2022 áprilisában az Indian Computer Emergency Response Team (CERT-In) kiberbiztonsági irányelveket vezetett be a kibertámadások elleni küzdelem és az online biztonság megerősítése érdekében. Az új szabályok értelmében a VPN-szolgáltatások és más felhőszolgáltatók kötelesek minden ügyféladatot és IKT-tranzakciót öt évig megőrizni.
A VPN-ipar elítélte az új irányelveket, mondván, hogy az ilyen szigorú törvények ellentétesek a virtuális magánhálózatok alapvető céljával és politikájával. Számos VPN-szolgáltató eltávolította fizikai indiai szervereit.
Mik ezek az új szabályok? És van megoldás?
Mit jelentenek az új adatvédelmi szabályok a VPN-szolgáltatók számára?
Az új irányelvek értelmében a szolgáltatók kötelesek az ügyfelek adatait öt évig vagy tovább nyilvántartani, és kérésre átadni a kormánynak.
A szabályok fogyasztói VPN-ekre vonatkozik; a vállalati vagy vállalati VPN-ek nem tartoznak ebbe a kategóriába.
Az új szabályozás bevezetése után azt jelentené, hogy Indiában minden fizikai szerverrel rendelkező fogyasztói VPN kénytelen lesz tárolni az ügyfelek nyilvántartásait, beleértve:
- Teljes név és cím.
- Telefonszám.
- Email cím.
- Valós IP-cím.
- Új IP-cím (a VPN által kiadott).
- Regisztráció időbélyege.
- Az ügyfelek tulajdonosi mintája.
- A VPN használatának célja.
A VPN-szolgáltatások kötelesek nyilvántartást vezetni a felhasználókról még a szolgáltatás lemondását követően is. Ezek a szabályok nemcsak a felhasználók magánéletét sértik; a legtöbb VPN működésével sem kompatibilisek. Eltekintve a szigorú bejelentkezés tilalmi szabályzat, a hardverkonfiguráció egyes VPN-szolgáltatók számára lehetetlenné teszi az adatok rögzítését.
Az ExpressVPN, a PIA és a Surfshark például olyan RAM-alapú szervereket üzemeltetnek, amelyek a hagyományos merevlemezek helyett illékony RAM-modulokat használnak. Amint a szerverek áramellátása megszűnik, minden adat elveszik.
Az új szabályok eredetileg a bejelentést követő 60 napon belül, azaz július 27-én léptek hatályba. A CERT-In frissítése szerint azonban a határidőt három hónappal meghosszabbították, 2022. szeptember 25-ig.
A bővítés biztosítja a felhőszolgáltatók és a kkv-k számára az új irányok megvalósításához szükséges kapacitás kiépítéséhez szükséges időt. Ennek elmulasztása börtönbüntetést vagy más büntetőintézkedést vonhat maga után.
Hogyan reagált a kiberbiztonsági iparág India adatvédelmi szabályaira?
Az Internet Freedom Foundation (IFF) közleményt adott ki, amelyben ezt a törvényt a felhasználók magánéletének és információbiztonságának megsértésének nevezte.
A VPN-szolgáltatók különösen fellépnek az irányelvek ellen, mivel szembemennek a VPN-ek alapelveivel, vagyis a felhasználók tevékenységének titokban tartásával.
Az ExpressVPN volt az első, amely kihelyezte szervereit Indiából. Leírta a szabályokat mint „tág” és „túlterjedő”, és fenntartotta, hogy az ilyen törvénnyel való esetleges visszaélés messze felülmúlja az előnyöket.
Surfshark hamarosan követte a példát, és bejelentette, hogy leállítja indiai szervereit. Egy blogbejegyzésben, a cég azt mondta,
"A Surfshark büszkén működik a szigorú „no logs” irányelv szerint, így az ilyen új követelmények ellentétesek a vállalat alapvető szellemiségével."
A NordVPN azt is megerősítette, hogy az ország kiberbiztonsági irányelvére válaszul leállítja az indiai szervereket.
Számos más VPN-szolgáltató is ugyanezt az utat mérlegeli, ha az adatvédelmi törvényt a jelenlegi formájában hajtják végre, beleértve:
- Proton VPN.
- CyberGhost.
- Rejts el.
- Tiszta VPN.
- Privado.
Ennek ellenére egyes VPN-ek továbbra is lehetőséget kínálnak indiai IP-cím megszerzésére virtuális szerverek segítségével.
Biztonságosak a virtuális szerverek használata?
Ha Ön magánélet-tudatos felhasználó, és fel kell oldania az indiai tartalmak blokkolását, van egy megoldás a virtuális szerverek formájában. Nem ideális, de még mindig a következő legjobb lehetőség.
A virtuális szerver egy dedikált fizikai szerver szoftver alapú reprezentációja. Újrateremti a funkcionalitást, de hiányzik a fizikai szerver mögöttes gépezet. A hálózati rendszergazdák virtualizációs szoftverrel osztanak fel egy fizikai szervert több virtuális szerverre.
Az olyan VPN-ek, mint a Surfshark és az ExpressVPN, virtuális szervereket használnak az indiai tartalmak blokkolásának feloldására. Ezek a szerverek fizikailag az Egyesült Királyságban és Szingapúrban találhatók, de számos indiai IP-címet használnak, amelyek úgy tűnnek, mintha Indián belülről böngészne az interneten.
Mivel a virtuális szerverek fizikailag nem Indiában találhatók, az új adatmegőrzési törvények nem vonatkoznak rájuk. Továbbra is élvezheti a normál bejelentkezés tilalmat – néhány kisebb hátránnyal. Ide tartozik az erőforrás-felhalmozás és az alacsony teljesítményű problémák. Ez általában akkor fordul elő, ha egyetlen fizikai gép több virtuális szervert üzemeltet, amelyek közül néhány túlzottan kihasználja az erőforrásokat.
A második hátrány a rendelkezésre állásukhoz kapcsolódik. Nem minden VPN-szolgáltatás kínál virtuális szervereket; azok, amelyek igen, általában késésektől és lassú kapcsolati sebességtől szenvednek. Előfordulhat azonban, hogy nagyobb sebességet tapasztalhat, ha olyan országból csatlakozik, ahol ez található.
Mit jelent ez a VPN-felhasználók számára?
Ahogy a legjobb VPN-cégek megszüntetik szervereiket Indiában, a felhasználók aggódnak amiatt, hogy hogyan fogják használni a VPN-szolgáltatásokat. Sok VPN kezdett virtuális szervereket biztosítani igényeik kielégítésére.
Jelenleg nem tudunk olyan VPN-cégekről, amelyek elfogadták volna az adatmegőrzési törvényeket. De ha VPN-t használ, és indiai szervert lát az országok listájában, érdemes a cégnél érdeklődni a saját magánélete érdekében.