2022 áprilisában az Indian Computer Emergency Response Team (CERT-In) kiberbiztonsági irányelveket vezetett be a kibertámadások elleni küzdelem és az online biztonság megerősítése érdekében. Az új szabályok értelmében a VPN-szolgáltatások és más felhőszolgáltatók kötelesek minden ügyféladatot és IKT-tranzakciót öt évig megőrizni.

A VPN-ipar elítélte az új irányelveket, mondván, hogy az ilyen szigorú törvények ellentétesek a virtuális magánhálózatok alapvető céljával és politikájával. Számos VPN-szolgáltató eltávolította fizikai indiai szervereit.

Mik ezek az új szabályok? És van megoldás?

Mit jelentenek az új adatvédelmi szabályok a VPN-szolgáltatók számára?

Az új irányelvek értelmében a szolgáltatók kötelesek az ügyfelek adatait öt évig vagy tovább nyilvántartani, és kérésre átadni a kormánynak.

A szabályok fogyasztói VPN-ekre vonatkozik; a vállalati vagy vállalati VPN-ek nem tartoznak ebbe a kategóriába.

Az új szabályozás bevezetése után azt jelentené, hogy Indiában minden fizikai szerverrel rendelkező fogyasztói VPN kénytelen lesz tárolni az ügyfelek nyilvántartásait, beleértve:

  • Teljes név és cím.
  • Telefonszám.
  • Email cím.
  • Valós IP-cím.
  • Új IP-cím (a VPN által kiadott).
  • Regisztráció időbélyege.
  • Az ügyfelek tulajdonosi mintája.
  • A VPN használatának célja.

A VPN-szolgáltatások kötelesek nyilvántartást vezetni a felhasználókról még a szolgáltatás lemondását követően is. Ezek a szabályok nemcsak a felhasználók magánéletét sértik; a legtöbb VPN működésével sem kompatibilisek. Eltekintve a szigorú bejelentkezés tilalmi szabályzat, a hardverkonfiguráció egyes VPN-szolgáltatók számára lehetetlenné teszi az adatok rögzítését.

Az ExpressVPN, a PIA és a Surfshark például olyan RAM-alapú szervereket üzemeltetnek, amelyek a hagyományos merevlemezek helyett illékony RAM-modulokat használnak. Amint a szerverek áramellátása megszűnik, minden adat elveszik.

Az új szabályok eredetileg a bejelentést követő 60 napon belül, azaz július 27-én léptek hatályba. A CERT-In frissítése szerint azonban a határidőt három hónappal meghosszabbították, 2022. szeptember 25-ig.

A bővítés biztosítja a felhőszolgáltatók és a kkv-k számára az új irányok megvalósításához szükséges kapacitás kiépítéséhez szükséges időt. Ennek elmulasztása börtönbüntetést vagy más büntetőintézkedést vonhat maga után.

Hogyan reagált a kiberbiztonsági iparág India adatvédelmi szabályaira?

Az Internet Freedom Foundation (IFF) közleményt adott ki, amelyben ezt a törvényt a felhasználók magánéletének és információbiztonságának megsértésének nevezte.

A VPN-szolgáltatók különösen fellépnek az irányelvek ellen, mivel szembemennek a VPN-ek alapelveivel, vagyis a felhasználók tevékenységének titokban tartásával.

Az ExpressVPN volt az első, amely kihelyezte szervereit Indiából. Leírta a szabályokat mint „tág” és „túlterjedő”, és fenntartotta, hogy az ilyen törvénnyel való esetleges visszaélés messze felülmúlja az előnyöket.

Surfshark hamarosan követte a példát, és bejelentette, hogy leállítja indiai szervereit. Egy blogbejegyzésben, a cég azt mondta,

"A Surfshark büszkén működik a szigorú „no logs” irányelv szerint, így az ilyen új követelmények ellentétesek a vállalat alapvető szellemiségével."

A NordVPN azt is megerősítette, hogy az ország kiberbiztonsági irányelvére válaszul leállítja az indiai szervereket.

Számos más VPN-szolgáltató is ugyanezt az utat mérlegeli, ha az adatvédelmi törvényt a jelenlegi formájában hajtják végre, beleértve:

  • Proton VPN.
  • CyberGhost.
  • Rejts el.
  • Tiszta VPN.
  • Privado.

Ennek ellenére egyes VPN-ek továbbra is lehetőséget kínálnak indiai IP-cím megszerzésére virtuális szerverek segítségével.

Biztonságosak a virtuális szerverek használata?

Ha Ön magánélet-tudatos felhasználó, és fel kell oldania az indiai tartalmak blokkolását, van egy megoldás a virtuális szerverek formájában. Nem ideális, de még mindig a következő legjobb lehetőség.

A virtuális szerver egy dedikált fizikai szerver szoftver alapú reprezentációja. Újrateremti a funkcionalitást, de hiányzik a fizikai szerver mögöttes gépezet. A hálózati rendszergazdák virtualizációs szoftverrel osztanak fel egy fizikai szervert több virtuális szerverre.

Az olyan VPN-ek, mint a Surfshark és az ExpressVPN, virtuális szervereket használnak az indiai tartalmak blokkolásának feloldására. Ezek a szerverek fizikailag az Egyesült Királyságban és Szingapúrban találhatók, de számos indiai IP-címet használnak, amelyek úgy tűnnek, mintha Indián belülről böngészne az interneten.

Mivel a virtuális szerverek fizikailag nem Indiában találhatók, az új adatmegőrzési törvények nem vonatkoznak rájuk. Továbbra is élvezheti a normál bejelentkezés tilalmat – néhány kisebb hátránnyal. Ide tartozik az erőforrás-felhalmozás és az alacsony teljesítményű problémák. Ez általában akkor fordul elő, ha egyetlen fizikai gép több virtuális szervert üzemeltet, amelyek közül néhány túlzottan kihasználja az erőforrásokat.

A második hátrány a rendelkezésre állásukhoz kapcsolódik. Nem minden VPN-szolgáltatás kínál virtuális szervereket; azok, amelyek igen, általában késésektől és lassú kapcsolati sebességtől szenvednek. Előfordulhat azonban, hogy nagyobb sebességet tapasztalhat, ha olyan országból csatlakozik, ahol ez található.

Mit jelent ez a VPN-felhasználók számára?

Ahogy a legjobb VPN-cégek megszüntetik szervereiket Indiában, a felhasználók aggódnak amiatt, hogy hogyan fogják használni a VPN-szolgáltatásokat. Sok VPN kezdett virtuális szervereket biztosítani igényeik kielégítésére.

Jelenleg nem tudunk olyan VPN-cégekről, amelyek elfogadták volna az adatmegőrzési törvényeket. De ha VPN-t használ, és indiai szervert lát az országok listájában, érdemes a cégnél érdeklődni a saját magánélete érdekében.