V apríli 2022 zaviedol indický tím pre počítačovú núdzovú reakciu (CERT-In) usmernenia pre kybernetickú bezpečnosť v snahe čeliť kybernetickým útokom a posilniť online bezpečnosť. Nové pravidlá by vyžadovali, aby služby VPN a ďalší poskytovatelia cloudových služieb uchovávali všetky údaje o zákazníkoch a transakcie IKT počas piatich rokov.
Odvetvie VPN odsúdilo nové smernice s tým, že takéto prísne zákony sú v rozpore so základným účelom a politikou virtuálnych súkromných sietí. Niekoľko poskytovateľov VPN odstránilo svoje fyzické indické servery.
Aké sú tieto nové pravidlá? A existuje nejaké riešenie?
Čo znamenajú nové pravidlá ochrany osobných údajov pre poskytovateľov VPN?
Podľa nových pokynov sú poskytovatelia služieb povinní uchovávať záznamy o informáciách zákazníkov päť rokov alebo dlhšie a na požiadanie ich odovzdať vláde.
Pravidlá vzťahovať na spotrebiteľské siete VPN; podnikové alebo podnikové VPN nepatria do tejto kategórie.
Po implementácii nových predpisov by každá spotrebiteľská sieť VPN s fyzickými servermi v Indii bola nútená uchovávať záznamy zákazníkov vrátane:
- Celé meno a adresa.
- Telefónne číslo.
- Emailová adresa.
- Skutočná IP adresa.
- Nová adresa IP (vydaná sieťou VPN).
- Časová pečiatka registrácie.
- Vzor vlastníctva zákazníkov.
- Účel použitia VPN.
Služby VPN sú tiež povinné uchovávať záznamy o používateľoch aj po zrušení služby. Nielenže tieto pravidlá porušujú súkromie používateľov; sú tiež nekompatibilné so spôsobom fungovania väčšiny sietí VPN. Okrem prísne zásady neprihlásenia, hardvérová konfigurácia znemožňuje niektorým poskytovateľom VPN zaznamenávať údaje.
ExpressVPN, PIA a Surfshark napríklad prevádzkujú servery založené na RAM, ktoré namiesto tradičných pevných diskov používajú volatilné moduly RAM. Po odpojení napájania zo serverov sa všetky údaje stratia.
Pôvodne sa očakávalo, že nové pravidlá nadobudnú účinnosť do 60 dní od oznámenia, t. j. 27. júla. Ale podľa aktualizácie od CERT-In bol termín predĺžený o tri mesiace do 25. septembra 2022.
Rozšírenie poskytne poskytovateľom cloudových služieb a MSP čas potrebný na vybudovanie kapacity na implementáciu nových smerov. Ich nesplnenie môže viesť k uväzneniu alebo inému trestnému konaniu.
Ako reagovalo odvetvie kybernetickej bezpečnosti na pravidlá ochrany osobných údajov Indie?
Internet Freedom Foundation (IFF) vydala vyhlásenie, v ktorom označila tento zákon za porušenie súkromia používateľov a bezpečnosti informácií.
Najmä poskytovatelia služieb VPN sú v zbrani proti usmerneniam, pretože sú v rozpore so základnými princípmi sietí VPN, ktorými je zachovať súkromie činnosti používateľov.
ExpressVPN bol prvý, kto presunul svoje servery z Indie. Opisoval pravidlá ako „široký“ a „presahujúci“ a tvrdil, že potenciálne zneužitie takéhoto zákona ďaleko prevyšuje jeho výhody.
Surfshark čoskoro nasledovala príklad a oznámila odstavenie svojich indických serverov. V blogovom príspevku, uviedla spoločnosť,
„Surfshark hrdo funguje podľa prísnej politiky „bez protokolov“, takže takéto nové požiadavky sú v rozpore so základným étosom spoločnosti.“
NordVPN tiež potvrdil, že ukončuje indické servery v reakcii na smernicu krajiny o kybernetickej bezpečnosti.
Niekoľko ďalších poskytovateľov služieb VPN zvažuje rovnakú cestu, ak sa zákon o ochrane osobných údajov implementuje v jeho súčasnej podobe, vrátane:
- Proton VPN.
- CyberGhost.
- Schovaj ma.
- Čistá VPN.
- Súkromie.
Napriek tomu niektoré siete VPN stále ponúkajú spôsob, ako získať indickú IP adresu pomocou virtuálnych serverov.
Sú virtuálne servery bezpečné?
Ak ste používateľom, ktorý si dáva pozor na súkromie a potrebujete odblokovať indický obsah, existuje riešenie vo forme virtuálnych serverov. Nie je to ideálne, ale stále je to ďalšia najlepšia možnosť.
Virtuálny server je softvérová reprezentácia vyhradeného fyzického servera. Obnovuje funkčnosť, ale chýba základné zariadenie fyzického servera. Správcovia siete používajú virtualizačný softvér na rozdelenie fyzického servera na viacero virtuálnych serverov.
VPN ako Surfshark a ExpressVPN používajú virtuálne servery na pomoc používateľom odblokovať indický obsah. Tieto servery sa fyzicky nachádzajú v Spojenom kráľovstve a Singapure, ale používajú rad indických adries IP, vďaka ktorým to vyzerá, akoby ste si prehliadali web z Indie.
Keďže virtuálne servery nie sú fyzicky umiestnené v Indii, nové zákony o uchovávaní údajov sa na ne nevzťahujú. Stále sa vám páči normálna politika bez protokolovania – s niektorými menšími nevýhodami. Patria medzi ne problémy so zdrojmi a nízky výkon. Zvyčajne sa to stane, keď jeden fyzický počítač hostí niekoľko virtuálnych serverov, z ktorých niektoré môžu začať nadmerne využívať zdroje.
Druhá nevýhoda sa týka ich dostupnosti. Nie všetky služby VPN ponúkajú virtuálne servery; tie, ktoré áno, zvyčajne trpia oneskoreniami a pomalými rýchlosťami pripojenia. Ak sa však pripájate z krajiny, v ktorej sa nachádza, môžete vidieť vyššiu rýchlosť.
Čo to znamená pre používateľov VPN?
Keďže špičkové spoločnosti VPN ukončujú svoje servery v Indii, používatelia sa obávajú, ako budú využívať služby VPN. Mnoho sietí VPN začalo poskytovať virtuálne servery, aby vyhovovali ich potrebám.
Zatiaľ nevieme o žiadnych spoločnostiach VPN, ktoré súhlasili so zákonmi o uchovávaní údajov. Ak však používate sieť VPN a v zozname krajín vidíte indický server, oplatí sa overiť si súkromie u spoločnosti.