V dubnu 2022 zavedl indický tým pro reakci na počítačové situace (CERT-In) pokyny pro kybernetickou bezpečnost ve snaze čelit kybernetickým útokům a posílit online bezpečnost. Nová pravidla by vyžadovala, aby služby VPN a další poskytovatelé cloudových služeb uchovávali všechna zákaznická data a transakce ICT po dobu pěti let.

Odvětví VPN odsoudilo nové směrnice a uvedlo, že takové přísné zákony jsou v rozporu se základním účelem a zásadami virtuálních privátních sítí. Několik poskytovatelů VPN odstranilo své fyzické indické servery.

Jaká jsou tato nová pravidla? A existuje nějaké řešení?

Co znamenají nová pravidla ochrany osobních údajů pro poskytovatele VPN?

Podle nových směrnic jsou poskytovatelé služeb povinni uchovávat záznamy o zákaznících po dobu pěti let nebo déle a na požádání je předat vládě.

Pravidla platí pro spotřebitelské VPN; podnikové nebo podnikové VPN do této kategorie nespadají.

Jakmile budou nová nařízení implementována, znamenala by, že jakákoli spotřebitelská VPN s fyzickými servery v Indii by byla nucena ukládat záznamy zákazníků, včetně:

instagram viewer
  • Celé jméno a adresa.
  • Telefonní číslo.
  • Emailová adresa.
  • Skutečná IP adresa.
  • Nová IP adresa (vydaná VPN).
  • Časové razítko registrace.
  • Vlastnický vzorec zákazníků.
  • Účel použití VPN.

Služby VPN jsou také povinny udržovat záznamy o uživatelích i poté, co službu zrušili. Nejenže tato pravidla porušují soukromí uživatelů; jsou také nekompatibilní se způsobem, jakým funguje většina sítí VPN. Kromě přísné zásady bez protokolování, hardwarová konfigurace některým poskytovatelům VPN znemožňuje záznam dat.

ExpressVPN, PIA a Surfshark například provozují servery založené na RAM, které místo tradičních pevných disků používají moduly volatilní RAM. Po odpojení napájení ze serverů jsou všechna data ztracena.

Původně se očekávalo, že nová pravidla vstoupí v platnost do 60 dnů od oznámení, tedy 27. července. Ale podle aktualizace od CERT-In byla lhůta prodloužena o tři měsíce do 25. září 2022.

Rozšíření poskytne poskytovatelům cloudových služeb a malým a středním podnikům čas potřebný k vybudování kapacity pro implementaci nových směrů. Jejich nesplnění může vést k uvěznění nebo jiným represivním opatřením.

Jak reagovalo odvětví kybernetické bezpečnosti na indická pravidla ochrany osobních údajů?

Internet Freedom Foundation (IFF) vydala prohlášení, ve kterém tento zákon označila za porušení soukromí uživatelů a bezpečnosti informací.

Zejména poskytovatelé služeb VPN jsou ve zbrani proti pokynům, protože jdou proti základním principům VPN, což je zachování soukromí uživatelů.

ExpressVPN byl první, kdo přesunul své servery z Indie. Popisovala pravidla jako „široký“ a „přesahující“ a tvrdil, že potenciální zneužití takového zákona dalece převažuje nad výhodami.

Surfshark brzy následovala a oznámila vypnutí svých indických serverů. V příspěvku na blogu, uvedla společnost,

"Surfshark hrdě funguje podle přísné zásady "žádné protokoly", takže takové nové požadavky jdou proti základnímu étosu společnosti."

NordVPN také potvrdil, že ukončuje indické servery v reakci na směrnici o kybernetické bezpečnosti v zemi.

Několik dalších poskytovatelů služeb VPN zvažuje stejnou cestu, pokud bude zákon o ochraně osobních údajů implementován ve své současné podobě, včetně:

  • Proton VPN.
  • CyberGhost.
  • Schovej mě.
  • Čistá VPN.
  • soukromí.

Navzdory tomu některé VPN stále nabízejí způsob, jak získat indickou IP adresu pomocí virtuálních serverů.

Jsou virtuální servery bezpečné?

Pokud jste uživatel, který dbá na soukromí a potřebujete odblokovat indický obsah, existuje řešení v podobě virtuálních serverů. Není to ideální, ale stále je to další nejlepší možnost.

Virtuální server je softwarová reprezentace vyhrazeného fyzického serveru. Obnovuje funkčnost, ale postrádá základní strojní zařízení fyzického serveru. Správci sítě používají virtualizační software k rozdělení fyzického serveru na více virtuálních serverů.

VPN jako Surfshark a ExpressVPN používají virtuální servery, které uživatelům pomáhají odblokovat indický obsah. Tyto servery jsou fyzicky umístěny ve Spojeném království a Singapuru, ale používají řadu indických IP adres, díky nimž to vypadá, jako byste procházeli web z Indie.

Protože virtuální servery nejsou fyzicky umístěny v Indii, nové zákony o uchovávání dat se na ně nevztahují. Stále si užíváte normální politiku bez protokolování – s některými drobnými nevýhodami. Mezi ně patří zahlcování zdrojů a problémy s nízkým výkonem. K tomu obvykle dochází, když jeden fyzický stroj hostí několik virtuálních serverů, z nichž některé mohou začít nadměrně využívat prostředky.

Druhá nevýhoda se týká jejich dostupnosti. Ne všechny služby VPN nabízejí virtuální servery; ty, které ano, obvykle trpí zpožděním a nízkou rychlostí připojení. Pokud se však připojujete ze země, kde se nachází, můžete vidět vyšší rychlosti.

Co to znamená pro uživatele VPN?

Protože špičkové společnosti VPN ukončují své servery v Indii, uživatelé se obávají, jak budou používat služby VPN. Mnoho sítí VPN začalo poskytovat virtuální servery, aby uspokojily jejich potřeby.

V tuto chvíli nevíme o žádných společnostech VPN, které by souhlasily se zákony o uchovávání dat. Pokud však používáte VPN a v seznamu zemí vidíte indický server, stojí za to ověřit si své soukromí u společnosti.