти лет.

Индустрия VPN осудила новые директивы, заявив, что такие строгие законы противоречат основной цели и политике виртуальных частных сетей. Несколько провайдеров VPN удалили свои физические серверы в Индии.

Что это за новые правила? И есть ли обходной путь?

Что означают новые правила конфиденциальности для провайдеров VPN?

В соответствии с новыми указаниями поставщики услуг обязаны вести учет информации о клиентах в течение пяти или более лет и передавать ее правительству по запросу.

Правила применять к потребительским VPN; корпоративные или корпоративные VPN не попадают в эту категорию.

После введения новых правил любой потребительский VPN с физическими серверами в Индии будет вынужден хранить записи о клиентах, в том числе:

instagram viewer
  • Полное имя и адрес.
  • Номер телефона.
  • Адрес электронной почты.
  • Фактический IP-адрес.
  • Новый IP-адрес (выданный VPN).
  • Отметка времени регистрации.
  • Модель собственности клиентов.
  • Цель использования VPN.

Службы VPN также обязаны вести учет пользователей даже после того, как они отменили услугу. Эти правила не только нарушают конфиденциальность пользователей; они также несовместимы с тем, как работает большинство VPN. Отдельно от строгая политика отсутствия журналов, аппаратная конфигурация не позволяет некоторым провайдерам VPN записывать данные.

ExpressVPN, PIA и Surfshark, например, используют серверы с оперативной памятью, которые используют энергозависимые модули оперативной памяти вместо традиционных жестких дисков. После отключения питания серверов все данные теряются.

Первоначально ожидалось, что новые правила вступят в силу в течение 60 дней после объявления, то есть 27 июля. Но, согласно обновлению CERT-In, крайний срок был продлен на три месяца до 25 сентября 2022 года.

Расширение предоставит поставщикам облачных услуг и МСП время, необходимое для наращивания потенциала для реализации новых направлений. Несоблюдение этих требований может привести к тюремному заключению или другим карательным мерам.

Как индустрия кибербезопасности отреагировала на правила конфиденциальности Индии?

Фонд свободы Интернета (IFF) выступил с заявлением, назвав этот закон нарушением конфиденциальности пользователей и информационной безопасности.

Поставщики услуг VPN, в частности, выступают против рекомендаций, поскольку они противоречат основным принципам VPN, которые заключаются в том, чтобы сохранять конфиденциальность действий пользователей.

ExpressVPN был первым, кто перенес свои серверы из Индии. В нем описаны правила как «широкий» и «чрезмерный», и утверждал, что потенциальное неправильное использование такого закона намного перевешивает преимущества.

Серфшарк вскоре последовал его примеру и объявил об отключении своих индийских серверов. В сообщении в блоге, заявила компания,

«Surfshark с гордостью работает в соответствии со строгой политикой отсутствия журналов, поэтому такие новые требования идут вразрез с основным духом компании».

NordVPN также подтвердил, что прекращает работу индийских серверов в соответствии с директивой страны о кибербезопасности.

Несколько других провайдеров VPN-услуг рассматривают тот же маршрут, если закон о конфиденциальности будет реализован в его текущей форме, в том числе:

  • Протон VPN.
  • КиберПризрак.
  • Спрячь меня.
  • Чистый VPN.
  • Привадо.

Несмотря на это, некоторые VPN по-прежнему предлагают способ получить индийский IP-адрес с помощью виртуальных серверов.

Безопасно ли использовать виртуальные серверы?

Если вы заботитесь о конфиденциальности и вам нужно разблокировать индийский контент, есть обходной путь в виде виртуальных серверов. Это не идеальный вариант, но все же это следующий лучший вариант.

Виртуальный сервер — это программное представление выделенного физического сервера. Он воссоздает функциональность, но ему не хватает базового механизма физического сервера. Сетевые администраторы используют программное обеспечение для виртуализации, чтобы разделить физический сервер на несколько виртуальных серверов.

Такие VPN, как Surfshark и ExpressVPN, используют виртуальные серверы, чтобы помочь пользователям разблокировать индийский контент. Эти серверы физически расположены в Великобритании и Сингапуре, но используют ряд индийских IP-адресов, из-за чего создается впечатление, что вы просматриваете Интернет из Индии.

Поскольку виртуальные серверы физически не расположены в Индии, новые законы о хранении данных на них не распространяются. Вам по-прежнему нравится обычная политика отсутствия журналов — с некоторыми небольшими недостатками. К ним относятся перегрузка ресурсов и проблемы с низкой производительностью. Обычно это происходит, когда на одной физической машине размещается несколько виртуальных серверов, некоторые из которых могут начать чрезмерно использовать ресурсы.

Второй недостаток связан с их доступностью. Не все службы VPN предлагают виртуальные серверы; те, которые это делают, обычно страдают от задержек и низкой скорости соединения. Однако вы можете увидеть более высокие скорости, если вы подключаетесь из страны, в которой он находится.

Что это значит для пользователей VPN?

Поскольку ведущие VPN-компании прекращают работу своих серверов в Индии, пользователи обеспокоены тем, как они будут использовать VPN-сервисы. Многие VPN начали предоставлять виртуальные серверы для удовлетворения своих потребностей.

На данный момент мы не знаем ни одной VPN-компании, которая согласилась бы с законами о хранении данных. Но если вы пользуетесь VPN и видите в списке стран индийский сервер, стоит уточнить у компании собственную конфиденциальность.