I april 2022 introducerede det indiske Computer Emergency Response Team (CERT-In) retningslinjer for cybersikkerhed i et forsøg på at imødegå cyberangreb og styrke online sikkerhed. De nye regler vil kræve, at VPN-tjenester og andre cloud-tjenesteudbydere vedligeholder alle kundedata og IKT-transaktioner i fem år.

VPN-industrien har fordømt de nye direktiver og sagt, at sådanne strenge love går imod det grundlæggende formål og politik for virtuelle private netværk. Flere VPN-udbydere har fjernet deres fysiske indiske servere.

Hvad er disse nye regler? Og er der en løsning?

Hvad betyder de nye privatlivsregler for VPN-udbydere?

I henhold til de nye anvisninger er tjenesteudbydere forpligtet til at føre en fortegnelse over kundernes oplysninger i fem år eller længere og aflevere dem til regeringen efter anmodning.

Reglerne gælder for forbruger-VPN'er; virksomheds- eller virksomheds-VPN'er falder ikke ind under denne kategori.

De nye regler, når de er implementeret, vil betyde, at enhver forbruger-VPN med fysiske servere i Indien vil blive tvunget til at gemme kundernes optegnelser, herunder:

instagram viewer

  • Fulde navn og adresse.
  • Telefonnummer.
  • Email adresse.
  • Faktisk IP-adresse.
  • Ny IP-adresse (udstedt af VPN).
  • Tidsstempel for registrering.
  • Kundernes ejerskabsmønster.
  • Formål med at bruge VPN.

VPN-tjenester er også påkrævet for at vedligeholde brugerregistreringer, selv efter at de har annulleret tjenesten. Ikke alene er disse regler i strid med brugernes privatliv; de er også inkompatible med den måde, de fleste VPN'er fungerer på. Bortset fra strenge politikker uden logs, gør hardwarekonfigurationen det umuligt for nogle VPN-udbydere at optage data.

ExpressVPN, PIA og Surfshark driver for eksempel RAM-baserede servere, der bruger flygtige RAM-moduler i stedet for traditionelle harddiske. Når strømmen er fjernet fra serverne, går alle data tabt.

De nye regler forventedes oprindeligt at træde i kraft inden for 60 dage efter bekendtgørelsen, dvs. den 27. juli. Men ifølge en opdatering fra CERT-In er fristen forlænget med tre måneder til den 25. september 2022.

Udvidelsen vil give cloud-tjenesteudbydere og SMV'er den tid, der kræves til at opbygge kapaciteten til at implementere nye retninger. Manglende opfyldelse af disse kan føre til fængsling eller andre straffehandlinger.

Hvordan reagerede cybersikkerhedsindustrien på Indiens privatlivsregler?

Internet Freedom Foundation (IFF) udsendte en erklæring, der kalder denne lov en krænkelse af brugernes privatliv og informationssikkerhed.

Specielt VPN-tjenesteudbydere er oppe imod retningslinjerne, da de går imod VPN'ernes grundlæggende principper, som er at holde brugernes aktivitet privat.

ExpressVPN var den første til at flytte sine servere ud af Indien. Den beskrev reglerne som "bred" og "overskridende" og fastholdt, at det potentielle misbrug af en sådan lov langt opvejer fordelene.

Surfshark snart fulgte trop og annoncerede at lukke sine indiske servere. I et blogindlæg, sagde virksomheden,

"Surfshark opererer stolt under en streng "ingen logs"-politik, så sådanne nye krav går imod virksomhedens kerneetos."

NordVPN bekræftede også, at det afslutter indiske servere som svar på landets cybersikkerhedsdirektiv.

Flere andre VPN-tjenesteudbydere overvejer den samme rute, hvis privatlivsloven implementeres i sin nuværende form, herunder:

  • Proton VPN.
  • CyberGhost.
  • Gem mig.
  • Ren VPN.
  • Privado.

På trods af dette tilbyder nogle VPN'er stadig en måde at få en indisk IP-adresse ved hjælp af virtuelle servere.

Er virtuelle servere sikre at bruge?

Hvis du er en privatlivsbevidst bruger og har brug for at fjerne blokeringen af ​​indisk indhold, er der en løsning i form af virtuelle servere. Det er ikke ideelt, men er stadig den næstbedste mulighed.

En virtuel server er en softwarebaseret repræsentation af en dedikeret fysisk server. Det genskaber funktionaliteten, men mangler det underliggende maskineri af en fysisk server. Netværksadministratorer bruger virtualiseringssoftware til at opdele en fysisk server i flere virtuelle servere.

VPN'er som Surfshark og ExpressVPN bruger virtuelle servere til at hjælpe brugere med at fjerne blokeringen af ​​indisk indhold. Disse servere er fysisk placeret i Storbritannien og Singapore, men bruger en række indiske IP-adresser, der får det til at se ud, som om du surfer på nettet fra Indien.

Da virtuelle servere ikke er fysisk placeret i Indien, gælder de nye love om dataopbevaring ikke for dem. Du nyder stadig den normale politik uden logs – med nogle mindre ulemper. Disse omfatter ressource-hogging og lavtydende problemer. Dette sker normalt, når en enkelt fysisk maskine er vært for flere virtuelle servere, hvoraf nogle kan begynde at overforbruge ressourcer.

Den anden ulempe vedrører deres tilgængelighed. Ikke alle VPN-tjenester tilbyder virtuelle servere; dem, der gør, lider normalt af forsinkelser og langsomme forbindelseshastigheder. Du kan dog se hurtigere hastigheder, hvis du opretter forbindelse fra et land, det er placeret.

Hvad betyder dette for VPN-brugere?

Da top VPN-virksomheder afslutter deres servere i Indien, er brugerne bekymrede for, hvordan de vil bruge VPN-tjenester. Mange VPN'er er begyndt at levere virtuelle servere for at imødekomme deres behov.

Lige nu er vi ikke bekendt med nogen VPN-virksomheder, der har accepteret lovene om dataopbevaring. Men hvis du bruger en VPN og ser en indisk server på listen over lande, er det værd at tjekke med virksomheden for dit eget privatliv.