Aprila 2022 je indijska ekipa za odzivanje na računalniške nujne primere (CERT-In) predstavila smernice za kibernetsko varnost, da bi preprečila kibernetske napade in okrepila spletno varnost. Nova pravila bi zahtevala, da storitve VPN in drugi ponudniki storitev v oblaku vzdržujejo vse podatke o strankah in transakcije IKT pet let.

Industrija VPN je obsodila nove direktive, češ da so tako strogi zakoni v nasprotju z osnovnim namenom in politiko virtualnih zasebnih omrežij. Več ponudnikov VPN je odstranilo svoje fizične indijske strežnike.

Kakšna so ta nova pravila? In ali obstaja rešitev?

Kaj nova pravila o zasebnosti pomenijo za ponudnike VPN?

V skladu z novimi navodili morajo ponudniki storitev hraniti evidenco podatkov o strankah pet let ali več in jo na zahtevo predati vladi.

Pravila veljajo za potrošniška VPN; korporativni ali poslovni VPN-ji ne spadajo v to kategorijo.

Ko bodo novi predpisi uvedeni, bodo vsi potrošniški VPN s fizičnimi strežniki v Indiji prisiljeni shranjevati zapise strank, vključno z:

  • Polno ime in naslov.
  • Telefonska številka.
  • Email naslov.
  • Dejanski naslov IP.
  • Nov naslov IP (izdal ga je VPN).
  • Časovni žig registracije.
  • Lastniški vzorec strank.
  • Namen uporabe VPN.

Storitve VPN morajo vzdrževati evidenco uporabnikov tudi po preklicu storitve. Ne samo, da ta pravila kršijo zasebnost uporabnikov; prav tako niso združljivi z načinom delovanja večine VPN-jev. Poleg strogi pravilniki o prepovedi zapisovanja, konfiguracija strojne opreme nekaterim ponudnikom VPN onemogoča beleženje podatkov.

ExpressVPN, PIA in Surfshark na primer upravljajo strežnike, ki temeljijo na RAM-u in namesto tradicionalnih trdih diskov uporabljajo hlapne module RAM. Ko je napajanje izklopljeno iz strežnikov, so vsi podatki izgubljeni.

Nova pravila naj bi sprva začela veljati v 60 dneh po objavi, torej 27. julija. Toda glede na posodobitev CERT-In je bil rok podaljšan za tri mesece do 25. septembra 2022.

Razširitev bo ponudnikom storitev v oblaku in MSP zagotovila čas, potreben za izgradnjo zmogljivosti za izvajanje novih usmeritev. Neupoštevanje teh lahko povzroči zaporno kazen ali druge kaznovalne ukrepe.

Kako se je industrija kibernetske varnosti odzvala na indijska pravila o zasebnosti?

Fundacija za svobodo interneta (IFF) je izdala izjavo, v kateri je ta zakon označila za kršitev zasebnosti uporabnikov in varnosti informacij.

Zlasti ponudniki storitev VPN se upirajo smernicam, saj so v nasprotju z osnovnimi načeli VPN, to je ohraniti zasebnost dejavnosti uporabnikov.

ExpressVPN je bil prvi, ki je svoje strežnike preselil iz Indije. Opisala je pravila kot "široka" in "pretirana" ter trdil, da morebitna zloraba takega zakona močno odtehta koristi.

Surfshark kmalu sledil zgledu in napovedal zaprtje svojih indijskih strežnikov. V objavi na blogu, je družba dejala,

"Surfshark ponosno deluje v skladu s strogo politiko "brez dnevnikov", zato so takšne nove zahteve v nasprotju z osnovnim etosom podjetja."

NordVPN je tudi potrdil, da ukinja indijske strežnike kot odgovor na državno direktivo o kibernetski varnosti.

Več drugih ponudnikov storitev VPN razmišlja o isti poti, če se zakon o zasebnosti izvaja v trenutni obliki, vključno z:

  • Proton VPN.
  • CyberGhost.
  • Skrij me.
  • Čisti VPN.
  • Privado.

Kljub temu nekatera omrežja VPN še vedno ponujajo način za pridobitev indijskega naslova IP z uporabo virtualnih strežnikov.

Ali so virtualni strežniki varni za uporabo?

Če ste uporabnik, ki se zaveda zasebnosti in morate odblokirati indijsko vsebino, obstaja rešitev v obliki virtualnih strežnikov. Ni idealen, vendar je še vedno naslednja najboljša možnost.

Navidezni strežnik je programska predstavitev namenskega fizičnega strežnika. Ponovno ustvarja funkcionalnost, vendar nima osnovnih strojev fizičnega strežnika. Omrežni skrbniki uporabljajo programsko opremo za virtualizacijo, da fizični strežnik razdelijo na več virtualnih strežnikov.

VPN-ji, kot sta Surfshark in ExpressVPN, uporabljajo virtualne strežnike, da uporabnikom pomagajo pri odblokiranju indijske vsebine. Ti strežniki so fizično locirani v Združenem kraljestvu in Singapurju, vendar uporabljajo vrsto indijskih naslovov IP, zaradi katerih je videti, kot da brskate po spletu iz Indije.

Ker virtualni strežniki niso fizično locirani v Indiji, novi zakoni o hrambi podatkov zanje ne veljajo. Še vedno uživate v običajni politiki brez zapisov - z nekaj manjšimi pomanjkljivostmi. Ti vključujejo težave z izčrpanostjo virov in nizko zmogljivostjo. To se običajno zgodi, ko en sam fizični stroj gosti več virtualnih strežnikov, od katerih lahko nekateri začnejo prekomerno porabljati vire.

Druga pomanjkljivost je njihova dostopnost. Vse storitve VPN ne ponujajo virtualnih strežnikov; tisti, ki to počnejo, običajno trpijo zaradi zamikov in nizke hitrosti povezave. Vendar boste morda videli večje hitrosti, če se povezujete iz države, v kateri se nahaja.

Kaj to pomeni za uporabnike VPN?

Ker vrhunska podjetja VPN ukinjajo svoje strežnike v Indiji, so uporabniki zaskrbljeni, kako bodo uporabljali storitve VPN. Številni VPN-ji so začeli zagotavljati virtualne strežnike, da bi zadovoljili njihove potrebe.

Trenutno ne poznamo nobenega podjetja VPN, ki bi se strinjalo z zakoni o hrambi podatkov. Če pa uporabljate VPN in na seznamu držav vidite indijski strežnik, je vredno preveriti svojo zasebnost pri podjetju.